Ръцете, които отдавна посегнаха към клавиатурата над новия регулаторен шедьовър, вече са избити до кости.
Вече не мога да се сдържам и не издържам повече. Ще трябва да пиша. Освен това днес Указ от 1 ноември 2012 г. № 1119 „За одобряване на изискванията за защита на личните данни по време на тяхната обработка в информационни системилични данни", с който се отменя Постановление от 17 ноември 2007 г. № 781. Изтичат седем дни от датата на публикуване.
Честно казано, реакцията на колегите от професионалната общност на новата резолюция, която всъщност определя системата за изграждане на техническа сигурност при обработката на лични данни в информационните системи, не само ме изненада, но и ме озадачи. Части, и то не малко, го харесаха, защото според тях не съдържа нищо фундаментално ново и не затяга допълнително винтовете, а броят на изискванията дори намалява в сравнение с PP-781. Друга част от колегите се карат на документа, но много общо, главно за липсата на конкретика.
Имах малко по-различно мнение относно изискванията, изразих го накратко на днешния уебинар, проведен от нашата агенция съвместно с компанията Security Code, и броят на предложенията по този въпрос най-накрая ме подтикна да напиша тази публикация.
За да систематизирам визията си, измислих няколко рафта, според които ще разложа оценката си за документа. Съжалявам, ще има много писма. Много. Думите са внимателно подбрани, така че категорията читатели да бъде 0+.
Първи рафт.Спазване на закона. Публикуването на PP-1119 е пряко изискване на параграфи 1 и 2 от част 3 на член 19 от новата редакция на 152-FZ „За личните данни“. Това ми позволява да оценя много рязко състоянието на нещата на този рафт. Правителственото постановление не е в съответствие със закона.
Законът предписва да се определят нивата на сигурност и изискванията към тях в зависимост от пет фактора:
- възможно увреждане на субекта на личните данни,
- обем на обработваните лични данни,
- съдържанието на обработваните лични данни,
- вида дейност, в която се обработват лични данни,
- значението на заплахите за сигурността на личните данни.
Видове дейност и, най-важното, увреждане на субекта в приетия документ като цяло отсъстват като квалифициращи признаци. В клауза 7 от Изискванията операторът е „изобщо хуманен“, не мога да кажа друго, предлага се независимо да се определи вида на заплахите за сигурността на личните данни, свързани с информационната система, като се вземат предвид оценка на възможните щети, ръководени от документите на FSB и FSTEC, които все още не съществуват.
Тези. ръководителят на детската градина или началникът на отдела за автоматизация на завод за валцуване на тръби (тъй като просто няма кой друг да се занимава с подобни проблеми в такива организации) ще прецени вредата от разкриването на данни на персонал, възпитатели, посетители и техните роднини. При пълната липса на методически разработки в страната по този въпрос. Всеки, който има дори малко опит с подобни въпроси, знае, че проблемът с определянето на размера на вредата при нарушаване на граждански права е един от най-трудните в юриспруденцията и съдебните производства. Но очевидно, помнейки класическия постулат за възможностите на всеки готвач, авторите решиха, че проблемът може да бъде решен чрез краудсорсинг. Според оценки има около седем милиона оператори. Вижте какво измислят. Класически пример за прехвърляне на проблеми от една глава на друга, знаете какво.
С дейности също, засада. Като се има предвид, че новата версия на закона не оставя място за индустриални стандарти за работа с лични данни, точно тези типове ще трябва да се вземат предвид само по един начин - чрез измисляне на заплахи за сигурността в допълнение към FSB и FSTEC, които, всъщност е разписано в части 5 и 6 на същия член 19 от закона. Точка. Само за идентифициране на нови заплахи, а не за предвиждане на облекчения, подобни на тези, които Министерството на здравеопазването договори с FSTEC в своите методически документи.
Рафт втори.Методика. Рафтът е най ... зле окачен. Тъй като методологията е най-важна, проблемите на документа. Деклариране на основните заплахи, неизбежно водещи до по-високи нивасигурност (виж Таблица 1), недекларирани (недокументирани) възможности в системата и Изискванията на приложението изобщо не предлагат методи и начини за тяхното неутрализиране. За такива методи може да бъде само проверка на този софтуер за липса на отметки и други лоши навици. И никой не изисква това от операторите, поне в PP-1119.
За да се лекуват от логически бомби, задни вратички и други зли духове, те предлагат стари изпитани методи - клистер с грамофонни игли и гипсиране на ненарушени крайници. Вижте таблицата.
Как е употребата защитни стении определянето на звено (или отговорно лице) може да помогне за предотвратяване на въздействия операционна системаявно само авторите знаят за данните, които се обработват.
Рафт трети.Терминология. И това е най-загадъчната част от документа. Откъде се взеха и защо не са служителите на "оператора", чийто правен статут е ясно описан от Кодекса на труда - въпросът е прост и очевиден. Но какво е " електронен журналсъобщения” (стр. 15) и как се различава от „електронния дневник за сигурност” (стр. 16), ако изобщо се различава, има голяма тайна. Предполагам, че става въпрос за трупи. Дневници на какво? ОПЕРАЦИОННА СИСТЕМА? DB? дупето? ГИС? Всички заедно или нещо по отделно? Въпроси без отговори.
Указът въвежда концепцията за информационна система, която обработва публично достъпни лични данни, която липсва в закона, и счита, че тя се получава само от публично достъпни източници на лични данни, създадени в съответствие с член 8 от 152-FZ.
И ако са получени по различен начин, например, ако това е информация, подлежаща на публикуване и задължително разкриване, като информация от и която е публично достъпна в съответствие с Федералния закон за юридическите лица и индивидуалните предприемачи или информация за свързани лица на емитента Или лични данни на кандидати за депутати, подлежащи на публикуване. Как да бъда с тях? Отново въпрос без отговор.
