22 Сентября, 2012

Новые Уровни и Требования: второй блин комом

Алексей Волков
Весной этого года, 27 апреля, мы с вами, дорогие читатели, обсуждали проекты постановлений правительства РФ "Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных", и "О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных". В них было много всего: и замысловатые фразы, и скрытые формулы, и даже "операторский минимум" в виде УЗ-2. Почти пять месяцев об их судьбе не было слышно практически ничего: благо, посвященные время от времени "вбрасывали" скудные обрывки информации и баловали сообщество свежими, не вселявшими оптимизма, слухами. И вот, наконец, настал тот чудный день, когда все мы можем приобщиться к этой величайшей тайне и насладиться вкушением доселе запретного плода, возросшего на сайте ФСБ в надежде обрести заключения по результатам антикоррупционной экспертизы. Что ж, приготовьтесь, будет кисло.

Начнем, как и прежде , с " уровней защищенности ", ранее именовавшихся УЗх (где х - число от 1 до 4), ныне - просто х, то есть число: сие правило зафиксировано в пункте 1 проекта. Далее следует пункт 2, декларирующий термины и допущения, от А до И. Первые два - А и Б - один-в-один передраны из законодательства, а вот третий - В - весьма интересен. Оказывается, сама по себе информационная система не может быть общедоступным источником ПДн, в который бы попадали данные сразу после получения письменного согласия субъекта на их размещение, тем более - в котором бы сам субъект размещал любые свои данные для неограниченного доступа. Для того, чтобы она им стала, необходима "прокладка" в виде "общедоступного источника", на включение данных в который оператор должен взять письменное согласие субъекта, и лишь после этого переносить их в информационную систему.

Идем далее, к пункту Е, и видим там определение "актуальных угроз", приведенное в ч. 11 ст. 19 152-ФЗ, а вот дальше - с Жэ по И - приводится, из чего же они состоят. Смысл простой: некие угрозы (обозначим их ХЗ, позже объясню почему) образуют 3 тип угроз, ХЗ + угрозы наличия недекларированных возможностей в системном ПО образуют 1 тип, ХЗ + НДВ в прикладном ПО = 2 тип угроз.

Странно, что в тексте постановления нет определения того, что же такое, собственно, этот самый "уровень защищенности" - видимо, разработчики, усердно передирая терминологию во 2 пункте, слегка утомились. Что ж, сделаем это за них: как говорит нам та же ч. 11 ст. 19 152-ФЗ, "под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных". То есть, чем выше уровень, тем суровей требования должны предъявляться к защите информационной системы.

Ответ на вопрос, почему я ввел аббревиатуру "ХЗ" для обозначения "неких угроз" дает пункт 3 проекта: прочитав громкие слова про "оценку вреда" и "совокупность условий и факторов" понимаешь, что на это все можно попросту, что называется, "забить" (это и есть вторая буква аббревиатуры). Смотрите сами: самый суровый - 1 уровень ("кол";) - оператор автоматически получает в случае наличия угрозы НДВ в СПО вне зависимости от всего остального! Второй вариант посадки оператора "на кол" также обусловлен наличием угроз НДВ, только в прикладном ПО в случае обработки им "спецкатегорий".

Казалось бы - что тут такого, ведь угрозы определяет сам оператор, ведь "нормативных правовых актов, принятых во исполнение части 5 статьи 19" еще нет и неизвестно, будут ли. Но на этот счет у меня есть определенные опасения, прежде всего связанные с инициативой Роскомнадзора по привлечению экспертов для проведения проверок, которые, помимо прочего, могут проводить "обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности". И, учитывая контингент аккредитованного экспертного сообщества, единственным реальным способом нейтрализовать угрозу наличия НДВ хоть в прикладном, хоть в системном ПО, а вместе с ней и все сопутствующие угрозы бизнесу станет... правильно, сертификация ПО и оборудования во ФСТЭК по какому-нибудь уровню контроля отсутствия недекларированных возможностей!

Красной нитью в проекте постановления проходит магическое число 100 000. Оно необходимо для технической дифференциации уровней, но по каким причинам выбрано именно такое количество субъектов - я так и не понял, но уж точно не из соображений оценки вреда субъектам. Судите сами: 2 уровень = 1 тип и общедоступные ПДн (ОПДн) ИЛИ 2 тип и ОПДн более 100 000 обычных субъектов, 3 уровень = 2 тип и ОПДн сотрудников оператора в неограниченном количестве ИЛИ ОПДн менее 100 000 обычных субъектов, 4 уровень = 3 тип и ОПДн. Так что, все решает тип угроз, то есть - наличие НДВ.

Для тех, кто ничего странного в предыдущем абзаце не заметил, и привык пользоваться айпадами, андроидами и прочими достижениями мобильной электроники для доступа к корпоративной адресной книге, я повторю: наличие угрозы недекларированных возможностей в системном программном обеспечении, используемом в ИСПДн, обрабатывающей персональные данные, полученные из ОБЩЕДОСТУПНЫХ источников, автоматически наделяет эту систему 2 уровнем защищенности, а значит, помимо потенциальной сертификации устройств на предмет отсутствия НДВ, к ее защите должны предъявляться требования, куда более суровые, чем, к системам, обрабатывающим спецкатегории и биометрию! Требования эти устанавливает второе постановление , к разбору которого мы, собственно, сейчас и приступим.

