В прошедшем году законодательство и подзаконные нормативные акты в части защиты ПДн претерпели ряд изменений и дополнений. Вносимые изменения позволяют сделать вывод, что в целом в законодательной инициативе сохраняется тенденция к совершенствованию нормативной базы и исправлению имеющихся недоработок.
Документы (в том числе те, которые еще находятся в стадии проектов) становятся более приближенными к реалиям в области защиты информации и учитывают, в частности, новейшие технологии (например, облачная обработка информации, использование средств виртуализации и т. п.), а также подходы к защите информации, основанные на анализе рисков ИБ, и моделированию реальных угроз ИБ и т. д. В первую очередь это связано с тем, что регулятор идет по пути сокращения жизненного цикла своих документов, кроме того, активнее взаимодействует с заинтересованными сторонами в этой области: примером может служить информационное сообщение ФСТЭК России от 25 января 2015 г., в котором регулятор призвал заказчиков, разработчиков и операторов информационных систем и пр. подать предложения по внесению изменений в их документы.
Из основных изменений и дополнений следует отметить следующие.
- Принятие Федерального закона от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
Наиболее принципиальный момент в части обеспечения безопасности ПДн: указанный федеральный закон определяет обязанность оператора обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением ряда предусмотренных законодательством случаев.
- Принятие Федерального закона от 31 декабря 2014 г. № 526-ФЗ «О внесении изменения в статью 4 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», определяющего срок вступления в силу Федерального закона № 242-ФЗ.
Согласно этому закону срок вступления в силу Федерального закона № 242-ФЗ перенесен на 1 сентября 2015 г., т. е. на год раньше первоначально запланированного срока.
- Принятие методического документа ФСТЭК от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах».
Методический документ интересен тем, что по решению оператора может применяться для обеспечения безопасности ПДн при их обработке в ИСПДн, защита которых обеспечивается в соответствии с приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Документ детализирует организационные и технические меры защиты информации. В ряде случаев интерпретация некоторых мер (например, мера УПД.3 или меры, предусмотренные для среды виртуализации) позволяет более гибко подходить к их реализации при построении систем защиты ПДн.
- Выпуск приказа ФСБ России от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Приказ разъясняет положения Постановления Правительства РФ от 1 ноября 2012 г. № 1119 в части выполнения требований к уровням защищенности ПДн, в частности, к режиму обеспечения безопасности помещений, где обрабатываются ПДн, к сохранности носителей ПДн и т. д.
- Подписание Президентом РФ Распоряжения «О подписании Соглашения о порядке защиты конфиденциальной информации и ответственности за ее разглашение при осуществлении Евразийской экономической комиссией полномочий по контролю за соблюдением единых правил конкуренции».
Явным образом ни Распоряжение, ни Соглашение не определяют порядок обеспечения безопасности ПДн в ЕЭК, тем не менее на ПДн принятые в Соглашении требования распространяются в связи с тем, что ПДн в РФ относятся к конфиденциальной информации.
- Подписание Постановления Правительства РФ от 6 сентября 2014 г. № 911 «О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
Постановление отменяет обязательное обезличивание ПДн в государственных и муниципальных органах, ранее установленное Постановлением Правительства от 21 марта 2012 г. № 211.
Кроме того, следует отметить новые ГОСТ в области ИБ, разрабатываемые Техническим комитетом по стандартизации «Защита информации» (ТК 362):
- ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (утвержден);
- ГОСТ Р «Защита информации. Документация по технической защите информации на объекте информатизации. Общие положения» (проект);
- ГОСТ Р «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения» (проект);
- ГОСТ Р «Защита информации. Защита информации при использовании облачных технологий. Общие положения» (проект);
- ГОСТ Р «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» (проект);
- ГОСТ Р «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» (проект);
- ГОСТ Р «Защита информации. Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем» (проект);
- ГОСТ Р «Защита информации. Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения» (проект);
- ГОСТ Р 52447 «Защита информации. Техника защиты информации. Номенклатура показателей качества» (проект).
Эти ГОСТ после их утверждения могут оказать большую помощь системным интеграторам, формализующим свою проектную деятельность в области защиты ПДн, и в части формирования требований, и при разработке проектных решений, в особенности по таким актуальным направлениям, как виртуализация, оценка рисков и моделирование угроз информационной безопасности.