И накрая, оценка на съответствието. Терминът, който няма разяснения по отношение на средството за информационна сигурност в нито един закон, с изключение на закрития Указ № 330, продължава да броди в нормативната уредба. Но дори операторът да е видял това постановление, не му е дадено да разбере как се извършва оценката на съответствието в хода на държавния контрол и надзор. И също така оценете последиците от изчакването на пристигането на контрольора и поведението му при вида на несертифицирани средства. Е, нека не забравяме, че в новата версия на закона нормативните правни актове, свързани с обработката на лични данни, подлежат на официално публикуване.
Рафт четвърти.Приложимост. Резолюцията може да влезе в сила само след приемането на съответните актове на FSB и FSTEC, предвидени в част 4 на член 19 от 152-FZ, както и федералните органи, изпълняващи функциите за развитие на държавно и правно регулиране в установена сфера на дейност, държавни органи на субекти Руска федерация, органи на държавни извънбюджетни фондове, други държавни органи по отношение на определянето на действителни заплахи за сигурността на личните данни (част 5 от член 19 от 152-FZ, клауза 2 от Изискванията), които отсъстват и не са известни кога ще бъдат осиновени.
При тези условия е почти невъзможно един оператор да изпълни установените изисквания. Връщам се към ръководителя на детската градина и началника на отдела за автоматизация на завода за валцуване на тръби. Кой пръв ще обясни какви са „недекларираните възможности на системата софтуери по какви признаци ще оцени значимостта на тази заплаха? Какво може да накара втория да разпознае тези заплахи като релевантни за неговия завод и да ги поеме допълнителни проблеми? Как ще оценят вредата, за която е писано при анализирането на първия рафт? Да изчакаме документите на FSB и FSTEC. Нещо ми подсказва, че няма да е възможно просто да откажа да неутрализирам недекларирани способности. Банките и телекомите ще го оправят в крайна сметка. А какво да кажем за останалите, които нямат специалисти и лицензи от FSB / FSTEC - и университети, болници и клиники, регистрационни служби и центрове по заетостта и т.н., и т.н.? Нищо друго освен недоумение такъв документ не може да предизвика у тях.
Няма да пиша автобиография. И така всичко е ясно.
ПРАВИТЕЛСТВО НА РУСКАТА ФЕДЕРАЦИЯ
РЕЗОЛЮЦИЯ
За одобряване на изискванията за защита на личните данни при обработката им в информационни системи за лични данни
В съответствие с член 19 от Федералния закон „За личните данни“, правителството на Руската федерация
решава:
1. Утвърждава приложените изисквания за защита на личните данни при обработването им в информационните системи за лични данни.
2. Признаване на невалиден Указ на правителството на Руската федерация от 17 ноември 2007 г. N 781 „За одобряване на Правилника за осигуряване на сигурността на личните данни по време на тяхната обработка в информационни системи за лични данни“ (Сборник на законодателството на Руската федерация, 2007, N 48, член 6001).
министър председател
Руска федерация
Д. Медведев
Изисквания за защита на личните данни при обработването им в информационни системи за лични данни
ОДОБРЕНО
Правителствен указ
Руска федерация
от 1 ноември 2012 г. N 1119
1. Този документ установява изискванията за защита на личните данни при обработването им в информационни системи за лични данни (наричани по-нататък информационни системи) и нивата на защита на тези данни.
2. Сигурността на личните данни по време на тяхната обработка в информационната система се осигурява с помощта на система за защита на личните данни, която неутрализира текущите заплахи, определени в съответствие с част 5 на член 19 от Федералния закон „За личните данни“.
Системата за защита на личните данни включва организационни и (или) технически мерки, определени като се вземат предвид текущите заплахи за сигурността на личните данни и информационни технологииизползвани в информационните системи.
3. Сигурността на личните данни при обработването им в информационната система се осигурява от оператора на тази система, който обработва лични данни (наричан по-долу за краткост оператора), или лицето, което обработва лични данни от името на оператора на основание на сключен договор с това лице (наричано по-долу упълномощено лице). Споразумението между оператора и упълномощеното лице трябва да предвижда задължението на упълномощеното лице да гарантира сигурността на личните данни при обработването им в информационната система.
4. Изборът на средства за информационна сигурност за системата за защита на личните данни се извършва от оператора в съответствие с приетите нормативни правни актове Федерална службаСигурността на Руската федерация и Федералната служба за технически и експортен контрол в съответствие с част 4 на член 19 от Федералния закон „За личните данни“.
5. Информационна система е информационна система, която обработва специални категории лични данни, ако обработва лични данни, свързани с раса, националност, политически възгледи, религиозни или философски убеждения, здравословно състояние, интимен живот на субектите на лични данни.
Информационна система е информационна система, която обработва биометрични лични данни, ако обработва информация, характеризираща физиологичните и биологичните характеристики на дадено лице, въз основа на които е възможно да се установи неговата самоличност и които се използват от оператора за идентифициране на субекта на лични данни, и не обработва информация, свързана със специални категории лични данни.
Информационна система е информационна система, която обработва публично достъпни лични данни, ако обработва лични данни на субекти на лични данни, получени само от публично достъпни източници на лични данни, създадени в съответствие с член 8 от Федералния закон „За личните данни“.
Информационна система е информационна система, която обработва други категории лични данни, ако не обработва личните данни, посочени в параграфи първа до трета на тази точка.
Информационна система е информационна система, която обработва личните данни на служителите на оператора, ако обработва личните данни само на посочените служители. В останалите случаи информационната система за лични данни е информационна система, която обработва лични данни на субекти на лични данни, които не са служители на оператора.
6. Под реални заплахи за сигурността на личните данни се разбира съвкупност от условия и фактори, които създават реална опасност от неоторизиран, включително случаен достъп до личните данни при обработването им в информационна система, което може да доведе до унищожаване, промяна, блокиране, копиране, предоставяне, разпространение на лични данни, както и други незаконни действия.
