В Консультанте появился текст «Приказа трех» «Об утверждении порядка проведения классификации информационных систем персональных данных». Это совместный приказ ФСТЭК, ФСБ и Мининформсвязи. Каковы его особенности, достоинства и недостатки:
1. Классификация осуществляется операторами персональных данных. Т.е. не за вас принимают решение об отнесении вас к какому-либо классу, а вы это делаете самостоятельно. Это очень большой плюс. Правда, класс может быть пересмотрен по результатам проверки вас со стороны регуляторов, но проводится они могут не когда угодно, а по вполне четкому расписанию.
2. Класс должен быть оформлен документально.
3. Классификация базируется на основе комбинации следующих критериев:
— категория обрабатываемых данных
— объем обрабатываемых данных
— характеристики безопасности
— структура ИС
— наличие подключений к Интернет и сетям общего пользования
— режим обработки персональных данных
— режим разграничения прав доступа
— местонахождение технических средств.
В целом критерии выбраны правильные, но… в п.15 класс рассчитывается только исходя из первых двух параметров. Возможно это сделано осознанно, т.к. по тексту приказа определяются 2 типа ИС — типовые и специальные. Первые — это те, где нужно обеспечить только конфиденциальность. Во вторых нужно обеспечить помимо конфиденциальности и еще хоть одну из характеристик персональных данных — защиту от уничтожения, изменения, блокирования и иных несанкционированных действий. Так вот класс ИС согласно п.15 определяется только для типовых систем. Но таких систем в природе практически нет. Где вы видели системы, в которых не надо обеспечить целостность и доступность?
4. Как же определить класс для специальных систем? А вот этого в приказе не сказано. Для этого случая он отсылает всех к другим методическим документам, которые разработаны ФСТЭК и ФСБ. Что разработала ФСБ неизвестно, а вот по ФСТЭК список этих документов известен:
— «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России);
— «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России);
— «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России);
— «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).
5. Все бы ничего, но… эти документы наделены грифом «Для служебного пользования» и доступны только… зарегистрированным операторам персональных данных и (но не или) лицензиатам ФСТЭК. Иными словами, вы не можете определить класс ИС, не получив статуса оператора персональных данных согласно 781-му Постановлению Правительства РФ и лицензии ФСТЭК, согласно 504-му Постановлению Правительства.
6. Но и другие моменты в приказе вызывают вопросы. Например, в п.6 определены категории обрабатываемых данных. Но я так и не понял, в чем коренное отличие 2-ой и 3-ей категории. Да и с категорированием опять намудрили. Идея-то была здравая — не всех под одну гребенку грести, а дифференцировать. Но… под первую категорию попадают почти все системы. Достаточно вспомнить пресловутый «пятый пункт», который по прежнему встречается во многих анкетах при приеме на работу.
7. 14-ый пункт определяет классы типовых информационных систем персональных данных, о которых я уже высказался. Но и с этими классами опять напортачили. В чем их отличие? Только в одном — в последствиях нарушений заданной характеристики безопасности. Логично, в общем-то. Только в приказе последствия разделяются так:
— незначительные негативные последствия
— (просто) негативные последствия
— значительные негативные последствия.
Я еще могу понять деление на значительные и незначительные (бинарная классика — ноль и единица). Но чем просто ненативные последствия отличаются от незначительных или от значительных?
И вообще что такое негативные последствия для субъекта персональных данных? Кто это определяет? Согласно приказу, это делает оператор. Но он не знает, как отнесется тот или иной субъект персональных данных к нарушению безопасности. Например, для одного человека факт опубликования его возраста не является хоть сколь -нибудь значимой проблемой, а для другого — это «смерти подобно». Оператор не может знать этого заранее.
