Проблемы, возникающие при попытке выполнить требования Федерального закона №152-ФЗ “О персональных данных” слишком часто переоцениваются. Со стороны компаний, предлагающих свои услуги в данной области, здесь просматривается умысел. Со стороны же самих операторов ПДн – невнимательное чтение первоисточников и трудности с интерпретацией хитросплетений российской нормативной базы в области защиты информации.
Попробуем же разобраться с существующей мифологией. С этой целью рассмотрим наиболее распространенные заблуждения насчет обязанностей операторов ПДн.
Заблуждение 1. Закон требует от операторов получения согласий на обработку ПДн от субъектов ПДн
Во многих случаях это не так.
Многим операторам ПДн вовсе не требуется получение согласий от субъектов ПДн на обработку данных. Часть 2 Статьи 6 ФЗ-152 определяет для этого довольно много случаев, включая статистическую и научную деятельность; защиту жизни, здоровья или иных жизненно важных интересов субъекта; доставку почтовых отправлений; расчеты с пользователями услуг связи; журналисткую, литературную деятельность и прочие виды творческой деятельности и т.д.
Если обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект ПДн (очень распространенный случай), то никаких согласий также не требуется. Не стоит беспокоится о получении согласий туристическому бизнесу, операторам связи и всем кто предоставляет услуги физическим лицам по договору. Излишне напоминать и о том, что не требуется никаких согласий от ваших собственных сотрудников и прочих лиц, состоящих с вами в трудовых отношениях.
Не требуется также получения согласий, если обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов ПДн. Законов таких, я подозреваю, довольно много: об оперативно-розыскной, врачебной, адвокатской, благотворительной, банковской и прочих видах деятельности. Если какой-либо ФЗ, регулирующий ваш вид деятельности, например, в качестве профессионального участника рынка ценных бумаг, предусматирвает получение ПДн от субъектов и их обработку в целях осуществления вашей деятельности, то никаких согласий вам для этого не требуется. Есть еще законы о бухгалтерском учете, об акционерных обществах, об ООО и много чего еще…
Не требуется получение согласий на обработку персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, кандидатов на выборные государственные или муниципальные должности и т.п.
Кроме этого, Часть 3 Статьи 6 делает исключение и для специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. В частности, п. 4 Части 2 Статьи 10 разрешает обработку персональных данных, которая “осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну”, при этом никаких согласий не требуется. Выходит зря так переживают представители медицинских учреждений на этот счет: Персональные данные в медицине: лечить или собирать согласия?
Согласно той же Статье 10 не стоит также беспокоиться о согласиях и органам правосудия и органам правопорядка и МЧС, общественным и религиозным организациям и многим государственным органам.
Заблуждение 2. Оператор обязан уведомить Роскомнадзор об обработке персональных данных
Во многих случаях это не так.
Часть 2 Статьи 22 определяет случаи, в которых уведомление об обработке ПДн не является обязательным:
- если субъекта ПДн связывают с оператором трудовые отношения
- если обработка ПДн осуществляется лишь для исполнения договора, заключенного с субъектом ПДн
- если персональные данные относятся к членам общественных объединений или религиозных организаций
- если персональные данные являются общедоступными
- если персональные данные включают только ФИО
- если персональные данные необходимы только для однократного пропуска субъекта ПДн на территорию организации или в аналогичных целях
- если речь идет о федеральных АИС, а также государственных АИС, созданных для обеспечения безопасности государства и защиты общественного порядка
- если обработка персональных данных осуществляется без использования средств автоматизации в соответствии с законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных
Рассмотрим чуть более сложный случай, который в законе явным образом не обозначен.
Во всех организациях есть системы электронной почты, в которых содержаться персональные данные представителей внешних сторон (партнеров, клиентов, поставщиков, подрядчиков и т.п.). Эти персональные данные обычно включают в себя ФИО, адрес электронной почты, почтовые адреса, рабочий и мобильный телефоны. Если даже не ведутся адресные книги в Outlook, то все равно эта информация содержиться в почтовой базе в виде подписей к сообщениям. К сожалению этот случай не подпадает под рассмотренные исключения. Казалось бы, это означает, что по закону здесь необходимо уведомлять Роскомнадзор об обработке персональных данных?
Однако этого можно избежать, если признать эти данные общедоступными. Часть 12 Статьи 3 дает следующее определение: “Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных”. Если подпись, содержащая контактную информацию субъекта ПДн, автоматически проставляется во всех его электронных сообщениях, как это имеет место быть на практике, то эти данные фактически являются общедоступными, т.к. предоставляются с согласия субъекта потенциально неограниченному кругу лиц. Значит и здесь операторам не стоит сильно беспокоиться.
В продолжении темы развенчаем еще один популярный миф, сформировавшийся вокруг закона о персональных данных – ” Миф о минимизации класса защищенности ИСПДн”.
Заблуждение 3. Стоимость создания системы защиты персональных данных тем выше, чем выше класс ИСПДн, поэтому класс ИСПДн непременно следует минимизировать
Данное заблуждение распространено ничуть не меньше, чем рассмотренные ранее. На тему минимизации класса ИСПДн пишутся статьи, разрабатываются “методики” и проводятся учебные семинары. Многие заказчики включают мероприятия по минимизации класса ИСПДн отдельным пунктом в ТЗ на создание СЗПДн. В чем же заключается сущность столь важных мероприятий?