Заплахите от 1-ви тип са релевантни за една информационна система, ако, наред с други неща, заплахите, свързани с наличието на недокументирани (недекларирани) възможности в системния софтуер, използван в информационната система, са релевантни за нея.
Заплахите от 2-ри тип са от значение за една информационна система, ако освен всичко друго, тя е обект на заплахи, свързани с наличието на недокументирани (недекларирани) възможности в приложния софтуер, използван в информационната система.
Заплахите от 3-ти тип са релевантни за информационна система, ако за нея са релевантни заплахи, които не са свързани с наличието на недокументирани (недекларирани) възможности в системата и приложния софтуер, използван в информационната система.
7. Определянето на вида на заплахите за сигурността на личните данни, имащи отношение към информационната система, се извършва от оператора, като се взема предвид оценката на възможните вреди, извършена в изпълнение на клауза 5 на част 1 на чл. 18_1 от Федерален закон „За личните данни“ и в съответствие с регулаторни правни актове, приети в изпълнение на част 5 от член 19 от Федералния закон „За личните данни“.
8. При обработване на лични данни в информационни системи са установени 4 нива на защита на личните данни.
9. Необходимостта от осигуряване на 1-во ниво на защита на личните данни при обработването им в информационната система се установява, ако е налице поне едно от следните условия:
а) Заплахите от тип 1 са от значение за информационната система и информационната система обработва или специални категории лични данни, или биометрични лични данни, или други категории лични данни;
б) Заплахите от тип 2 са от значение за информационната система и информационната система обработва специални категории лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора.
10. Необходимостта от осигуряване на 2-ро ниво на защита на личните данни при обработването им в информационната система се установява, ако е налице поне едно от следните условия:
а) заплахите от тип 1 са от значение за информационната система и информационната система обработва публично достъпни лични данни;
б) заплахите от тип 2 са от значение за информационната система и информационната система обработва специални категории лични данни на служителите на оператора или специални категории лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора;
в) заплахите от тип 2 са от значение за информационната система и информационната система обработва биометрични лични данни;
г) заплахите от тип 2 са от значение за информационната система и информационната система обработва публично достъпни лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора;
д) заплахите от тип 2 са от значение за информационната система и информационната система обработва други категории лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора;
е) Заплахите от тип 3 са от значение за информационната система и информационната система обработва специални категории лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора.
11. Необходимостта от осигуряване на 3-то ниво на защита на личните данни при обработването им в информационната система се установява, ако е налице поне едно от следните условия:
а) заплахите от тип 2 са от значение за информационната система и информационната система обработва публично достъпни лични данни на служители на оператора или публично достъпни лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора;
б) заплахите от тип 2 са от значение за информационната система и информационната система обработва други категории лични данни на служителите на оператора или други категории лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора;
в) заплахите от тип 3 са от значение за информационната система и информационната система обработва специални категории лични данни на служители на оператора или специални категории лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора;
г) Заплахите от тип 3 са от значение за информационната система и информационната система обработва биометрични лични данни;
д) Заплахите от тип 3 са от значение за информационната система и информационната система обработва други категории лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора.
12. Необходимостта от осигуряване на 4-то ниво на защита на личните данни при обработването им в информационната система се установява, ако е налице поне едно от следните условия:
а) Заплахите от тип 3 са от значение за информационната система и информационната система обработва публично достъпни лични данни;
б) Заплахите от тип 3 са от значение за информационната система и информационната система обработва други категории лични данни на служителите на оператора или други категории лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора.
13. За осигуряване на 4-то ниво на защита на личните данни при обработването им в информационните системи трябва да са изпълнени следните изисквания:
а) организиране на режим за осигуряване на сигурността на помещенията, в които се намира информационната система, предотвратяване на възможността за неконтролирано влизане или престой в тези помещения на лица, които нямат право на достъп до тези помещения;
б) осигуряване безопасността на носителите на лични данни;
в) одобрение от ръководителя на оператора на документ, определящ списъка на лицата, чийто достъп до личните данни, обработвани в информационната система, е необходим за изпълнение на техните служебни (трудови) задължения;
г) използване на инструменти за информационна сигурност, които са преминали процедурата за оценка на съответствието с изискванията на законодателството на Руската федерация в областта на информационната сигурност, в случай че използването на такива инструменти е необходимо за неутрализиране на текущи заплахи.
14. За осигуряване на 3-то ниво на защита на личните данни при обработването им в информационните системи, освен изпълнение на изискванията, предвидени в т. 13 от настоящия документ, е необходимо да бъде назначено длъжностно лице (служител), отговорно за осигуряване на сигурността лични данни в информационната система.
15. За осигуряване на 2-ро ниво на защита на личните данни при обработването им в информационни системи, в допълнение към изпълнението на изискванията, предвидени в параграф 14 от този документ, е необходимо достъпът до съдържанието на регистъра на електронните съобщения да бъде възможен само за длъжностни лица (служители) на оператора или упълномощено лице, на които информацията, съдържаща се в посочения дневник, е необходима за изпълнение на служебни (трудови) задължения.
16. За осигуряване на 1-во ниво на защита на личните данни при обработването им в информационни системи, в допълнение към изискванията, предвидени в параграф 15 от този документ, трябва да бъдат изпълнени следните изисквания:
а) автоматично регистриране в електронния дневник за сигурност на промяна в правомощията на служител на оператора за достъп до лични данни, съдържащи се в информационната система;
б) създаване на структурно звено, което да отговаря за осигуряването на сигурността на личните данни в информационната система, или възлагане на функции за осигуряване на такава сигурност на едно от структурните звена.
