2 Ноября, 2010

Палка о двух началах, или еще раз о классификации ИСПДн

Алексей Волков
О классификации информационных систем персональных данных (ИСПДн) написано немало: целые статьи, сайты и форумы посвящены этой животрепещущей теме. При этом, подавляющее большинство рекомендаций сводится к уменьшению количества записей, обрабатываемых в ИСПДн, переводу ряда категорий ПДн в "бумажную" или дроблению одной "большой" ИСПДн на части. С выходом "Приказа 58" ФСТЭК с классификацией стало несколько проще, потому как особой разницы между требованиями к технической защите ИСПДн 2 и 3 класса в "Положениях о методах и способах..." не наблюдается, чего нельзя сказать о требованиях, предъявляемых к ИСПДн 1 класса: организация, обладающая такой ИСПДн, должна серьезно раскошелиться на ее защиту. При этом, весьма досадно осознавать, что если в твоей ИСПДн обрабатываются 99999 записей - то это К2, а если на обну больше - то К1. Автор этого блога, внимательно перечитав "Приказ Трех" от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", понял, что, в принципе, существует и альтернативная модель классификации, о которой все почему-то говорят весьма неохотно или не говорят вообще. Свои рассуждения на эту тему я выношу на суд читателей. Итак, нам необходимо классифицировать некую гипотетическую ИСПДн, назначение которой - обработка персональных данных сотрудников некоего большого, территориально распределенного  учреждения. Поскольку мы легких путей не ищем, пусть эта ИСПДн будет "огромной": она обрабатывает большое количество записей (выше 100 тысяч), территориально распределена по всей России, и обрабатывает персональные данные 2 категории - то есть позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Спецкатегории в нашей ИСПДн не обрабатываются: не зря эти ПДн вынесены в ЗоПД в отдельный раздел - они напрямую пересекаются с Конституцией, дающей право на тайну частной жизни, поэтому их наличие автоматически переводит любую систему в класс К1.  Прежде всего, что нам необходимо сделать согласно Приказа - собрать исходные данные об ИСПДн. К их числу относятся: Категория обрабатываемых в информационной системе персональных данных Хпд = 2;Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) Хнпд = 1; Структура информационной системы - распределенная;Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена - есть;Режим обработки персональных данных - многопользовательский;Режим разграничения прав доступа пользователей информационной системы - с разграничением прав доступа;Местонахождение технических средств информационной системы - в пределах Российской Федерации.Кроме того, для нашей ИСПДн, помимо конфиденциальности, необходимо обеспечить и другие характеристики безопасности, например, целостность и доступность, а значит, наша ИСПДн носит гордое название СПЕЦИАЛЬНАЯ. Вроде, все характеристики собраны - давайте посмотрим, ради чего мы потратили наше время. Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб - тем выше класс и, соответственно, тем выше должны предъявляться требования к технической защите. Пункт 14 Приказа говорит о 4 классах: отсутствие негативных последствий (4 класс), незначительные негативные последствия (3 класс), негативные последствия (2 класс) и значительные негативные последствия (1 класс). Присвоение того или иного класса ИСПДн, согласно того же пункта, осуществляется по результатам анализа исходных данных. Что ж, подход вполне справедливый. Однако внимательное прочтение 14 пункта Приказа повергает в некоторое смятение: оказывается, такая классификация предусмотрена ДЛЯ ТИПОВЫХ ИСПДн: дословно - "По результатам анализа исходных данных типовой информационной системеприсваивается один из следующих классов...", и дальше идет перечисление. Стоп, но у нас же специальная ИСПДн - исходя из буквы закона (Приказ зарегистрирован в Минюсте и, стало быть, имеет юридическую силу), пункт 14 ее не касается, и значит - должна быть какая-то другая классификация? В еще более глубокое смятение повергает пункт 15, фактически нивелирующий глубокий смысл 14 пункта относительно "анализа исходных данных". Пресловутая "табличка", которая позволяет оценить класс типовой ИСПДн, фактически оперирует всего лишь двумя ее характеристиками - Хпд и Хпнд. Про остальные исходные данные ИСПДн можно просто забыть! Позвольте, но зачем же тогда мы их собирали? Будь наша ИСПДн типовой, то, согласно этой табличке, она попала бы в К1, однако наша ИСПДн - специальная, и табличку эту, равно как и весь пункт 15, мы можем просто не принимать во внимание. Что же делать? Ответ на эти два вопроса кроется в пункте 16, который, согласно букве закона, заложенной в алгоритме классификации, нужно смотреть после пункта 13 (не взирая на пункты 14 и 15), говорит нам о том, что класс СПЕЦИАЛЬНОЙ ИСПДн определяется на основании исходных данных, собранных в соответствии с данным Приказом, и на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с п. 2 ПП 781 - а это ни что иное, как "Базовая модель угроз..." и "Методика определения актуальных угроз..." - необязательные к исполнению остатки ФСТЭКовского четверокнижия. Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что НЕГАТИВНЫЕ последствия может нанести нарушение целостности и доступности сведений о табельном учете и финансовой информации, так как это приведет к несвоевременной (неполной, неправильной) выплате заработной платы субъекту. Реализация всех остальных угроз (включая нарушение конфиденциальности) приведут к НЕЗНАЧИТЕЛЬНЫМ НЕГАТИВНЫМ последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2! Таким образом, мы законно и справедливо имеем возможность классифицировать специальные ИСПДн вне зависимости от того, как классифицируются типовые. Я перерыл много нормативных документов, излазил много форумов и сайтов в поисках опровержения такой методики классификации - и не нашел ничего такого, что могло бы хоть как-то ее опровергнуть. Наконец, я решил обратиться в Роскомнадзор с разъяснениями, и вот какой ответ получил (с незначительными смысловыми правками): Составление модели угроз - компетенция ФСТЭК, нашей службе необходим от оператора только акт классификации. А уж к какому классу он отнес свою ИСПДн, дело оператора и ФСТЭК. Но, по логике, вроде бы теория имеет право на существование. Действительно, по специальным ИСПДн класс определяется на основании модели угроз и соответственно может быть изменен в сторону уменьшения или увеличения. Есть одно НО: по нашим сведениям, ФСТЭК трактует таким образом: можно класс повышать, а вот понижать ниже типовой нельзя. Надо им задавать вопросы. Что ж, резонно. Значит, у Роскомнадзора вопросов к классификации не будет, тем более, если модель угроз составляла организация, имеющая лицензию на ТЗКИ. У меня есть все основания полагать, что и у ФСТЭК в этом случае вопросы вряд ли возникнут - на мой взгляд, логика в изложенной методике имеется. Очень хотелось бы узнать мнение читателей блога - потому прошу Ваши комментарии, коллеги!
comments powered by Disqus