Считается, что понижая класс ИСПДн с К1 до К2, а с К2 до К3 и т.д., понижаются и требования к системе защиты ПДн, а значит и стоимость ее создания. Звучит на первый взгляд вполне логично. Пока неясно правда насколько в результате снижается стоимость СЗПДн и как такое снижение стоимости соотносится с затратами оператора ПДн на минимизацию класса ИСПДн, т.к. в результате обычно вместо одной ИСПДн более высокого класса у оператора возникает сразу несколько ИСПДн более низкого класса, а значит вместо одного проекта защиты возникает и неколько проектов. Также пока не совсем понятно каких-таких страшных требований безопасности пытается избежать оператор ПДн путем минимизации класса ИСПДн и сколько может стоить реализация данных требований.
Остается под вопросом и легитимность подобных мероприятий “по минимизации класса ИСПДн”. Ведь одно дело, когда класс ИСПДн понижается за счет того, что оператор просто отказывается от обработки избыточных данных и совсем другое дело, когда состав и объем обрабатываемой информации фактически не изменяется, состав автоматизированных средств и методы обработки ПДн тоже остаются теми же что и были, а все манипуляции по минимизации класса ИСПДн производятся в основном на бумаге. Признают ли регуляторы впоследствии такую классификацию? Не выйдет ли так, что оператор ПДн в конечном счете перехитрил лишь самого себя?
Допустим, что оператор ПДн или его подрядчик провели предпроектное обследование, разработали модель угроз, честно сформировали акты классификации ИСПДн, затем разработали ТЗ на создание СЗПДн по каждой ИСПДн, затем разработали технический проект(ы) СЗПДн и осметили ее стоимость. Эта стоимость конечно оказалась для оператора непомерно высокой (как и любые затраты на защиту информации вообще) и он конечно озадачился ее снижением.
Каким образом можно снизить стоимость СЗПДн? Вариантов здесь множество: замена одних СЗИ информации на другие более дешевые, замена наложенных СЗИ встроенными, замена технических мер защиты организационными, разработка более простого и эффективного решения по защите, оптимизация процесса внедрения СЗПДн, пересмотр актуальности определенных угроз (или принятие связанных с ними рисков), оптимизация процессов обработки ПДн и т.п. А может быть для минимизации расходов на создание СЗПДн просто стоит выбрать другого подрядчика или организовать тендер? Сейчас на неорганизованном и дезориентированном рынке ИБ цены на одни и те же работы у разных компаний могут различаться в разы. А может быть для минимизации стоимости СЗПДн просто стоит более внимательно перечитать сам закон и принятые на его основе нормативные документы, а не полагаться полностью на советы консультантов, заинтересованных прежде всего не в минимизации, а в максимизации стоимости проекта?
Допустим, что, рассмотрев все перечисленные выше способы снижения стоимости ИСПДн, оператор все же принимает довольно странное решение о минимизации классов ИСПДн. Какова будет его экономия в этом случае и какие будут дополнительные затраты на такую минимизацию? Допустим оператор снижает класс ИСПДн с К1 до К2, разделив свою ИСПДн (организационно и технически) на несколько, каждая из которых обрабатывает меньший объем ПДн. Согласно РД ФСТЭК “ПОЛОЖЕНИЕ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ” в этом случае для “вновь появившихся ИСПДн” можно не выполнять следующие требования безопасности:
- реализация методов и способов защиты акустической информации (п. 3.4) (требование актуально только при применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем)
- оценка соответствия СЗИ по 4 уровню контроля отсутствия недекларированных возможностей (п. 7 Приложения)
И это все отличия (не считая стандартных для РД ФСТЭК различий между требованиями к подсистемам управления доступом, контроля целостности, регистрации и учета, межсетевого экранирования, которые сейчас реализуемы в любых современных системах без дополнительных затрат). Кто не верит – внимательно перечитайте указанный РД.
Средства противодействия ПЭМИН могут применяться в ИСПДн 1 класса в случае актуальности соответствующих угроз (определяется экспертным методом самим же оператором). Про наделавшие в свое время шум лицензии и аттестации ни слова не сказано. Даже понятие сертификации заменено более мягким и мало к чему обязывающим понятием – “оценка соответствия”.
В итоге единственным реальным требованием, на котором можно было бы попытаться съэкономить за счет минимизации класса ИСПДн остается оценка соответствия СЗИ по 4 уровню контроля отсутствия НДВ. Учитывая, что практически все отечественные СЗИ, проходящие сертификацию в ФСТЭК, имеют сертификаты по 4 уровню контроля отсутствия НДВ, никакой экономии здесь быть не может. Ведь оценка соответствие требуется и для ИСПДн более низких классов. Поэтому после минимизации класса ИСПДн в проектном решении ровным счетом ничего не меняется, зато вместо одного проекта мы получаем несколько, усложнение структуры ИСПДн и соответствующее увеличение стоимости. В случае минимизации с К2 до К3 бесполезность данного мероприятия еще очевидней.
Еще какой-то выйгрыш по стоимости создания системы защиты для ИСПДн более низкого класса мог теоретически быть получен пока действовали отмененные нормативные документы ФСТЭК. Да и то требования по лицензированию деятельности операторов ПДн в области ТЗКИ все юристы единодушно признавали нелигитимными, а требование по аттестации не сильно увеличивало общую стоимость при грамотном внедрении СЗПДн, т.к. аттестацию ИСПДн можно было совместить с приемо-сдаточными испытаниями, не беря за это дополнительных денег (в случае если весь проект реализуется одним подрядчиком).