17. Контролът върху изпълнението на тези изисквания се организира и извършва от оператора (упълномощено лице) самостоятелно и (или) с участието на договорна основа юридически лицаи индивидуални предприемачи, които имат лиценз за извършване на дейност техническа защита конфиденциална информация. Посоченият контрол се извършва най-малко 1 път на 3 години в срокове, определени от оператора (упълномощено лице).
Електронен текст на документа
изготвен от CJSC "Kodeks" и проверен съгласно.
ПРАВИТЕЛСТВО НА РУСКАТА ФЕДЕРАЦИЯ
ЗА УТВЪРЖДАВАНЕ НА ИЗИСКВАНИЯ
В съответствие с член 19 от Федералния закон „За личните данни“ правителството на Руската федерация решава:
1. Утвърждава приложените изисквания за защита на личните данни при обработването им в информационните системи за лични данни.
2. Признаване на невалиден Указ на правителството на Руската федерация от 17 ноември 2007 г. N 781 „За одобряване на Правилника за осигуряване на сигурността на личните данни по време на тяхната обработка в информационните системи за лични данни“ (Sobraniye Zakonodatelstva Rossiyskoy Federatsii, 2007, N 48, член 6001).
министър председател
Руска федерация
Д. МЕДВЕДЕВ
Одобрено
Правителствен указ
Руска федерация
от 1 ноември 2012 г. N 1119
ИЗИСКВАНИЯ
КЪМ ЗАЩИТАТА НА ЛИЧНИТЕ ДАННИ ПО ВРЕМЕ НА ТЯХНАТА ОБРАБОТКА
В ИНФОРМАЦИОННИ СИСТЕМИ ЗА ЛИЧНИ ДАННИ
1. Този документ установява изискванията за защита на личните данни при обработването им в информационни системи за лични данни (наричани по-нататък информационни системи) и нивата на защита на тези данни.
2. Сигурността на личните данни по време на тяхната обработка в информационната система се осигурява чрез система за защита на личните данни, която неутрализира текущите заплахи, определени в съответствие с част 5 на член 19 от Федералния закон „За личните данни“.
Системата за защита на личните данни включва организационни и (или) технически мерки, определени като се вземат предвид текущите заплахи за сигурността на личните данни и информационните технологии, използвани в информационните системи.
3. Сигурността на личните данни при обработването им в информационната система се осигурява от оператора на тази система, който обработва лични данни (наричан по-долу за краткост оператора), или лицето, което обработва лични данни от името на оператора на основание на сключен договор с това лице (наричано по-долу упълномощено лице). Споразумението между оператора и упълномощеното лице трябва да предвижда задължението на упълномощеното лице да гарантира сигурността на личните данни при обработването им в информационната система.
4. Изборът на средства за информационна сигурност за системата за защита на личните данни се извършва от оператора в съответствие с регулаторните правни актове, приети от Федералната служба за сигурност на Руската федерация и Федералната служба за технически и експортен контрол съгласно част 4 на член 19 от Федералния закон „За личните данни“.
5. Информационна система е информационна система, която обработва специални категории лични данни, ако обработва лични данни, свързани с раса, националност, политически възгледи, религиозни или философски убеждения, здравословно състояние, интимен живот на субектите на лични данни.
Информационна система е информационна система, която обработва биометрични лични данни, ако обработва информация, характеризираща физиологичните и биологичните характеристики на дадено лице, въз основа на които е възможно да се установи неговата самоличност и които се използват от оператора за идентифициране на субекта на лични данни, и не обработва информация, свързана със специални категории лични данни.
Информационна система е информационна система, която обработва публично достъпни лични данни, ако обработва лични данни на субекти на лични данни, получени само от публично достъпни източници на лични данни, създадени в съответствие с член 8 от Федералния закон „За личните данни“.
Информационна система е информационна система, която обработва други категории лични данни, ако не обработва личните данни, посочени в параграфи първа до трета на тази точка.
Информационна система е информационна система, която обработва личните данни на служителите на оператора, ако обработва личните данни само на посочените служители. В останалите случаи информационната система за лични данни е информационна система, която обработва лични данни на субекти на лични данни, които не са служители на оператора.
6. Под реални заплахи за сигурността на личните данни се разбира съвкупност от условия и фактори, които създават реална опасност от неоторизиран, включително случаен достъп до личните данни при обработването им в информационна система, което може да доведе до унищожаване, промяна, блокиране, копиране, предоставяне, разпространение на лични данни, както и други незаконни действия.
Заплахите от 1-ви тип са релевантни за една информационна система, ако, наред с други неща, заплахите, свързани с наличието на недокументирани (недекларирани) възможности в системния софтуер, използван в информационната система, са релевантни за нея.
Заплахите от 2-ри тип са от значение за една информационна система, ако освен всичко друго, тя е обект на заплахи, свързани с наличието на недокументирани (недекларирани) възможности в приложния софтуер, използван в информационната система.
Заплахите от 3-ти тип са релевантни за информационна система, ако за нея са релевантни заплахи, които не са свързани с наличието на недокументирани (недекларирани) възможности в системата и приложния софтуер, използван в информационната система.
7. Определянето на вида заплахи за сигурността на личните данни, свързани с информационната система, се извършва от оператора, като се взема предвид оценката на възможните вреди, извършена в съответствие с параграф 5 от част 1 на член 18.1 от Федерален закон „За личните данни“ и в съответствие с регулаторни правни актове, приети в изпълнение на част 5 от член 19 от Федералния закон „За личните данни“.
8. При обработване на лични данни в информационни системи са установени 4 нива на защита на личните данни.
9. Необходимостта от осигуряване на 1-во ниво на защита на личните данни при обработването им в информационната система се установява, ако е налице поне едно от следните условия:
а) Заплахите от тип 1 са от значение за информационната система и информационната система обработва или специални категории лични данни, или биометрични лични данни, или други категории лични данни;
б) Заплахите от тип 2 са от значение за информационната система и информационната система обработва специални категории лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора.
