Персональные данные: сравнительный анализ старой и новой нормативной базы
В предыдущей статье мы рассмотрели особенности и порядок действий оператора персональных данных согласно старой и новой правовой базе. Как было указано, важность сопоставления двух законодательств заключается в известном требовании регуляторов: ИСПДн, построенные по старому законодательству и прошедшие успешное согласование с ФСТЭК, могут не вливать доп. средства и не переделывать (а могут и переделать) свою информационную систему (ИСПДн), дабы соответствовать новым требованиям. В случае же реорганизации какой-либо ИСПДн или появления у организации новых ИСПДн, защищать персональные данные по новому законодательству придётся.
Таким образом, возникает вопрос, переделывать ли старую ИСПДн на новую сейчас или оставить это дело до реорганизации ИС? Тут важен момент: как часто меняется у организации структура хранения и обработки персональных данных в ИСПДн и на сколько эти изменения серьёзны / будут ли они входить в описанную старую документацию или же нет? В случае, если изменения предвидятся в скоро будущем, переходить на новую систему явно надо и лучше сделать это как можно скорее во избежание лишнего геморроя в будущем. Если же изменения происходят не предвидятся, можно пока подождать и сэкономить средства на введение доп. мер защиты. Хотя в некоторых особых случаях перевод ИСПДн на новые требования может сократить расходы (на использование защитных мер).
Итак, перейдём к анализу...
Сравнительный анализ
Особенности нового 152-ФЗ
Практически все нововведения и изменения в новой версии 152-го закона сводятся к появлению в нём отсутствующей ранее статьи 19 под названием "Меры по обеспечению безопасности персональных данных при их обработке". Что же эта статья содержит?
Например, появилось требование использования защитных средств, прошедших в установленном порядке процедуру оценки соответствия СЗИ (ст.19, ч. 2, п.3), а такая процедура в России пока что одна - сертификация. В некоторых случаях, когда использовать сертифицированные СЗИ не хочется и когда тип этих СЗИ отличается от межсетевых экранов, антивирусных средств и СКЗИ (криптосредств), то как было указано выше, это дело можно исключить через экспертное заключение оператора, имеющего лицензию на ТЗКИ. Появилась также процедура оценки эффективности мер защиты до ввода в эксплуатацию ИСПДн (п. 4). Реализуется очень легко в виде одной бумажки А4.
Кроме того, в тексте нового ФЗ появились следующие требования: физическая защита носителей и резервирование ПДн (аналогично ПП-781); разграничение и документирование прав доступа (переехало в 152-ФЗ из ПП-781); подсистема регистрации и учёта (аналогичный переезд); создание отраслевых моделей актуальных угроз (ч. 5; весьма интересное нововведение, учитывая, что в ПП-1119 сказано, что применение данных моделей является обязательным); назначение ответственного за обработку ПДн (аналогично ПП-781).
Особенности ПП-1119
Если деятельность оператора является отраслевой (в частности, регулируется ЦБ РФ), то модель актуальных угроз (здесь и далее буду употреблять этот термин в аналогии с «перечнем актуальных угроз») должна строиться в соответствии с составленной соответствующим исполнительным органом и согласованной у ФСТЭК отраслевой моделью (в частности, ЦБ РФ, отраслевая модель угроз которого есть и согласована со всеми регуляторами).
Определение специальных категорий ПДн и биометрии осталось прежним.
Определение типа угроз (1-3) производится оператором с учётом: возможного вреда субъекту ПДн и отраслевыми моделями угроз (т.е. по факту тип угрозы несложными манипуляциями можно всегда снизить до третьего).
Появилось разграничение между ИСПДн, обрабатывающих ПДн сотрудников оператора и ИСПДн субъектов ПДн (всех остальных), что упрощает защиту классических ИСПДн.
В старом законодательстве для ИСПДн К4 защитные меры можно было выбирать самостоятельно или не выбирать вообще (не защищать то есть). В ПП-1119 защищать ПДн надо (конкретные меры защиты предложены и в самом ПП, и в 21 приказе), начиная с 4-го уровня защищённости, в том числе – важно! – если данные общедоступные (т.к. они подпадают под 4 класс).
Полностью изменилась классификация ИСПДн (к тому же, она теперь определяется на уровне ПП-1119, а не приказа ФСТЭК):
Нынешние классы систем:
- ИСПДн, обрабатывающие специальные категории данных;
- ИСПДн, обрабатывающие биометрию;
- ИСПДн, обрабатывающие общедоступные ПДн;
- ИСПДн сотрудников оператора;
- ИСПДн, обрабатывающие иные категории ПДн.
Стоит отметить, что специальных ИСПДн в новом законодательстве нет и прежняя «лазейка» через определение системы, как специальной и последующая классификация (и применение защитных мер, само собой), исходя лишь из своей собственной модели угроз, превратилась в основной путь классификации в новом законодательстве (с доп.аргументами, правда, и обязательностью применения заданных базовых наборов защитных мер).
Требований по сертификации или аттестации как не было, так и нет. Регламента по ведению системы регистрации учёта аналогично – как не было, так и нет теперь, ну да не беда: есть простор в составлении собственных регламентов и упрощения себе задачи.
Особенности Приказа №21
Появилось требование оценки соответствия СЗИ в форме сертификации (важно учитывать вышеуказанных замечания по этому поводу). Определены т.н. базовые меры защиты, в том числе для 4 уровня защищённости (во исполнение вышесказанного).
