Сегодня хотелось бы поговорить о защите публичных информационных систем.
Есть большая проблема в том, что органы государственной власти, уполномоченные в области защиты информации, персональных данных, прав субъектов (ФСТЭК России, ФСБ России, Роскомнадзор) сами не выполняют те требования, которые заставляют выполнять обычные организации. А также попустительствуют нарушениям крупных корпораций.
Давайте зайдем на сайт Минкомсвязи, ФСТЭК России, ФСБ России, ФНС России, РЖД, Госуслуги – на всех собираются и передаются персональные данные, при этом нет никакой информации о применяемых сертифицированных средствах защиты информации, данные передаются без какой-либо защиты.
Получается, что там, где обычные организации тратят огромное количество средств и ресурсов –разрабатываю и внедряют документы, покупают сертифицированные СЗИ, избранные органы и корпорации могут ничего не делать? Так давайте мы все не будем выполнять эти требования …
… Так могли бы построить свою статью некоторые блогеры и эксперты по ИБ, но я хочу рассмотреть проблему несколько в другом ключе, может быть даже с обратной стороны. Будем рассматривать публичные информационные системы с пользователями – физическими лицами.
В соответствии со статьей 19 152-ФЗ
“1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; …”
Статья 3 “10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств”
1. Давайте подумаем, а что будет входить в нашу публичную информационную систему? Будет ли входить в нашу информационную систему техническое средство, за которым работает пользователь – физическое лицо? Будет ли входить в нашу ИС – операционная система и браузер, установленные на техническом средстве пользователя? Нет, нет и нет. Это устройство, ОС и ПО, владельцем которого является стороннее физическое лицо. Мы не имеем права включать эти компоненты в ИС оператора.
2. Давайте подумаем, попадает ли под обязательные требования ввод/просмотр своих персональных данных пользователем в своем браузере? Нет
В соответствии со статьей 2 152-ФЗ
“2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных … нужд…”
Соответственно вся обработка ПДн пользователем (когда действия – ввод, передачу, корректировка, просмотр выполняет физ. лицо) полностью выпадает из-под требований 152-ФЗ и подзаконных актов.
3. Давайте подумаем, что должен делать оператор ПДн при взаимодействии (передаче ПДн) с третьими лицами?
В соответствии со статьей 6 152-ФЗ
“3. Оператор вправе поручить обработку персональных данных другому лицу … на основании заключаемого с этим лицом договора. … В поручении оператора …должна быть установлена обязанность такого лица … обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.”
То есть в договоре с пользователем мы могли бы установить требования к защите передаваемых данных, но опять же, в соответствии с предыдущим пунктом - обработка данных физическим лицом исключена из сферы 152-ФЗ, то и обязательные требования к нему предъявляться не могут.
4. Приведенный выше анализ не исключает обязанностей оператора обеспечивать безопасность персональных данных в ИС. Для всех процессов обработки ПДн выполняемых именно оператором должны приниматься необходимые меры защиты. Для всех компонентов публичных ИС – серверов, web-сервисов, web-приложений, БД, рабочих мест операторов, находящихся во владении оператора ПДн должны приниматься меры защиты, в том числе использоваться сертифицированные средства, в том числе использоваться СКЗИ при передаче информации за границами КЗ, проводится аттестация и т.п.
5. Что делать, если система имеет единый интерфейс как для подключения пользователей – физических лиц, так и для подключения сотрудников оператора. Можно ли на основе пунктов 1-3 сделать вывод о том, что на ТС сотрудников не будут распространяться обязательные требования? Нет. В данному случае обработка ПДн будет являться обработкой ПДн оператором ПДн, не попадающей под исключения 152-ФЗ, поэтому должны применяться все требуемые меры. Скорее всего интерфейсы системы придется разделять, так как при доступе к интерфейсам сотрудников оператора скорее всего будут применяться более жесткие ограничения.
6. Хорошо, мы разобрались с обязанностями оператора, но неужели совсем не нужно думать о защите информации на стороне пользователей? Нужно. Пусть такая защита выпадает из обязательных требований. Но хороший оператор по собственной инициативе думает о защите пользователей. С моей точки зрения, хорошей практикой будет подготовка рекомендаций для пользователей, содержащих типовой перечень СЗИ и орг. мер, необходимый для обеспечения безопасности при обработке данных физ. лицом. Также необходимо предусмотреть возможность применения пользователем сертифицированных СКЗИ, подсказать где можно получить такие средства, добавить опцию в договор типа “я хочу чтобы обеспечивалась криптографическая защита взаимодействия моих технических средств, на которых установлены СКЗИ, с ИС оператора”.