10. Необходимостта от осигуряване на 2-ро ниво на защита на личните данни при обработването им в информационната система се установява, ако е налице поне едно от следните условия:
а) заплахите от тип 1 са от значение за информационната система и информационната система обработва публично достъпни лични данни;
б) заплахите от тип 2 са от значение за информационната система и информационната система обработва специални категории лични данни на служителите на оператора или специални категории лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора;
в) заплахите от тип 2 са от значение за информационната система и информационната система обработва биометрични лични данни;
г) заплахите от тип 2 са от значение за информационната система и информационната система обработва публично достъпни лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора;
д) заплахите от тип 2 са от значение за информационната система и информационната система обработва други категории лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора;
е) Заплахите от тип 3 са от значение за информационната система и информационната система обработва специални категории лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора.
11. Необходимостта от осигуряване на 3-то ниво на защита на личните данни при обработването им в информационната система се установява, ако е налице поне едно от следните условия:
а) заплахите от тип 2 са от значение за информационната система и информационната система обработва публично достъпни лични данни на служители на оператора или публично достъпни лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора;
б) заплахите от тип 2 са от значение за информационната система и информационната система обработва други категории лични данни на служителите на оператора или други категории лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора;
в) заплахите от тип 3 са от значение за информационната система и информационната система обработва специални категории лични данни на служители на оператора или специални категории лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора;
г) Заплахите от тип 3 са от значение за информационната система и информационната система обработва биометрични лични данни;
д) Заплахите от тип 3 са от значение за информационната система и информационната система обработва други категории лични данни на повече от 100 000 субекта на лични данни, които не са служители на оператора.
12. Необходимостта от осигуряване на 4-то ниво на защита на личните данни при обработването им в информационната система се установява, ако е налице поне едно от следните условия:
а) Заплахите от тип 3 са от значение за информационната система и информационната система обработва публично достъпни лични данни;
б) Заплахите от тип 3 са от значение за информационната система и информационната система обработва други категории лични данни на служителите на оператора или други категории лични данни на по-малко от 100 000 субекта на лични данни, които не са служители на оператора.
13. За осигуряване на 4-то ниво на защита на личните данни при обработването им в информационните системи трябва да са изпълнени следните изисквания:
а) организиране на режим за осигуряване на сигурността на помещенията, в които се намира информационната система, предотвратяване на възможността за неконтролирано влизане или престой в тези помещения на лица, които нямат право на достъп до тези помещения;
б) осигуряване безопасността на носителите на лични данни;
в) одобрение от ръководителя на оператора на документ, определящ списъка на лицата, чийто достъп до личните данни, обработвани в информационната система, е необходим за изпълнение на техните служебни (трудови) задължения;
г) използване на инструменти за информационна сигурност, които са преминали процедурата за оценка на съответствието с изискванията на законодателството на Руската федерация в областта на информационната сигурност, в случай че използването на такива инструменти е необходимо за неутрализиране на текущи заплахи.
14. За осигуряване на 3-то ниво на защита на личните данни при обработването им в информационните системи, освен изпълнение на изискванията, предвидени в т. 13 от настоящия документ, е необходимо да бъде назначено длъжностно лице (служител), отговорно за осигуряване на сигурността лични данни в информационната система.
15. За осигуряване на 2-ро ниво на защита на личните данни при обработването им в информационни системи, в допълнение към изпълнението на изискванията, предвидени в параграф 14 от този документ, е необходимо достъпът до съдържанието на регистъра на електронните съобщения да бъде възможен само за длъжностни лица (служители) на оператора или упълномощено лице, на които информацията, съдържаща се в посочения дневник, е необходима за изпълнение на служебни (трудови) задължения.
16. За осигуряване на 1-во ниво на защита на личните данни при обработването им в информационни системи, в допълнение към изискванията, предвидени в параграф 15 от този документ, трябва да бъдат изпълнени следните изисквания:
а) автоматично регистриране в електронния дневник за сигурност на промяна в правомощията на служител на оператора за достъп до лични данни, съдържащи се в информационната система;
б) създаване на структурно звено, което да отговаря за осигуряването на сигурността на личните данни в информационната система, или възлагане на функции за осигуряване на такава сигурност на едно от структурните звена.
17. Контролът върху изпълнението на тези изисквания се организира и извършва от оператора (упълномощено лице) независимо и (или) с участието на юридически лица и индивидуални предприемачи на договорна основа, лицензирани да извършват дейности по техническа защита на конфиденциална информация. Посоченият контрол се извършва най-малко 1 път на 3 години в срокове, определени от оператора (упълномощено лице).
Ръцете, които отдавна посегнаха към клавиатурата над новия регулаторен шедьовър, вече са избити до кости. Вече не мога да се сдържам и не издържам повече. Ще трябва да пиша. Освен това днес влиза в сила Указ от 01.11.2012 г. № 1119 „За одобряване на изискванията за защита на личните данни по време на тяхната обработка в информационни системи за лични данни“, който отменя Указ от 17.11.2007 г. № 781. Изтичат седем дни от датата на публикуване.
Честно казано, реакцията на колегите от професионалната общност на новата резолюция, която всъщност определя системата за изграждане на техническа сигурност при обработката на лични данни в информационните системи, не само ме изненада, но и ме озадачи. Части, и то не малко, го харесаха, защото според тях не съдържа нищо фундаментално ново и не затяга допълнително винтовете, а броят на изискванията дори намалява в сравнение с PP-781. Друга част от колегите се карат на документа, но много общо, главно заради липсата на конкретика.
Имах малко по-различно мнение относно изискванията, изразих го накратко на днешния уебинар, проведен от нашата агенция съвместно с компанията Security Code, и броят на получените въпроси за това най-накрая ме подтикна да напиша тази публикация.
За да систематизирам визията си, измислих няколко рафта, според които ще разложа оценката си за документа. Съжалявам, ще има много писма. Много. Думите са внимателно подбрани, така че категорията читатели да бъде 0+.
