Руки, які давно тяглися до клавіатури щодо нового шедевра нормативного регулювання, вже відбиті до кісток.
Більше стримувати себе та терпіти не вдається. Доведеться написати. Тим більше, що сьогодні Постанова від 01.11.2012 № 1119 "Про затвердження вимог щодо захисту персональних даних при їх обробці інформаційних системахперсональних даних", яка скасовує Постанову від 17.11.2007 № 781, набирає чинності. Сім днів з дня опублікування закінчуються.
Якщо чесно, реакція колег із професійної спільноти на нову постанову, яка фактично визначає систему побудови технічної безпеки обробки персональних даних в інформаційних системах, мене не просто здивувала, а радше спантеличила. Частини, і чималої, вона сподобалася, оскільки не містить, на їхню думку, нічого принципово нового, і гайки далі не закручує, а кількість вимог порівняно з ПП-781 навіть зменшується. Інша частина колег документ лає, але дуже загалом, здебільшого через відсутність конкретики.
У мене про вимоги склалася трохи інша думка, я коротко висловлював його на сьогоднішньому вебінарі, що проводився нашим агентством спільно з компанією «Код Безпеки», і кількість тих, хто надійшли з цього приводу, остаточно підштовхнуло мене до написання цієї посади.
Для того, щоб систематизувати своє бачення, я вигадав кілька поличок, за якими свою оцінку документа і розкладу. Вибачте, літер буде багато. Дуже. Слова ретельно підбирав, тому категорія читачів може бути і 0+.
Полиця перша.Відповідність закону. Випуск у світ ПП-1119 є прямою вимогою пунктів 1 та 2 частини 3 ст.19 нової редакції 152-ФЗ «Про персональні дані». Саме це дозволяє мені різко оцінити стан справ на цій поличці. Постанова Уряду закону відповідає.
Закон наказував визначити рівні захищеності та вимоги до них залежно від п'яти факторів:
- можливої шкоди суб'єкту персональних даних,
- обсягу оброблюваних персональних даних,
- змісту оброблюваних персональних даних,
- виду діяльності, під час здійснення якого обробляються персональні дані,
- актуальності загроз безпеці персональних даних.
Види діяльності, і що особливо важливо, шкоди суб'єкту в прийнятому документі взагалі відсутні як кваліфікуючі ознаки. У п.7 вимог оператору «зовсім не гуманно», інакше сказати не можу, пропонується самостійно визначити тип загроз безпеки персональних даних, актуальних для інформаційної системи, з урахуванням оцінки можливої шкоди, керуючись неіснуючими поки що документами ФСБ і ФСТЕК.
Тобто. зав.дитсадком або начальник відділу автоматизації трубопрокатного заводу (оскільки займатися подібними проблемами в подібних організаціях більше просто нікому) оцінюватимуть шкоду від розголошення даних персоналу, які виховуються, відвідувачів та їх родичів. За повної відсутності у країні методичних напрацювань із цієї проблеми. Той, хто хоч трохи стикався з подібними питаннями, знає, що проблема визначення розміру шкоди при порушенні цивільних прав є однією з найскладніших у юриспруденції та судочинстві. Але, певне, згадавши класичний постулат про можливості кожної куховарки, автори вирішили, що вирішити проблему можна краудсорсингом. Операторів за оцінкою – близько семи мільйонів. Дивишся, чого й винаходять. Класичний приклад перекладання проблеми з однієї голови в іншу, самі знаєте, яких.
З видами діяльності теж засідка. Зважаючи на те, що нова редакція закону не залишає місця для галузевих стандартів роботи з персональними даними, враховувати ці самі види доведеться одним лише способом – вигадуючи для них додаткові до ФСБ та ФСТЕК загрози безпеці, що, власне, і прописано у частинах 5 та 6 тієї ж статті 19 закону. Крапка. Тільки визначити нові загрози, а не передбачити якісь послаблення, подібні до тих, що свого часу погодило з ФСТЕКом МОЗ у своїх методичних документах.