Первое, что бросается в глаза - это наличие в документе хоть какой-то логики, в отличие от его первоначального варианта : по крайней мере, теперь требования четко связаны с уровнями. Собственно, требования, они... Я долго пытался подобрать нужное слово, но кроме этого ничего на ум не пришло. Они ве-ли-ко-леп-ны! Я перечитывал их несколько раз, и каждый раз, все больше и больше, восхищался слогом текста, мастерством автора и фантазией идеологов, создавших пункты с 5 по 8. Браво! Предлагаю вам, дорогие читатели, вместе посмаковать каждую буковку этого "блюда".

На закуску пойдет пункт 5, устанавливающий требования, обязательные для всех уровней без исключения: это безопасность помещений, сохранность носителей и перечень лиц, допущенных к работе с ПДн в ИСПДн. Повторю: ВСЕХ, без исключения. Включая уровни, присвоенные системам, обрабатывающим ПДн, полученные из общедоступных источников. И, пока я пишу этот текст, в моем твиттере уже идет переписка любителей почитать адресные книги на iPad о мерах, которые могут быть приняты для выполнения этих требований в домашних условиях.

На первое - пункт 6, описывающий уровень 3. Здесь уже появляется лицо, ответственное за обеспечение безопасности ПДн в ИСПДн, но почему такого лица не должно быть в случае с ИСПДн 4 уровня (напомню, что по сути они отличаются только НДВ и числом субъектов), мне не понятно. Видимо, НДВ требует наличия специального "мальчика для битья" - обратите внимание, что этот "мальчик" и "лицо, ответственное за ОРГАНИЗАЦИЮ обработки ПДн" - суть разные субстанции, хотя физическое воплощение лица у них, конечно же, может быть одно и то же. Второе требование в этом пункте всплывает как... ээээээ.... коряга по весне: о каком электронном журнале каких сообщений ведет речь автор, наверное, понятно только ему самому.

На второе - пункт 7 и уровень 2 со всем сказанным выше и "обязательной оценкой соответствия" (сторонники концепции BYOD должны нервно сглотнуть). Сюда же можно записать и пункт 4, как бы намекающий на возможное появление других обязательных к исполнению регуляторских документов , касающихся выбора средств защиты информации. Кстати, по сравнению с первоначальным вариантом, либерализация налицо: помимо применения этого требования к ИСПДн 2 уровня и выше, про "правила пользования, утвержденные ФСТЭК и ФСБ", и "учет с использованием индексов или условных наименований и регистрационных номеров" нет ни слова.

Ну и на десерт - пункт 8, являющий собой вершину букварного, точнее, кулинарного, мастерства. Помните замечательный мультфильм "Трое из Простоквашино" (сейчас его не показывают, он обладает рейтингом 16+, так как там папа курит трубку), ту серию, в котором Дядя Федор пишет письмо родителям, а кот Матроскин и собака Шарик по отдельности его дописывают, и в результате у автора "то лапы ломит, то хвост отваливается, а на днях он линять начал"? Так вот, этот пункт, судя по всему, писали точно также!

Возьмем пункт А. Вроде бы ничего особенного, все по делу. Но если вы хорошо знаете русский язык - судите сами:

необходимо выполнение следующих дополнительных требований:
а) факт изменения полномочий субъектов доступа к объектам доступа регистрировался автоматизированными средствами информационной системы персональных данных в электронном журнале безопасности;
Ну и пункт Б, который, согласно логике документа, в дополнение к ЛИЦУ, ответственному за обеспечение безопасности, назначенному "по цепочке" в пункте 6, добавляет еще целое ПОДРАЗДЕЛЕНИЕ с аналогичными функциями. Таким образом, у оператора будет и лицо, и подразделение, которые будут сидеть друг напротив друга и, обеспечивая безопасность, хлопать выпученными от испуга глазами в ожидании регуляторов.

Я в процессе "творческого запала" в блоге, конечно, могу накосовертить с построением фраз и даже грамматических ошибок наделать, но ведь это блог. Не знаю, конечно, как готовятся проекты постановлений Правительства, но если бы я был чиновником, ответственным за подготовку нормативки - выкладывать такие документы мне было бы стыдно.
"А компот?" - скажете вы. И не ошибетесь. Компот - это пункт 9, определяющий ЗАКРЫТЫЙ перечень лиц, имеющих полномочия организовывать и проводить контроль выполнения этого постановления. Это: 1. Операторы 2. Лица. ответственные за организацию обработки ПДн. Здесь нет ни "аккредитованных экспертов", ни Роскомнадзора, ни даже ФСТЭК и ФСБ. Только оператор. Хоть небольшая, но все-таки ложка меда в этой бочке дегтя, куда нас всех окунут, если вдруг эти проекты станут Постановлениями.
или введите имя

CAPTCHA
Аноним
25 Сентября, 2012
По поводу "Простоквашино" http://www.mkrf.ru/registr/detail.php?ID=110197699 Ограничения на просмотр Для любой зрительской аудитории
0 |