"Защита персональных данных: долгожданные законодательные нововведения"

ИГОРЬ МЯЛКОВСКИЙ,
руководитель проектов защиты информации «ТРИНИТИ СОЛЮШНС»

Регулирование требований по защите персональных данных происходит, как и многие другие подобные процессы в нашей стране, не всегда системно, рывками, сопровождаясь разноплановыми, порой противоречащими друг другу нормативными документами. Похоже, ситуация начинает меняться в лучшую сторону.

Предыстория

Отслеживаемая как регуляторами, так и многочисленными операторами, попросту коммерческими компаниями и государственными учреждениями, история защиты персональных данных в конце 2012 и начале 2013 гг. пополнилась сразу четырьмя ключевыми событиями. Во-первых, введенное в действие с 1 ноября 2012 г. постановление Правительства России № 1119 автоматически отменило предыдущее постановление № 781, составлявшее нормативную базу проектов защиты персональных данных. На какое-то время в подвешенном состоянии оказались приказы ФСТЭК № 58, регламентирующий применение конкретных методов и способов защиты информации, и известный «приказ трех» № 558620 о классификации информационных систем. При этом стало непонятно, как поступать тем, кто уже проделал часть мероприятий по отмененным нормативно-правовым актам.

Второе: для таких случаев на время «смуты» ФСТЭК распространил разъяснительное письмо № 240224920 от 05.12.12 г., согласно которому разрешено в уже начатых, утвержденных технических проектах оставить прежнюю проведенную однажды на объекте классификацию информационных систем персональных данных. Оставалось самим порассуждать, каким образом поступать потом, когда потребуется обновление структуры этих самых информационных систем. 22 ноября 2012 г. состоялась III Международная конференция, посвященная защите персональных данных. Статус конференции, вопросы из зала и ответы на них поставили ее почти в ранг законодательной. Предложено было объединяться в подаче замечаний и предложений с целью совершенствования существующего законодательства о защите персональных данных. Обещано издать вскоре новые нормативно-правовые акты, все всем разъясняющие. Естественно, «с учетом обобщения предыдущих поступивших» (вероятно, от операторов) замечаний. В-третьих, 7 мая 2013 г. издан Федеральный закон № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». Новый закон неожиданно изменил условия обработки персональных данных вкладчиков, страхователей, застрахованных лиц, усилил ответственность за безопасность персональных данных, в частности персональных данных госслужащих.

Обещанное начало

Обещанный в 2012 г., четвертый в данном историческом списке, и самый долгожданный приказ все-таки появился. Подходит известная поговорка «Лучше поздно, чем никогда». Появился он утром 18.05.13 г. (хотя издан в феврале), затем на какое-то время снова исчез. Потом документ окончательно заиграл на сайте ФСТЭК, как брилиант. Таким тщательнейшим образом общественность ИТ и ОБИ следила за его появлением. «Революция», о которой говорили уважаемые должностные лица, свершилась. И, надо сказать, неплохо получилась: смута закончилась. По крайней мере видна последовательность, и теперь всем стало понятно, как и какие меры безопасности следует применять для защиты конфиденциальной информации и персональных данных. Наверное, важно, что впервые такая защита конфиденциальной информации и персональных данных документально и долгожданно снова «засуществовали» рядом. В одних и тех же проектах. Важно потому, что в противном случае исполнители работ и заказчики были вынуждены дублировать немалую часть работ для защиты, как писали для сокращения, КИ и ПДн. Второе долгожданное и объяснимое новшество: по п. 4 и 12 долгожданного документа впервые за много лет средства защиты, «прошедшие установленным порядком…» по статье 19 Федерального закона 152-ФЗ, законно наконец соединились с сертифицированными средствами защиты. Теперь не надо спрашивать, как и произошло на конференции, о том, что это одно и то же. Впрочем, все-таки запись об этом в разных пунктах приказа и без указания «оного» тождества. Придраться желающим все-таки можно.

Классическое «Что делать?»

В соответствии с Постановлением Правительства России от 01.11.12 г. № 1119 и приказом ФСТЭК от 18.02.13 г. № 21 операторам персональных дан- ных требуется разработать и применять на защищаемых объектах организационно-технические меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных. Состав мер и способ выбора базового набора мер определен указанным приказом. Порядок выбора и применения таких мер изображен на рис. 1.

Какие средства выбрать?

Соответствие выбираемых сертифицированных средств защиты персональных данных требуемым уровням защищенности персональных данных (ПДн) удобнее, чем из текста приказа, определить при помощи таблицы:

Компенсируем дополнительные угрозы

При использовании в ИСПДн новых ИТ и выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения безопасности, требуется разрабатывать и применять иные компенсирующие меры с обязательным требованием их обоснования.

Перечень требуемых дополнительных мер при актуальных угрозах 1-го и 2-го типов:

• проверка ПО, включая код, на отсутствие НДВ;
• тестирование ИСПДн на проникновения;
• использование в ИСПДн ПО, разработанного с применением методов защищенного программирования.

Состав организационно-технических мер безопасности конфиденциальной информации и ПДн:

• идентификация и аутентификация субъектов и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн;
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности ПДн;
• обеспечение целостности информационной системы и ПДн;
• обеспечение доступности ПДн;
• защита виртуальной среды;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению
• угроз безопасности ПДн (инцидентов) и реагирование на них;
• управление конфигурацией информационной системы и системы защиты ПДн.

Для выбора конкретных мер в условиях заданного объекта, действуя по предложенному порядку, изображенному на илл. 1, необходимо пользоваться Приложением к Приказу ФСТЭК от 18.02.13 № 21.

На практике

Вне сомнений, данный приказ очень востребован и сильно облегчит информационно-технологическую жизнь ответственных уполномоченных и обычных трудовых лиц - обычных пользователей и их руководителей, права которых, кстати, приходится так интенсивно и настойчиво защищать в числе прочих граждан. Невозможно применять изложенную здесь методику, созданную для упрощенного понимания приказа и постановления, без известного единственного приложения к этому приказу и без известного самого Постановления Правительства России № 1119. Они должны быть под рукой. Однако структурированный вид предложенной методики, надеюсь, облегчит работу не одному исполнителю такого проекта. Проблема только в том, что мы (люди) склонны действовать так, словно исключений из правил не существует, так как нам удобно. Однако, как оказалось, эти исключения есть всегда. И в этом просто убедиться во время таких проектных работ.