Първи рафт. Спазване на закона. Пускането на PP-1119 е пряко изискване на параграфи 1 и 2 от част 3 на член 19 от новата редакция на 152-FZ „За личните данни“. Това ми позволява да оценя много рязко състоянието на нещата на този рафт. Правителственото постановление не е в съответствие със закона. Законът предписва да се определят нивата на сигурност и изискванията към тях в зависимост от пет фактора:
· възможно увреждане на субекта на личните данни,
· обем на обработваните лични данни,
· съдържанието на обработваните лични данни,
· вида дейност, в която се обработват лични данни,
· значението на заплахите за сигурността на личните данни.
Видове дейност и, най-важното, увреждане на субекта в приетия документ като цяло отсъстват като квалифициращи признаци. В клауза 7 от Изискванията операторът е „изобщо хуманен“, не мога да кажа друго, предлага се независимо да се определи вида на заплахите за сигурността на личните данни, свързани с информационната система, като се вземат предвид оценка на възможните щети, ръководени от документите на FSB и FSTEC, които все още не съществуват. Тези. ръководителят на детската градина или началникът на отдела за автоматизация на завод за валцуване на тръби (тъй като просто няма кой друг да се занимава с подобни проблеми в такива организации) ще прецени вредата от разкриването на данни на персонал, възпитатели, посетители и техните роднини. При пълната липса на методически разработки в страната по този въпрос. Всеки, който има дори малко опит с подобни въпроси, знае, че проблемът с определянето на размера на вредата при нарушаване на граждански права е един от най-трудните в юриспруденцията и съдебните производства. Но очевидно, помнейки класическия постулат за възможностите на всеки готвач, авторите решиха, че проблемът може да бъде решен чрез краудсорсинг. Операторите, според Roskomnadzor, са около седем милиона. Вижте какво измислят. Класически пример за прехвърляне на проблеми от една глава на друга, знаете какво.
С дейности също, засада. Като се има предвид, че новата редакция на закона не оставя място за индустриални стандарти за работа с лични данни, същите тези видове ще трябва да се вземат предвид само по един начин - чрез измисляне на заплахи за сигурността, които са допълнителни към измислените от FSB и FSTEC, което всъщност е посочено в части 5 и 6 на същия член 19 от закона. Точка. Само за идентифициране на нови заплахи, а не за предвиждане на облекчения, подобни на тези, които Министерството на здравеопазването договори с FSTEC в своите методически документи.
Рафт втори. Методика. Рафтът е най-... лошо окачен. Тъй като в методологията - най-важните, ключови проблеми на документа. Обявявайки недекларираните (недокументирани) функции в системния и приложния софтуер като основни заплахи, които неминуемо водят до установяване на по-високи нива на сигурност (виж Таблица 1), Изискванията изобщо не предлагат методи и начини за тяхното неутрализиране. За такива методи може да бъде само проверка на този софтуер за липса на отметки и други лоши навици. И никой не изисква това от операторите, поне в PP-1119.
маса 1
|
ISPD тип |
Операторски персонал |
Брой предмети |
Тип текущи заплахи |
||
|
1 |
2 |
3 |
|||
|
ISPDn-S |
Не |
> 100 000 |
УЗ-1 |
УЗ-1 |
УЗ-2 |
|
Не |
< 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
|
да |
|||||
|
ISPDn-B |
УЗ-1 |
УЗ-2 |
УЗ-3 |
||
|
ISPDn-I |
Не |
> 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
Не |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
|
да |
|||||
|
ISPDn-O |
Не |
> 100 000 |
УЗ-2 |
УЗ-2 |
УЗ-4 |
|
Не |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
|
да |
За да се лекуват от логически бомби, задни вратички и други зли духове, те предлагат стари изпитани методи - клистер с грамофонни игли и гипсиране на ненарушени крайници. Вижте таблица 2.
таблица 2
|
Изисквания |
Нива сигурност |
|||
|
1 |
2 |
3 |
4 |
|
|
Режим на охрана на помещенията, в които се обработват лични данни |
||||
|
Безопасност на носителите на лични данни |
||||
|
Списък на лицата, допуснати до лични данни |
||||
|
IPS, които са преминали процедурата за оценка на съответствието |
||||
|
Длъжностното лице, отговорно за осигуряване сигурността на личните данни в ИСПД |
||||
|
Ограничаване на достъпа до съдържанието на регистъра на електронните съобщения |
||||
|
Автоматично регистриране в електронния дневник за сигурност на промяна в правомощията на служител на оператора за достъп до лични данни |
||||
|
Структурно звено, отговорно за осигуряване сигурността на личните данни |
Как използването на сертифицирани защитни стени и назначаването на отговорно звено (или отговорно лице) може да помогне за предотвратяване на въздействието на операционната система върху обработваните данни, очевидно само авторите знаят.
Рафт трети. Терминология. И това е най-загадъчната част от документа. Откъде се взеха и защо не са служителите на "оператора", чийто правен статут е ясно описан от Кодекса на труда - въпросът е прост и очевиден. Но какво представлява "електронният дневник на съобщенията" (стр. 15) и как се различава от "електронния дневник на сигурността" (стр. 16), ако изобщо се различава - има голяма тайна. Предполагам, че става въпрос за трупи. Дневници на какво? ОПЕРАЦИОННА СИСТЕМА? DB? дупето? ГИС? Всички заедно или нещо по отделно? Въпроси без отговори.
Указът въвежда концепцията за информационна система, която обработва публично достъпни лични данни, която липсва в закона, и счита, че тя се получава само от публично достъпни източници на лични данни, създадени в съответствие с член 8 от 152-FZ.