Более того, в знаменитом “приказе трех“, определяющем порядок проведения классификации ИСПДн, говориться о том, что для специальной ИСПДн (к специальным относят все “информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)) “класс информационной системы определяется на основе модели угроз безопасности персональных данных”, а модель угроз, как известно, определяется самим оператором методом экспертной оценки. Поскольку фактически все ИСПДн можно отнести к специальным, то для них оператор сам может определять и класс и требования по защите на основании разработанной им же модели угроз, не обращая внимания на классы К1-К4, определяемые для типовых ИСПДн.
Как видим, наша нормативная база в области защиты ПДн настолько “гибкая”, что и сегодня и раньше мероприятия по “минимизации класса ИСПДн” не имели никакого практического смысла для тех, кто знает как осуществляется разработка и внедрение систем защиты информации и внимательно читает нормативные документы.
PS
Я уже писал ранее об эпидемических внушениях в области информационной безопасности. Закон о персональных данных послужил тогда, на мой взгляд, очень удачным примером такого эпидемического внушения. С тех пор ситуация вокруг ФЗ-152 умиляет меня еще больше. Сначала законодатели, потом регуляторы, потом интеграторы, а с ними и многочисленные вновь созданные специально под ФЗ-152 конторы, безусловно преследуя каждый свою выгоду, разогнали этот “снежный ком” таким образом, что широкая общественность уже не имела возможности далее игнорировать вопрос защиты персональных данных. В обществе возник резонанс, породивший очень агрессивную, открытую и единодушную критику в отношении и законодателей и регуляторов. В результате они были вынуждены принимать уже срочные меры для того, чтобы остановить “снежный ком”, который сами же и разгоняли. Сначала Госдума преподнесла операторам ПДн подарок под новый 2010 год, перенеся срок приведения ИСПДн в соответствие с ФЗ-152 на год — с 1 января 2010 г. до 1 января 2011 г., а также исключив из закона норму, обязывающую оператора при обработке ПДн использовать криптографические средства для защиты данных. Затем ФСТЭК выпустила новый руководящий документ по защите персональных данных и отреклась от двух предыдущих документов, прямо предписывающих операторам осуществлять лицензирование деятельности по ТЗКИ и аттестацию ИСПДн по требованиям безопасности информации. В новом документе, в отличии от предыдущих даже прошедшем регистрацию в Минюсте, требования по защите ПДн сформулированы настолько мягко и ненавязчиво, что операторам ПДн теперь следовало бы возликовать, если бы не опасение, что данный руководящих документ отнюдь не последний и не окончательный. Законодатели же идут теперь еще дальше: в Государственной думе РФ рассматривается в первом чтении так называемый Резниковский проект закона “О внесении изменений в Федеральный закон “О персональных данных”, согласно которому перечень и характер мер, принимаемых оператором для обеспечения безопасности обрабатываемых персональных данных урегулируется соглашением между субъектом и оператором ПДн.
Таким образом, начали с противоречивых и сложнореализуемых требований по защите ПДн, затем перешли к минимизации класса ИСПДн (читай этих требований) и прочей алхимии, и в результате заканчивают полным отрицанием любых обязательных требований, переходя к подписанию мировых соглашений с субъектами ПДн, ничего в данных требованиях не понимающими. “Снежный ком” рассыпается на глазах…
Comments (14)
Игорь 07-12-2010 08:07
Отмена криптографии
Что значит, “исключив из закона норму, обязывающую оператора при обработке ПДн использовать криптографические средства для защиты данных” – что СКЗИ можно не применять? А как же постановление правительства № 781 статья 2-ая, в которой и определяются методы организации безопасности ПДн, и в которой явно прописано требование использовать шифровальные (криптографические) средства и которая (статья) не отменяется упомянутыми изменениями в законе 152 о ПДн.
Изменения всего лишь убирают “дублированность” требования использовать СКЗИ и в законе и в постановлении. Часть 2 ст 19 закона 152 по-прежнему утверждает, что
“Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” и сл-но, руководствуясь этими требованиями, СКЗИ применяться должны.
На мой взгляд, имеет место неправильная трактовка изменений к ФЗ 152, изложенных в №363-ФЗ.
Александр Астахов 07-12-2010 08:28
отмена криптографии
Во-первых, у меня не написано что СКЗИ можно не применять (хотя это действительно так), я писал, что “из закона исключили норму, обязывающую оператора при обработке ПДн использовать криптографические средства для защиты данных” (такую норму из закона действительно исключили).
Во-вторых, в постановлении 781 написано не про обязательность применения шифровальных средств, а лишь перечисленно при помощи каких мер (в том числе и шифровальных) обеспечивается безопасность персональных данных. Далее говориться, что конкретные меры и средства определяются ФСТЭК и ФСБ. Зависит этот выбор конкретных мер от классификации ИСПДн и модели угроз, как нам с вами известно.
Как бы не критиковали наших регуляторов, они никогда не дойдут до маразма, чтобы требовать обязательного применения СКЗИ в любых ИСПДн, независимо от существующих угроз ПДн.
Tiger 29-01-2011 09:39
Re
Интересная тема 🙂
Я бы правда, сделал другой несколько акцент. О том, что проблематика ПДн несколько перераздута. Особенно в направлении техзащиты. Обсуждать техзащиту, методы и т.п. нужно (раз уж обязывают, а так-то вообще это все надо отменить!), но спешить внедрять решения я бы не стал. Кстати, обратите внимание, что большинство операторов и без всяких статей.. я б сказал интуитивно.. занял выжидающую позицию в этом направлении.