8. Интересен 17-ый пункт. Если, например, у нас есть система отдела кадров, которая относится к классу К1 (самый высокий класс), а вся остальная сеть относится к классу К4 (самый низший), но при этом данные передаются по единой ЛВС (через одно и тоже сетевое оборудование), то всей сети должен быть присвоен класс К1. Со всеми вытекающими отсюда последствиями… Как этого избежать? Только физическим сегментированием сети. Возможно на практике специалисты, проводящие проверку, и не будут строго следить за этим, но пока 17-ый пункт толковать можно только так. Есть надежда, что со временем появятся разъяснения, в которых будет сказано, что логическое разделение возможно при условии использования сертифицированного оборудования (тех же межсетевых экранов или коммутаторов с ACL). Надежда есть, коль скоро у нас разрешено подключение сетей с гостайной к Интернет.
Ну вот, пожалуй, и весь краткий анализ очередного чуда наших законотворцев. И как не вспомнить слова Виктора Степановича Черномырдина, который вчера отметил свое семидесятилетие: «Хотели как лучше, а получилось, как всегда»…
Поскольку документ до сих пор не был официально опубликован — то юридически не вступил в силу. Да и трудно представить классификацию ПД предпринимателем (п.2 приказа) на основании Приказа ФСТЭК, ФСБ и Минсвязи. Это должен быть более «солидный» документ.
В целом согласен с автором статьи.
/Surfer/
если подключить сеть кадровиков к общей сети или к Интернет, то есть вероятность утечки информации. подключать нельзя. простите, кадровики.
хотя с другой стороны непонятно как обеспечить доступ кадровиков к интранету — внутреннему порталу. если только отдельным VLAN их подключать к одному из интерфейсов сервера, на котором находится портал? а все остальные будут заходить через другой интерфейс — соотвественно единственный способ заразить компьютер кадровика — взломать портал.
то же самое с другими ресурсами: с той же электронной почтой. кто гарантирует что в почте у кадровика нет троянов?
Да и трудно представить классификацию ПД предпринимателем (п.2 приказа) на основании Приказа ФСТЭК, ФСБ и Минсвязи. Это должен быть более «солидный» документ.
Есть ФЗ 152 и Постановление Правительства 781. Для предпринимателей этого достаточно. Согласно этим двум законам вопросы методического и разъяснительного характера лежат на ФСТЭК, ФСБ и Мининфорсвязи. Они и выпустили документ, предусмотренный вышеупомянутыми законами.
по п.6 комментария — на мой взгляд все достаточно просто:
если мы можем просто отличить Иванова И.И. от другого Иванова И.И. (например по номеру паспорта) то это категория 3, а вот если мы про этого Иванова И.И. можем еще что-то сказать, например размер его обуви, или оценки, полученные им в 3 классе 20 лет назад — то это категория 2.
Несомненно, основная масса деловых систем почти автоматически в нее и попадает.
По 7 пункту:
если кто-то что-то про вас узнал, то это просто негативные последствия. А вот ежели на основании эти данных какие-то юридические последствия для вас произошли, скажем, из квартиры вас выселили, то это — значительные.
если кто-то что-то про вас узнал, то это просто негативные последствия. А вот ежели на основании эти данных какие-то юридические последствия для вас произошли, скажем, из квартиры вас выселили, то это — значительные
Вы судите с позиции субъекта персданных, а по приказу последствия определяет оператор. Возьмем ЕГРН (единый реестр налогоплательщиков) — для пенсионерки опубликование размера ее пенсии или адреса некритично, а для главы Лукойла — очень даже. А ведь эти данные хранятся в ОДНОЙ базе.
Это как раз со стороны субъекта оценка угрозы. А для оператора, или, госорганов, перед законом все должны быть равны. Другое дело, что…
Просто как всегда — как не должно быть — это понятно. Не понятно — как должно быть. Посмотреть бы на документы ФСТЭКа — я правда, если честно, сомневаюсь, что там намного лучше.