И ако те са получени по различен начин, например, ако това е информация, подлежаща на публикуване и задължително разкриване, като информация от Единния държавен регистър на юридическите лица и EGRIP, която е публично достъпна в съответствие с Федералния закон за държавната регистрация на юридически лица и индивидуални предприемачи. Или информация за филиали на емитента ценни книжа. Или да се публикуват личните данни на кандидатите за депутати. Как да бъда с тях? Отново въпрос без отговор.
И накрая, оценка на съответствието. Терминът, който няма разяснения по отношение на средството за информационна сигурност в нито един закон, с изключение на закрития Указ № 330, продължава да броди в нормативната уредба. Но дори операторът да е видял това постановление, не му е дадено да разбере как се извършва оценката на съответствието в хода на държавния контрол и надзор. И също така оценете последиците от изчакването на пристигането на контрольора и поведението му при вида на несертифицирани средства. Е, нека не забравяме, че в новата версия на закона нормативните правни актове, свързани с обработката на лични данни, подлежат на официално публикуване.
Рафт четвърти. Приложимост. Резолюцията може да влезе в сила само след приемането на съответните актове на FSB и FSTEC, предвидени в част 4 на член 19 от 152-FZ, както и федералните изпълнителни органи, които изпълняват функциите по разработване на държавна политика и правно регулиране в установената сфера на дейност, органи на държавните органи на съставните образувания на Руската федерация, Банката на Русия, органи на държавни извънбюджетни фондове, други държавни органи по отношение на определянето на действителните заплахи за сигурността на личните данни ( част 5 от член 19 от 152-FZ, клауза 2 от Изискванията), които отсъстват и не е известно кога ще бъдат приети. При тези условия е почти невъзможно един оператор да изпълни установените изисквания. Връщам се към ръководителя на детската градина и началника на отдела за автоматизация на завода за валцуване на тръби. Кой пръв ще обясни какво представляват „недекларираните възможности на системния софтуер“ и по какви критерии ще оцени уместността на тази заплаха? Какво може да накара втория човек да разпознае тези заплахи като подходящи за неговото предприятие и да поеме допълнителни проблеми? Как ще оценят вредата, за която е писано при анализирането на първия рафт? Да изчакаме документите на FSB и FSTEC. Нещо ми подсказва, че няма да е възможно просто да откажа да неутрализирам недекларирани способности. Банките и телекомите ще го оправят в крайна сметка. А какво да кажем за останалите, които нямат специализирани специалисти и лицензи на FSB / FSTEC - училища и университети, болници и клиники, служби по вписванията и центрове по заетостта и т.н., и т.н.? Нищо друго освен недоумение такъв документ не може да предизвика у тях.
Няма да пиша автобиография. И така всичко е ясно.
Ръцете, които отдавна посегнаха към клавиатурата над новия регулаторен шедьовър, вече са избити до кости. Вече не мога да се сдържам и не издържам повече. Ще трябва да пиша. Освен това днес влиза в сила Указ от 01.11.2012 г. № 1119 „За одобряване на изискванията за защита на личните данни по време на тяхната обработка в информационни системи за лични данни“, който отменя Указ от 17.11.2007 г. № 781. Изтичат седем дни от датата на публикуване.
Честно казано, реакцията на колегите от професионалната общност на новата резолюция, която всъщност определя системата за изграждане на техническа сигурност при обработката на лични данни в информационните системи, не само ме изненада, но и ме озадачи. Части, и то не малко, го харесаха, защото според тях не съдържа нищо фундаментално ново и не затяга допълнително винтовете, а броят на изискванията дори намалява в сравнение с PP-781. Друга част от колегите се карат на документа, но много общо, главно заради липсата на конкретика.
Имах малко по-различно мнение относно изискванията, изразих го накратко на днешния уебинар, проведен от нашата агенция съвместно с компанията Security Code, и броят на получените въпроси за това най-накрая ме подтикна да напиша тази публикация.
За да систематизирам визията си, измислих няколко рафта, според които ще разложа оценката си за документа. Съжалявам, ще има много писма. Много. Думите са внимателно подбрани, така че категорията читатели да бъде 0+.
Първи рафт. Спазване на закона. Пускането на PP-1119 е пряко изискване на параграфи 1 и 2 от част 3 на член 19 от новата редакция на 152-FZ „За личните данни“. Това ми позволява да оценя много рязко състоянието на нещата на този рафт. Правителственото постановление не е в съответствие със закона. Законът предписва да се определят нивата на сигурност и изискванията към тях в зависимост от пет фактора:
· възможно увреждане на субекта на личните данни,
· обем на обработваните лични данни,
· съдържанието на обработваните лични данни,
· вида дейност, в която се обработват лични данни,
· значението на заплахите за сигурността на личните данни.
Видове дейност и, най-важното, увреждане на субекта в приетия документ като цяло отсъстват като квалифициращи признаци. В клауза 7 от Изискванията операторът е „изобщо хуманен“, не мога да кажа друго, предлага се независимо да се определи вида на заплахите за сигурността на личните данни, свързани с информационната система, като се вземат предвид оценка на възможните щети, ръководени от документите на FSB и FSTEC, които все още не съществуват. Тези. ръководителят на детската градина или началникът на отдела за автоматизация на завод за валцуване на тръби (тъй като просто няма кой друг да се занимава с подобни проблеми в такива организации) ще прецени вредата от разкриването на данни на персонал, възпитатели, посетители и техните роднини. При пълната липса на методически разработки в страната по този въпрос. Всеки, който има дори малко опит с подобни въпроси, знае, че проблемът с определянето на размера на вредата при нарушаване на граждански права е един от най-трудните в юриспруденцията и съдебните производства. Но очевидно, помнейки класическия постулат за възможностите на всеки готвач, авторите решиха, че проблемът може да бъде решен чрез краудсорсинг. Операторите, според Roskomnadzor, са около седем милиона. Вижте какво измислят. Класически пример за прехвърляне на проблеми от една глава на друга, знаете какво.