>Остается под вопросом и легитимность подобных мероприятий “по минимизации класса ИСПДн”. Ведь одно дело, когда класс ИСПДн понижается за счет того, что оператор просто отказывается от обработки избыточных данных и совсем другое дело, когда состав и объем обрабатываемой информации фактически не изменяется, состав автоматизированных средств и методы обработки ПДн тоже остаются теми же что и были, а все манипуляции по минимизации класса ИСПДн производятся в основном на бумаге.
Согласен, это лукавство, коих много. Когда не знаешь как исполнить начинаешь придумывать “методы”.
>Признают ли регуляторы впоследствии такую классификацию? Не выйдет ли так, что оператор ПДн в конечном счете перехитрил лишь самого себя?
В реале тут все просто. Вам сделал все лицензиат ФСТЭК? Значит все верно.. это как сам ФСТЭК сделал. А вот если вы сами – тогда будут вопросы.
>А может быть для минимизации расходов на создание СЗПДн просто стоит выбрать другого подрядчика или организовать тендер? Сейчас на неорганизованном и дезориентированном рынке ИБ цены на одни и те же работы у разных компаний могут различаться в разы.
Это хорошо для Москвы. В регионе выбор как бы поменьше.. а цены – договорные.. т.е. возможные подрядчики договорились уже между собой о ценах на каждую услугу;-)
>Даже понятие сертификации заменено более мягким и мало к чему обязывающим понятием – “оценка соответствия”.
Неее.. реально “оценка соответствия”=”сертификация” сейчас. Есть тайное ПП330.
> а требование по аттестации не сильно увеличивало общую стоимость при грамотном внедрении СЗПДн, т.к. аттестацию ИСПДн можно было совместить с приемо-сдаточными испытаниями, не беря за это дополнительных денег (в случае если весь проект реализуется одним подрядчиком).
А переаттестация после установки обновлений, например? А обновления Вин выходят через день. А антивируса – несколько раз (а у некоторых и сот раз) в день. Это неисполнимое требование.
>Поскольку фактически все ИСПДн можно отнести к специальным, то для них оператор сам может определять и класс и требования по защите на основании разработанной им же модели угроз, не обращая внимания на классы К1-К4, определяемые для типовых ИСПДн.
Еще одна вечная тема ;-). Объясните, как вы на основе модели угроз определите класс специальной системы? Какие классы спец. систем существуют? У вас есть некая МУ для вашей специальной ИСПДн с угрозами ABC – какой класс этой СПЕЦИАЛЬНОЙ ИСПДн? 😉
Лучше отметить, что этот вопрос никак не урегулирован и проблема нуждается в решении со стороны государства.
>PS
Что касается РS и ниже. Факты вы излагаете вроде как и правильно, однако, как у субъекта ПДн, у меня возникает некое ощущение безысходности.
Однако, все не так плохо на самом деле. ИМХО проблема в том, что мы все очень спешим. Вспомните про десятиления внедрения закона в Великобритании!..У вас же это где-то тут написано! Кроме того, ИМХО, сначала государству (как основному источнику утечек!) неплохо было бы показать как оно выполняет свои же законы! Т.е. распространить ФЗ только на государственные и муниципальные организации ВНАЧАЛЕ. А уж после на коммерческие. Т.е. в срок до такого то.. государству.. А до такого то – остальным.
Глядишь, к тому моменту и непротиворечивая правовая база подойдет.
Александр Астахов 30-01-2011 08:20
минимизация класса ИСПДн
1) Перекладывание ответственности за защиту ПДн на подрядчика (лицензиата ФСТЭК) – нормальный ход. Однако легитимность вашей классификации ИСПДн определяется не тем, кто ее проводил, а тем соответствует ли эта классификация действующим нормативным документам. Среди лицензиатов и нелицензиатов “минимизаторов” хватает, поэтому и статья была написана.
2) тайные ПП не имеет смысла обсуждать, пока они не стали явными.
3) для установки обновлений ПО и антивирусных баз переаттестации не требуются.
4) имеющиеся нормативные документы по классификации ИСПДн и моделированию угроз безусловно нуждаются в доработке, однако никто не мешает нам сейчас на основании “приказа трех” присваивать один из классов К4-К1 специальной ИСПДн, базируясь на модели угроз. Ведь, согласно упомянутого приказа, класс ИСПДн определяется степенью негативных последствий для субъектов ПДн, которая может быть определена на основе модели угроз. (Если у вас типовая ИСПДн, тогда для определения класса ИСПДн нужно использовать таблицу “количество записей ПДн – категория ПДн”).
Что касается ощущения безысходности, то я в своих публикациях страстей не нагнетаю. Вопросам законодательного и нормативного регулирования у нас в стране уделяется незаслуженно много внимания. Принятием новых законов или изменением старых всех проблем не решишь. Безопасникам нужно поменьше обсуждать тексты поправок № …, к п. № …., подпункта № …, статьи №…., а заниматься реальной безопасностью, иначе у нас через пару лет в сфере ИБ останутся в основном бюрократы и протиратели штанов, а кто страну и бизнес будет защищать от реальных информационных угроз?
Tiger 31-01-2011 04:51
Ответ
>2) тайные ПП не имеет смысла обсуждать, пока они не стали явными.
Ок, но и без него я бы не сказал, что есть основания утверждать, что “оценка соответствия” не равна”сертификации” сейчас. Остальное покажет время, но предпосылок для позитивных сдвигов пока нет.
>3) для установки обновлений ПО и антивирусных баз переаттестации не требуются.