Защита ПДн в условиях импортозамещения
Помимо существенных изменений в нормативной документации, касающейся защиты ПДн, на информационную безопасность в России повлияли радикальные изменения геополитической обстановки в мире. Специалисты в ИТ- и ИБ-областях оказались в непростой ситуации, когда применение ранее опробованных технических решений может оказаться невозможным из-за политических противоречий между нашей страной и рядом западных государств. В данном контексте речь идет о значительной зависимости ИТ и ИБ в России от западных производителей оборудования и программного обеспечения. Что делать, если иностранные производители оборудования перестанут продавать свою продукцию в России или оказывать поддержку для ранее приобретенного оборудования? Например, для Крыма – это весьма актуальная тема. Приходится признать, что в ближайшей перспективе разрешить указанные проблемы в случае их возникновения (а предпосылки к тому есть, судя по последним новостям об отказе HP, Dell и других производителей продавать свою продукцию на территории Крыма) исключительно своими силами не удастся.
Отечественный производитель на данный момент не готов предоставить полноценную альтернативу по большинству позиций оборудования западных производителей. Доступные варианты замены в конечном итоге сводятся пока к замене упомянутых производителей конкурентами из Китая, что, конечно, полноценным решением проблем признать нельзя.
Несколько более оптимистично обстоят дела с программным обеспечением. Например, вряд ли можно запретить использование программного обеспечения с открытым исходным кодом, например, различных версий стандартных офисных приложений, а также операционных систем семейства Linux вместо Windows на серверах и рабочих станциях.
С другой стороны, если говорить о крупных enterprise-решениях, таких как SAP, или решениях, использующих СУБД Oracle, мы вновь сталкиваемся с проблемами, аналогичными в сфере аппаратного обеспечения. Адекватной отечественной замены таким решениям в ряде случаев пока нет.
Наконец, в части производства средств защиты информации российский рынок заполнен предложениями отечественных производителей средств управления доступом для конечных точек, антивирусов, средств шифрования каналов связи и т. д. Несмотря на то что не всегда эти решения полностью отвечают предъявляемым требованиям, именно сейчас складываются условия, когда отечественные производители могут усовершенствовать свои продукты и заполнить эту нишу рынка.
Оптимизация затрат на защиту ПДн при выполнении необходимых требований
При создании системы защиты ПДн (СЗПДн) каждый оператор ПДн стремится достичь следующих целей:
- обеспечить соблюдение прав субъектов ПДн в соответствии с требованиями законодательства;
- защититься от замечаний и штрафных санкций со стороны регуляторов;
- постараться обеспечить не только формальную, но и реальную безопасность ПДн, чтобы оправдать средства, вложенные в построение СЗПДн.
Желание оператора оптимизировать при этом материальные затраты на создание СЗПДн естественно. Ниже представлена попытка агрегировать практический опыт создания СЗПДн с точки зрения интегратора в несколько универсальных решений по оптимизации таких затрат не в ущерб формальной и реальной безопасности ПДн.
- Корректное формирование целей обработки ПДн оператором, что позволяет в ряде случаев по формальным признакам объединять несколько прикладных систем в одну ИСПДн.
Выгода такого решения очевидна: разрабатывается меньшее количество экземпляров документации на системы (модели угроз, технические задания, проектная и эксплуатационная документация и т. д.), что в целом экономит как время на разработку, так и используемые при этом трудовые ресурсы.
- Реализация максимально возможного количества требований по защите ПДн организационными мероприятиями (сбор согласий субъектов на отнесение части обрабатываемых ПДн к общедоступным или согласий на передачу ПДн по незащищенным каналам связи, регламентирование процессов обработки ПДн работниками оператора с доведением до сведения работников информации об ответственности за нарушения регламента и т. п.).
- Тщательная проработка моделей угроз, благодаря которым оператор имеет возможность обоснованно избежать неактуальных или «неудобных» угроз, например, связанных с наличием НДВ (угроз первого и второго типов согласно Постановлению Правительства РФ от 1 ноября 2012 г. № 1119), угроз сетевых атак и т. п.
Очевидно, что объявив отдельные угрозы неактуальными (при этом приняв на себя часть рисков) оператор получает возможность не тратиться на приобретение и дальнейшее обслуживание некоторых средств защиты, порой весьма дорогостоящих.
Использование методического документа ФСТЭК от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах», предлагающего интерпретацию требований, которая позволяет упростить их реализацию при построении систем защиты ПДн.