С дейности също, засада. Като се има предвид, че новата редакция на закона не оставя място за индустриални стандарти за работа с лични данни, същите тези видове ще трябва да се вземат предвид само по един начин - чрез измисляне на заплахи за сигурността, които са допълнителни към измислените от FSB и FSTEC, което всъщност е посочено в части 5 и 6 на същия член 19 от закона. Точка. Само за идентифициране на нови заплахи, а не за предвиждане на облекчения, подобни на тези, които Министерството на здравеопазването договори с FSTEC в своите методически документи.
Рафт втори. Методика. Рафтът е най-... лошо окачен. Тъй като в методологията - най-важните, ключови проблеми на документа. Обявявайки недекларираните (недокументирани) функции в системния и приложния софтуер като основни заплахи, които неминуемо водят до установяване на по-високи нива на сигурност (виж Таблица 1), Изискванията изобщо не предлагат методи и начини за тяхното неутрализиране. За такива методи може да бъде само проверка на този софтуер за липса на отметки и други лоши навици. И никой не изисква това от операторите, поне в PP-1119.
маса 1
ISPD тип |
Операторски персонал |
Брой предмети |
Тип текущи заплахи |
||
1 |
2 |
3 |
|||
ISPDn-S |
Не |
> 100 000 |
УЗ-1 |
УЗ-1 |
УЗ-2 |
Не |
< 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
да |
|||||
ISPDn-B |
УЗ-1 |
УЗ-2 |
УЗ-3 |
||
ISPDn-I |
Не |
> 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
Не |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
да |
|||||
ISPDn-O |
Не |
> 100 000 |
УЗ-2 |
УЗ-2 |
УЗ-4 |
Не |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
да |
|||||
За да се лекуват от логически бомби, задни вратички и други зли духове, те предлагат стари изпитани методи - клистер с грамофонни игли и гипсиране на ненарушени крайници. Вижте таблица 2.
таблица 2
Изисквания |
Нива сигурност |
|||
1 |
2 |
3 |
4 |
|
Режим на охрана на помещенията, в които се обработват лични данни |
||||
Безопасност на носителите на лични данни |
||||
Списък на лицата, допуснати до лични данни |
||||
IPS, които са преминали процедурата за оценка на съответствието |
||||
Длъжностното лице, отговорно за осигуряване сигурността на личните данни в ИСПД |
Рафт трети. Терминология. И това е най-загадъчната част от документа. Откъде се взеха и защо не са служителите на "оператора", чийто правен статут е ясно описан от Кодекса на труда - въпросът е прост и очевиден. Но какво представлява "електронният дневник на съобщенията" (стр. 15) и как се различава от "електронния дневник на сигурността" (стр. 16), ако изобщо се различава - има голяма тайна. Предполагам, че става въпрос за трупи. Дневници на какво? ОПЕРАЦИОННА СИСТЕМА? DB? дупето? ГИС? Всички заедно или нещо по отделно? Въпроси без отговори. Указът въвежда концепцията за информационна система, която обработва публично достъпни лични данни, която липсва в закона, и счита, че тя се получава само от публично достъпни източници на лични данни, създадени в съответствие с член 8 от 152-FZ. И ако те са получени по различен начин, например, ако това е информация, подлежаща на публикуване и задължително разкриване, като информация от Единния държавен регистър на юридическите лица и EGRIP, която е публично достъпна в съответствие с Федералния закон за държавната регистрация на юридически лица и индивидуални предприемачи. Или информация за свързани лица на емитента на ценни книжа. Или да се публикуват личните данни на кандидатите за депутати. Как да бъда с тях? Отново въпрос без отговор. И накрая, оценка на съответствието. Терминът, който няма разяснения по отношение на средството за информационна сигурност в нито един закон, с изключение на закрития Указ № 330, продължава да броди в нормативната уредба. Но дори операторът да е видял това постановление, не му е дадено да разбере как се извършва оценката на съответствието в хода на държавния контрол и надзор. И също така оценете последиците от изчакването на пристигането на контрольора и поведението му при вида на несертифицирани средства. Е, нека не забравяме, че в новата версия на закона нормативните правни актове, свързани с обработката на лични данни, подлежат на официално публикуване. Рафт четвърти. Приложимост. Резолюцията може да влезе в сила само след приемането на съответните актове на FSB и FSTEC, предвидени в част 4 на член 19 от 152-FZ, както и федералните изпълнителни органи, които изпълняват функциите по разработване на държавна политика и правно регулиране в установената сфера на дейност, органи на държавните органи на съставните образувания на Руската федерация, Банката на Русия, органи на държавни извънбюджетни фондове, други държавни органи по отношение на определянето на действителните заплахи за сигурността на личните данни ( част 5 от член 19 от 152-FZ, клауза 2 от Изискванията), които отсъстват и не е известно кога ще бъдат приети. При тези условия е почти невъзможно един оператор да изпълни установените изисквания. Връщам се към ръководителя на детската градина и началника на отдела за автоматизация на завода за валцуване на тръби. Кой пръв ще обясни какво представляват „недекларираните възможности на системния софтуер“ и по какви критерии ще оцени уместността на тази заплаха? Какво може да накара втория човек да разпознае тези заплахи като подходящи за неговото предприятие и да поеме допълнителни проблеми? Как ще оценят вредата, за която е писано при анализирането на първия рафт? Да изчакаме документите на FSB и FSTEC. Нещо ми подсказва, че няма да е възможно просто да откажа да неутрализирам недекларирани способности. Банките и телекомите ще го оправят в крайна сметка. А какво да кажем за останалите, които нямат специализирани специалисти и лицензи на FSB / FSTEC - училища и университети, болници и клиники, служби по вписванията и центрове по заетостта и т.н., и т.н.? Нищо друго освен недоумение такъв документ не може да предизвика у тях. Няма да пиша автобиография. И така всичко е ясно. | |||
Зареждане...