Если у меня стоит скажем сертифицированная Виндоуз 7 СервисПак1 , а после я накатываю СервисПак2 – то у меня остается сертифицированная Виндоуз7? 😉 И в ней типа нет не декларированных возможностей? ;-). Про антивирус – спорить не буду – не разбирался 😉
>класс ИСПДн определяется степенью негативных последствий для субъектов ПДн, которая может быть определена на основе модели угроз
А какая должна быть степень негативных последствий и по каким конкретно угрозам, чтоб присвоить ИСПДн класс К3? Как кстати правильно написать в акте классификации – специальная (K3), K3 специальная или еще как-то.. или как мне захочется?;-)
>Принятием новых законов или изменением старых всех проблем не решишь. Безопасникам нужно поменьше обсуждать тексты поправок № …, к п. № …., подпункта № …, статьи №…., а заниматься реальной безопасностью, иначе у нас через пару лет в сфере ИБ останутся в основном бюрократы и протиратели штанов, а кто страну и бизнес будет защищать от реальных информационных угроз?
Это верно, только почему ведь изучают поправки.. Мы решаем задачу (как пример – соответствия ФЗ№152), однако условия-то задачи нам еще не сказали!!! Меня как-то учили – сначала условия. после решение.. Более того – меня учили внимательно читать условие!
И меня то удивляет именно это – условия задачи постоянно меняются, косяков и противоречий в данной задаче масса, однако “предоставители услуг” всегда готовы продать вам решение “невзирая на это”. И кто лучше – кто поправки читает или такие решения “невзирая ни на что” продает тоже ведь еще вопрос. ;-(
Но реальной безопасностью заниматься нужно, это верно сказано.
Александр Астахов 31-01-2011 05:15
классификация ИСПДн
>Если у меня стоит скажем сертифицированная Виндоуз 7 СервисПак1 , а после я накатываю СервисПак2 – то у меня остается сертифицированная Виндоуз7? 😉 И в ней типа нет не декларированных возможностей? ;-).
Мы говорим про аттестацию или про сертификацию? Во-первых, для аттестации в общем случае не обязательно, чтобы Windows у вас была сертифицирована. Вы можете поверх несертифицированной Windows установить, например, сертифицированный Dallas Lock, который закроет все обязательные требования по защите от НСД по классу К2. Во-вторых, для сертифицированной Windows существует механизм установки сертифицированных обновлений по доверенному каналу.
>А какая должна быть степень негативных последствий и по каким конкретно угрозам, чтоб присвоить ИСПДн класс К3? Как кстати правильно написать в акте классификации – специальная (K3), K3 специальная или еще как-то.. или как мне захочется?;-)
Для того, чтобы присвоить ИСПДн класс К3 у вас должна быть “незначительная” степерь негатинвых последствий для субъектов ПДн хотя бы по одной из угроз или по совокупности угроз или по совокупности последствий. Можете написать “К3, специальная” или еще как-нибудь. Никто вас не просит ограничиваться только данной классификацией, которая очевидно не выдерживает критики. Мы, например, дополнили базовую модель угроз и соответствующую методику ФСТЭК и для каждой угрозы и актива еще и риски считаем, а затем для снижения рисков в отношении ПДн, выбираем правильные контрмеры, в том числе и с учетом требований 58 приказа ФСТЭК и других руководящих документов.
Tiger 01-02-2011 06:51
Re Doc
>Во-вторых, для сертифицированной Windows существует механизм установки сертифицированных обновлений по доверенному каналу.
Да, это мне известно..если б за такие обновления еще и денег не брали 😉
>”незначительная” степень негативных последствий для субъектов ПДн хотя бы по одной из угроз
Ответ понятен, хотелось бы чтоб это все более явно было прописано в документах.
Пока об этом можно только догадываться..
Т.е. почему бы явно так и не написать??
> Для того, чтобы присвоить ИСПДн класс К3 у вас должна быть “незначительная” степерь негатинвых последствий для субъектов ПДн хотя бы по одной из угроз или по совокупности угроз или по совокупности последствий
Александр Астахов 01-02-2011 06:57
классификация ИСПДн
>Т.е. почему бы явно так и не написать?? Для того, чтобы присвоить ИСПДн класс К3 у вас должна быть “незначительная” степерь негатинвых последствий для субъектов ПДн
Этого я не знаю, но по-хорошему там все надо переписывать и не останавливаться на моделях угроз и классах ИСПДн при определении состава требований ИБ (защитных мер), а оценивать и обрабатывать риски. Для этого уже не первый год существуют и стандарты и методики и инструменты.
Tiger 02-02-2011 07:19
Класс
>Этого я не знаю, но по-хорошему там все надо переписывать
Про закон – да. В свое время тут предложения собирали
http://www.fz-152.org/forum/
>а оценивать и обрабатывать риски
К стандартам и рискам многие не готовы. То что хорошо мне другому не подойдет.. хоть бы из-за размера бизнеса, неготовности тратить на это и много чего еще 😉
Александр Астахов 02-02-2011 09:37
к рискам многие не готовы
Значит надо готовится, причем именно с этого и начинать. Стандарты и методы оценки рисков – это инструменты, позволяющие на систематической основе принимать правильные решения в области ИБ, не тратить впустую деньги, расставлять приоритеты, выбирать из множества противоречивых и порой неграмотно сформулированных требований те, которые имеют смысл для конкретной организации (и правильно интерпретировать эти требования), а также грамотно и убедительно обосновывать принятые решения. Без этого менеджмент ИБ в современных условиях невозможен. Слишком много существует угроз и требований. Инструменты эти, если их грамотно используют, всегда обходятся значительно дешевле, чем их отсутствие.