Выбор защитные мер делится на 3 этапа, указанные в приведённом выше порядке действий оператора: выбор/адаптация/дополнение базовых мер защиты.
Перечень защитных мер стал существенно шире и появилась обязательность требований (исходящая, правда, ещё из ПП-1119, но тем не менее): появились требования по применению систем DLP, IPS/IDS, SEIM, требования r терминальному доступу и многое другое: с одной стороны дороже, с другой регламентирует более разумную, логичную и защищённую систему, с третьей – защитные меры всё-таки более менее варьируемы для оператора (тип угроз определяется оператором свободно, от выбранного типа напрямую зависит требуемый уровень защищённости системы и, как следствие, необходимые меры защиты). Кроме того, на стадии адаптации базового набора часть требуемых защитных мер может быть исключена или заменена другими (т.н. компенсационными), но для этого требуется строгое задокументированное обоснование.
Планируемые в ближайшем будущем изменения и другие особенности старой и новой нормативной базы
Постепенное увеличение штрафов за невыполнение требований по защите ПДн (раньше было 10000р., сейчас от 500000 до 2% от дохода, выручки за год или 700000 (в зависимости от нарушения), срок давности вырос от 3 месяцев до года, зона ответственности переходит от прокуратуры в РКН).
Новые требования по биометрическим ИСПДн и хранению носителей информации вне ИСПДн (содержащиеся в ПП-512).
Проект ПП «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Смысл ясен. Ожиданий много. На проектирование ИСПДн не влияет, а вот внимания и желания ускориться прибавляет.
Проект приказа ФСБ «Об установлении в сфере деятельности ФСБ России состава и содержания необходимых для выполнения установленных ПП РФ требований к защите ПДн для каждого из уровней защищённости организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн». Смысл приказа тоже ясен. Все ожидания в соответствии с опубликованным проектом крутятся вокруг приказа ФАПСИ №152. Изменения в деятельность оператора повлечь вполне может.
Проект РКН «Методические рекомендации по обезличиванию ПДн…». Интересный и полезный документ. Он принесёт только пользу.
Приложение 1. Анализ старого нового ПП и приказов.
Итак, некоторые вышеперечисленные моменты (некоторые, т.к. не все из них таблично сравнимы), а также чисто технические аспекты различий между двумя ПП (781 и 1119) и двумя приказами ФСТЭК (58 и 21) приведены в нижеследующих таблицах.
Сравнительная таблица для ПП-1119 и ПП-781
|
№ |
Требование |
ПП-1119 |
ПП-781 |
|
1 |
Обязательный учёт в построении модели актуальных угроз отраслевых моделей угроз |
Да |
Нет |
|
2 |
Разграничение в требованиях по защите между ИСПДн, обрабатывающих только ПДн сотрудников оператора и всех остальных типов ИСПДн |
Да |
Нет |
|
3 |
Требование по защите ИСПДн, обрабатывающих общедоступные ПДн |
Да |
Нет |
|
4 |
Защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе |
Нет |
Да |
|
5 |
Методы и способы защиты информации в информационных системах устанавливаются ФСТЭК и ФСБ в пределах их полномочий |
Да |
Да |
|
6 |
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора |
Нет |
Да |
|
7 |
Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ |
Да |
Нет |
|
8 |
Контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом) |
Да |
Нет |
|
9 |
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия |
Да |
Да |
|
10 |
Информационные системы классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства |
Да |
Да |
|
11 |
Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК, ФСБ и Минкомсвязи |
Нет |
Да |
|
12 |
Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств |
Нет |
Да |
|
13 |
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц |
Да |
Да |
|
14 |
Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются ФСТЭК и ФСБ в пределах их полномочий |
Нет |
Да |
|
15 |
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных |
Да |
Да |
|
16 |
Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой |
Нет |
Да |
В итоге, 25 требований убрано, 5 требований добавлено, 9 осталось без изменений и 3 перешли в ФЗ-152.
Сравнительная таблица для приказов №58 и №21
|
№ |
Требование |
Приказ №58 (старый) |
Приказ №21 (новый) |
|
1 |
Аттестация ИСПДн |
Нет |
Нет |
|
2 |
Прохождение процедуры оценки соответствия |
В установленном порядке(оператором и проводимая им же) |
Да |
|
3 |
Защита от утечек по техническим каналам |
Да, для ИСПДн К1 |
Нет (вернее, по желанию оператора) |
|
4 |
Контроль на наличие НДВ в СЗИ |
Да, для СЗИ ИСПДн К1 |
Нет |
|
5 |
Разделение защитных мер на уровни (базовый и дополнительный) |
Нет |
Да |
|
6 |
Возможность самостоятельного выбора мер защиты |
Да, для ИСПДн К4 |
Да (по факту, но с определёнными ограничениями) |
|
7 |
Наличие компенсационных мер |
Нет |
Да |
|
8 |
Гибкость защитных мер (адаптация к конкретной ИСПДн, её целям и структуре) |
Нет |
Да |
Вопросы того, как защищать персональные данные на предприятии (алгоритм), описаны в статье по порядку действия оператора ПДн. И более подробно - о защите ПДн в интернес-сервисах - сказано в статье защита ПДн в интернете.
С уважением,
Лысяк Александр