чтобы познакомиться с ПДД, нужно сначала получить водительское удостоверение)))
Автор пишет…
«В целом критерии выбраны правильные, но… в п.15 класс рассчитывается только исходя из первых двух параметров. Возможно это сделано осознанно, т.к. по тексту приказа определяются 2 типа ИС — типовые и специальные. Первые — это те, где нужно обеспечить только конфиденциальность. Во вторых нужно обеспечить помимо конфиденциальности и еще хоть одну из характеристик персональных данных — защиту от уничтожения, изменения, блокирования и иных несанкционированных действий. Так вот класс ИС согласно п.15 определяется только для типовых систем. Но таких систем в природе практически нет. Где вы видели системы, в которых не надо обеспечить целостность и доступность?»
Пример: отдел кадров организации.
Конфиденциальность — предотвращение несанкционированного раскрытия информации. Как известно, дискреционный принцип контроля доступа реализован в каждой современной информационной системе (ИС). Вся информация в ИС (для отдела кадров) с момента подачи заявления о приеме на работу и до приказа об увольнении работника вводится с бумажных носителей( срок их хранения определен). Наличие исходных документов позволяет восстановить ИС в случае реализации угроз целостности и доступности «защиту от уничтожения, изменения, блокирования и иных», что позволяет отнести ИС к «типовым».
Исключение, — ИС с элементами «безбумажного» электронного документооборота.
«Пятая графа»? — думаю для коммерческих и большинства гос. организаций не нужна и не ведется, в других случаях это другие требования.
Дмитрий, Волгоград.
Пример: отдел кадров организации. Вся информация в ИС (для отдела кадров) с момента подачи заявления о приеме на работу и до приказа об увольнении работника вводится с бумажных носителей.
Вся ли? В бумажном виде она только на первом и последнем этапах. Все «мелочи» пойдут уже в электронном виде. Кроме того, наличие бумажек не делает неважным обеспечение целостности системы. Пример. В кадровой системе модифицируется поле «количество детей» и вместо 0 будет стоять 3. После этого, бухгалтерия начнет использовать льготное налогообложение (для подоходного, например), как для многодетной семьи.
«Пятая графа»? — думаю для коммерческих и большинства гос. организаций не нужна и не ведется
Ведется, т.к. большинство организаций по старинке использует старые формы анкет, где этот пункт указывается. А если еще вспомнить, что сегодня многие компании организуют для своих сотрудников медстраховку, то у нас появляется в кадровых ИС информация о здоровье, что опять же выносит такую систему на 1-ый класс.
Допустим изменения о количестве детей вносили со слов родителей, или даже «от балды», но делал это пользователь, прошедший идентификацию и аутентификацию, в рамках предоставленных ему прав модификации информации в ИС. Если речь идет о модификации воздействием не со стороны пользователей ИС, то в есть архив на бумажном носителе. Пока я вижу только 3 класс, для отдела кадров большинства организаций.
Если организация обрабатывает в одной из ИС автоматизированной системы организации медицинские справки о состоянии здоровья сотрудников (к примеру, — справка 086/у), то 1 класс.
В большинстве организаций работник предоставит больничный лист, затем в табеле учета рабочего времени в ИС (возможно, более чем в одной) появится «б». Это не 1 класс.
Медстраховка – это полис ОМС или ДМС? У меня полис ОМС (организация выдала), в нем информация на 1 класс не тянет, в ИС отдела кадров тоже.
Для медицинских учреждений 1 класс, это мрак. Но и здесь надо учесть, что ИС и АС не одно и тоже.
Ваша статья мне понравилась детальным анализом исходного документа. Но 1 класс для всех у кого есть отдел кадров? Думаю, лицензиаты этого не вынесут.
Так не все и будут подавать документы… Добропорядочный крупняк пойдет и достаточно. Столько денег на лицензирование и аттестацию ;-(
Скажите, а чтобы разрабатывать ИС,где есть персональные данные, нужно ли организации получать какие-либо лицензии на это?
Нет