Tiger 05-02-2011 01:25
ReRe
>Для того, чтобы присвоить ИСПДн класс К3 у вас должна быть “незначительная” степерь негатинвых последствий для субъектов ПДн хотя бы по одной из угроз или по совокупности угроз или по совокупности последствий. Можете написать “К3, специальная” или еще как-нибудь.
Александр, отличный пример нашел прямого использования! не мое.. цитирую;-)
“Возьмем типовое бухгалтерское делопроизводство – пусть будет система 1С на 200 сотрудников организации. По стандартной классификации ставим К3 (3 класс по количеству и 2 по классу данных). К3 – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
Идем дальше – в Методике определения актуальных угроз, когда осуществляется классификация опасности угроз, прямо написано:
низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
То есть идет прямая привязка между классами ИСПДн и опасностью потенциальных угроз. Хорошо, классификация у нас для типовых – только конфиденциальность. Возьмем угрозу разглашения данных или получение несанкционированного доступа к ИСПДн и ПДн в частности. По здравой логике получение пароля администратора к 1С имеет как минимум средний уровень опасности. Но вот, если следовать “букве”, то мы не можем его поставить – иначе почему тогда К3? В общем это не стыкуется. Или мы должны закрыть глаза и для всех угроз ИСПДн К3 писать уровень опасности не выше низкого (при этом для актуальности угроз вероятность должна быть высокой или выше, что тоже не так уж часто), при этом многие объективные угрозы перестанут быть актуальными.
Или же пойдем обратно (всегда речь шла об обратном, а тут на тебе!) – по результатам оценки угроз повысим класс ИСПДн? если с К3 на К2, то ещё ладно… а вот если угрозу оценим как высокую, то и на К1, так, что ли?
…Если у нас даже 5 субъектов обрабатываются, но последствия могут быть значительными – те же данные медицинского полиса нарушенные или пенсионные отчисления или размер заработной платы изменить – это явно не незначительные последствия, особенно в глазах самого субъекта. И трактовка опасности угроз тоже относительная… но если так написано сейчас – что с этим делать?”
Что скажете? 😉
Александр Астахов 06-02-2011 12:15
связь классов ИСПДн и модели угроз
Подобные изыскания, сродни попыткам нахождения черной кошки в темной комнате, тем более, что ее там нет. Надо просто признать, что нормативная база в области защиты ПДн еще не сформирована. Например, на практике мне еще ни разу не встречались так называемые “типовые” ИСПДн. Какие же они тогда типовые, если их в природе не существует? Значит разделение ИСПДн на типовые и специальные лишено смысла. В основе предложенной классификации лежит оценка негативных последствий (ущерба) для субъектов ПДн, однако никакой методики оценки ущерба (и соответствующей ценности информационных активов – ПДн) не предложено, не существет единого мнения насчет того, какой ущерб считать значительным, а какой незначительным, и в чем этот ущерб выражается. Отнесение ИСПДн к различным классам на основании количества записей ПДн также сомнительно. Порой стоит добавить всего одну запись и ИСПДн переходит в следующий более высокий класс, или наоборот разделить БД ИСПДн на две независимые части, которые переходят в более низкий класс. А привязанные к классам требования по защите ПДн не вытекают не из чего, кроме как из предыдущих версий нормативных документов в области защиты информации. Моделей угроз, как бы обстоятельно они не прорабатывались, явно недостаточно для того, чтобы принимать решения по контрмерам. Для этого необходима не только оценка угроз, но также оценка ценности активов (потенциального ущерба), анализ уязвимостей по каждой угрозе и уже анализ уже используемых контрмер.
Другими словами без оценки рисков у вас все равно не получиться правильно выбрать меры по защите ПДн для конкретной организации и правильно расставить приоритеты по их реализации. Даже если вам дать готовые наборы требований, то без оценки рисков вы не сможете их правильно интерпретировать, не сможете оценить какой бюджет целесообразно выделить на их реализацию и как этот бюджет соотносится с потенциальным ущербом, который вы стремитесь предотвратить. Любой подход, игнорирующий оценку и обработку рисков, будет восприниматься всеми лишь как пустая формальность и трата денег ради обеспечения “бумажной” безопасности (формального соответствия ни к чему не привязанным, непонятным и необоснованным требованиям).
Как поступать в нынешней ситуации? В рассматриваемом конкретном примере ИСПДн 1С явно относится к специальным, поэтому для нее вы устанавливаете класс сами на основе разработанной вами модели угроз. Табличку определения класса типовых ИСПДн использовать не надо и не надо сопоставлять ее с моделью угроз.
Tiger 07-02-2011 08:05
Re
>>Надо просто признать, что нормативная база в области защиты ПДн еще не сформирована. Например, на практике мне еще ни разу не встречались так называемые “типовые” ИСПДн. Какие же они тогда типовые, если их в природе не существует? Значит разделение ИСПДн на типовые и специальные лишено смысла.
Спасибо. Вот примерно это я и хотел вам сказать когда написал ..
>Лучше отметить, что этот вопрос никак не урегулирован и проблема нуждается в решении со стороны государства.
Александр Астахов 08-02-2011 11:19
вопрос ПДн не урегулирован
В том, что вопросы обработки и защиты ПДн недостаточно проработаны на всех уровнях никто не сомневается. Только вопрос о роли государства в решении наших проблем уж слишком риторический. Конкретные проблемы защиты ПДн должны решаться специалистами по защите информации и им это вполне под силу, а те несостыковки, которые имеются в законодательстве и номативной базе, были раньше и будут в дальнейшем. Комитеты ГД, регуляторы, правительство и т.д. конечно тоже должны работать над совершенствованием своих требований. Каждый на своем месте должен решать те проблемы, которые он решать в состоянии.
Опытный специалист вполне в состоянии обеспечивать и формальную (бумажную) и реальную безопасность. Играйте по тем правилам, которые существуют и не пеняйте на так называемое государство. Идеального государства и идеальных правил все-равно не будет, потому, что люди, из которых это государство состоит не идеальны и не стремятся.
Comments (12)
Tiger 28-04-2010 05:35
Re
1.Все организации передают данные третьим лицам – головным организациям (при условии что они разные юрлица), в фонд ДМС, для оформления зарплатных карт.
И это не подходит в части согласия с субъектом под рассматриваемые вами случаи.
2. С общедоступными ПДн вообще все сложно.
В приведенном примере ПДн в подписи предоставляются с целью контакта с ограниченным кругом респондентов, как бы велик он не был. Этот круг никак нельзя назвать неограниченным.
Вообще сложность и различия в понимании почти любых понятий законодательства о ПДн даже специалистами дает повод крайне скептически от носиться к реализации защиты прав субъектов.
Александр Астахов 28-04-2010 06:04
сложность понимания законодательства о ПДн
Конечно, каждый случай нуждается в отдельном рассмотрении и юридической оценке правомочности передачи или обработки конкретных ПДн. Поскольку моя юридическая грамотность оставляет желать лучшего, я рассуждаю с точки зрения простого здравого смысла, задействуя при этом житейский опыт и первоисточники.
В перечисленных случаях (ДМС, зарплатные карты), по моему опыту, речь идет, в конечном счете, о заключении договора с физическими лицами – сотрудниками организации. Без соответствующего договора банковские карты и страховые полисы не выдаются. Значит и согласия на обработку ПДн в целях исполнения данного договора не требуется.
Во втором случае (подписей к сообщениям) и по логике вещей и по букве закона контактную информацию следует признать общедоступными данными, т.к. их получает каждый, вступающий в контакт с соответствующими должностными лицами организации по электронной почте. А круг лиц, получающих доступ к данным, всегда будет на практике ограничен, даже если эти данные опубликовать в газете или в Интернет. Данный случай, я сразу сказал, – не самый очевидный. Но, думаю, большинство правоведов слонятся в сторону признания этих ПДн общедоступными, тем более, если подпись к сообщениям формируется автоматически.
Tiger 30-04-2010 03:56
Otvet
Встречал эти мнения
1.Изложу то что вы хотели сказать другими словами:
” Вполне возможна такая ситуация, когда компания ТОЛЬКО платит за сотрудника.
Я не заключаю договор со своей компанией о медстраховке и о получении денег на карту, а основанием взаимоотношений между сотрудником и медицинским учреждением или банком является страховой полис или договор, то есть форма гражданско-правового договора, пусть и специфическая.
В Компании может быть именно так: Директор подписывает соответствующий договор с банком или страховой компанией, а моя Компания только платит за это.
Тогда получается, что и я и моя компания вступили в договорные отношения со страховщиком и банком: компания гарантирует оплату договора, а я пользуюсь его благами (при этом я выступаю выгодоприобретателем в понимании ГК РФ).
В данном случае оператором ПДн выступает именно банк или страховщик, а меня с ним связывают договорные отношения “
Теперь внимание ответ юриста:
“насчет договорных отношений – договорные отношения бывают только у сторон договора, подписавших договор и достигших тем самым согласия по всем его условиям; указавших свои данные и реквизиты в договоре. Все остальные, даже выгодоприобретатели, договорными отношениями не связаны и с условиями договора не соглашались; их реквизиты (место нахождения/место жительства; пасп.данные, данные ИНН,КПП и т.д.) в договоре не указаны”
Александр Астахов 30-04-2010 05:21
насчет договорных отношений
Правильно отвечает ваш юрист. Только это итак понятно. Закон говорит о том, что если есть договор с субъектом ПДн (неважно письменный или устный, нотариально заверенный или нет, зарегистрированный в установленом порядке или нет), то получать согласие этого субъекта на обработку его ПДн в целях исполнения данного договора не требуется. Что более чем логично. Если нет договора с субъектом, то надо спросить согласие на обработку его ПДн.
Данные по банковским картам, выдаваемым сотрудникам, обрабатывает банк? Договора с сотрудниками у банка есть? Данные обрабатываются только с целью исполнения условий договора? Если ответы на все вопросы положительные, то не требуется ни согласия сотрудников, ни уведомления Роскомнадзора.
Tiger 30-04-2010 03:59
Re::
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
С согласия… то есть вам нужно брать согласие на признание этих данных общедоступными как минимум. А что кстати будет если ваши сотрудники не согласятся его дать?
Общее замечание. ФЗ прямо не говорит об этом, но из принципов обработки следует, что «общедоступность» не означает «вседозволенность». Иными словами, цель, которую можно преследовать при использовании данных, должна быть ясна из контекста (опубликования – придания «общедоступности). Пример: телефонные справочники. Персональные данные, извлеченные из них, должны использоваться только для целей установления контакта. А не для целей прямого маркетинга, например.
То же самое визитки.
Визитки распространяются «кому попало». Но передавая визитку, ее владелец подразумевает ее использование только тем, кому он ее передает. И не подразумевает, что эта визитка будет «висеть на всех заборах» (быть «общедоступной).
>Если подпись, содержащая контактную информацию субъекта ПДн, автоматически
>проставляется во всех его электронных сообщениях, как это имеет место быть на практике, >то эти данные фактически являются общедоступными
А заодно видимо и е-майл признать общедоступным? А чего ж после на спам жаловаться? )
Принцип цели. Из того, что эти данные «гуляют» по сотням организаций НЕ следует, что они «общедоступны». В каждом ТАКОМ случае существует определенная цель, как правило исключающая цель иную.
Я это вообще только к тому что все неоднозначно 😉
Александр Астахов 30-04-2010 05:07
Об общедоступных ПДн
В жизни вообще все неоднозначно и в мозгу у человека все неоднозначно. Это не повод, чтобы давать себя запутать порой на ровном месте. Если все вопросы смешать в кучу, то со стороны действительно может показаться, что обсуждаемая проблема уж очень сложна и неоднозначна. А цель моей публикации заключалась как-раз в обратном – в том, чтобы показать надуманность многих “проблем”, ассоциируемых с ФЗ-152.
1. Общедоступность ПДн не означает вседозволенность в их использовании. Этой темы я вообще не затрагивал. Общедоступность ПДн означает, что об их обработке не надо уведомлять Роскомнадзор. О чем я и написал выше. В чем здесь вы видите неоднозначность?
2. Зачем усложнять закон и придумывать “согласие на признание данных общедоступными”? В законе, насколько мне известно, такой нормы не содержится. В законе говориться о получении согласия на обработку ПДн. Не надо смешивать вопросы общедоступности данных и вопросы получения согласия на их обработку.
3. Прямой маркетинг разве не является одной из разновидностей прямого контакта? Почему же вы тогда считаете, что для этого нельзя использовать общедоступные телефонные справочники? На них что есть пометка “торговым агентам не беспокоить”? Опять идет смешение понятий доступности и видов разрешенного использования.
4. С email тоже самое смешение понятий. Сам по себе email-адрес – это обезличенные ПДн (которые могут быть как общедоступными, так и нет). Для таких данных обеспечение конфиденциальности не требуется (часть 2 статья 7 ФЗ-152). Это не означает, что закон разрешает использовать email-адреса в каких угодно целях без разрешения субъекта ПДн.
Tiger 04-05-2010 01:16
Re
1. Договора с СОТРУДНИКОМ у банка нет! Есть договор только с организацией сотрудника!
А это не одно и то же. Сотрудник может даже и не знать, что у организации есть договор.
И даже никогда не читать его!
Из этого следует, что и согласие сотрудника на передачу организацией его ПДн третьему лицу и уведомление РКН необходимо.
Такова по крайней мере позиция РКН и судебная практика.
2. Необходимость согласия на признание общедоступности ПДн следует из определения общедоступных ПДн.
Более того, ПДн субъекта могут быть признаны общедоступными только на основании согласия этого субъекта.
Нет общедоступных ПДН только исходя из того, что ВЫ именно решили почему-то, что они общедоступны.
Александр Астахов 04-05-2010 01:35
общедоступность персональных данных
1) Если у банка с сотрудником договора на обслуживание банковской карты нет, тогда конечно необходимо и согласие сотрудника и уведомление РКН. С этим никто не спорит.
2) Данные общедоступны, если к ним предоставляется доступ для неограниченного круга лиц с согласия субъекта персональных данных. Это не значит, что согласие нужно обязательно получать. Человек может сам предоставлять свои данные неограниченному кругу лиц. В приведенном мной примере, контактная информация проставляется во всех электронных сообщениях автоматически с согласия субъекта персональных данных (точнее человек сам эти данные предоставляет). Эти данные получает любой, кто вступает в переписку с субъектом ПДн. Это и есть по моему мнению общедоступность.
Tiger 06-05-2010 09:40
Re
2)А как подвердить наличие согласия в нашей стране , кроме как не в письменной форме? 😉
В принципе та форма согласия о которой вы говорите называется у юристов КОНКЛЮДЕНТНЫЕ ДЕЙСТВИЯ
КОНКЛЮДЕНТНЫЕ ДЕЙСТВИЯ – действия лица, выражающие его волю установить правоотношение, но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении.
Однако есть одно но.. Наши регуляторы (РКН)не слыхали о такой форме подтверждения согласия (
А потому вполне могут выписать..
Tiger 06-05-2010 04:50
Re
Вот кстати моя статейка по этой теме
http://a-datum.ru/forum/viewtopic.php?f=52&t=358
В принципе, если заметите, я тоже предлагаю использовать этот метод..
Или, точнее сказать, рассмотреть возможность использования.
Но если и использовать, то только осторожно, избирательно и при наличии лояльности.
тема не столь проста и окончательный выбор за оператором.
Если что то и можно рекомендовать – то согласовать свое понимание общедоступных ПДн с РКН, а также их трактовку полученных вами у сотрудников согласий.
Посетитель 17-06-2015 11:58
договор
При зачислении в образовательную организацию заключают договор об образовании, например с родителями. Требуется ли здесь заключать отдельное соглашение на обработку ПДн? Нужна ли строчка внизу договора типа: “Согласен на обработку персональных данных в порядке, установленном статьей 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и подпись?
Александр Астахов 19-06-2015 12:40
договор
На мой взгляд, не требуется, поскольку здесь обработка персональных данных необходима для исполнения договора, стороной которого и выгодоприобретателем является субъект персональных данных (ст. 6, п. 5, 152-ФЗ).