Поличка друга.Методологія Полочка най...погано повішена. Оскільки в методології – найголовніші проблеми документа. Оголошуючи головними загрозами, які неминуче ведуть до вищих рівнівзахищеності (див. таблицю 1), недекларовані (недокументовані) можливості у системній та прикладній Вимоги не пропонують взагалі жодних методів та способів їх нейтралізації. Бо такими способами може бути тільки перевірка цього ПЗ на відсутність закладок та інших шкідливих звичок. А цього від операторів, у всякому разі, у ПП-1119 ніхто не вимагає.
Лікуватися від логічних бомб, бек-дорів та іншої нечисті пропонують старими перевіреними методами – клістиром з патефонними голками та гіпсуванням непереламаних кінцівок. Див. таблицю.
Яким чином використання міжмережевих екранівта призначення підрозділу (або відповідальної особи) може допомогти запобігти впливу операційної системина оброблювані дані знають, певне, лише автори.
Полиця третя.Термінологія. А це – найзагадковіша частина документа. Звідки з'явилися «співробітники оператора» і чому вони не працівники, правовий статус яких чітко описаний Трудовим кодексом – питання просте та очевидне. А ось що таке «електронний журнал повідомлень» (п.15) і чим він відрізняється від «електронного журналу безпеки» (п.16), якщо відрізняється взагалі – таємниця велика. Я здогадуюсь, що йдеться про балки. Лога чого? ОС? БД? Приклад? СЗІ? Усього разом чи чогось окремо? Запитання без відповідей.
Постанова запроваджує відсутнє у законі поняття інформаційної системи, що обробляє загальнодоступні персональні дані, і вважає такими отримані лише із загальнодоступних джерел персональних даних, створених відповідно до ст.8 152-ФЗ.
А якщо вони отримані по-іншому, наприклад, якщо це відомості, що підлягають опублікуванню та обов'язковому розкриттю, як відомості та є загальнодоступними відповідно до Федерального закону про юридичних осіб та індивідуальних підприємців Або відомості про афілійованих осіб емітента Або персональні дані кандидатів у депутати опублікування. Як бути із ними? Знову питання, яке не має відповіді.
Зрештою, оцінка відповідності. Термін, який не має пояснень стосовно СЗІ в жодному акті, крім закритої Постанови № 330, продовжує кочувати за нормативною базою. Але навіть якщо ця Постанова оператор бачив, зрозуміти, яким чином здійснюється оцінка відповідності в ході державного контролю та нагляду, йому не дано. І оцінити наслідки очікування приходу контролера та його поведінки побачивши несертифікованих коштів теж. Ну, і не забуватимемо, що в новій редакції закону нормативні правові акти, що стосуються обробки персональних даних, підлягають офіційному опублікуванню.
Полиця четверта.Застосовність. Постанова може запрацювати у повному обсязі тільки після прийняття відповідних актів ФСБ та ФСТЕК, передбачених ч.4 ст.19 152-ФЗ, а також федеральними органами, що здійснюють функції з вироблення державного та нормативно-правового регулювання у встановленій сфері діяльності, органів державної влади суб'єктів Російської Федерації, органів державних позабюджетних фондів, інших державних органів щодо визначення актуальних загроз безпеки персональних даних (ч.5 ст.19 152-ФЗ, п.2 Вимог), які відсутні і невідомо коли будуть прийняті.
Оператору за цих умов виконати встановлені вимоги практично неможливо. Повертаюся до завідувачки дитсадка та начальника відділу автоматизації трубопрокатного заводу. Хто пояснить першою, що таке «недекларовані можливості системного програмного забезпечення» і за якими ознаками вона оцінюватиме актуальність цієї загрози? Що може змусити другого ці загрози визнати для свого заводу актуальними та звалити на себе додаткові проблеми? Як вони оцінюватимуть шкоду, про яку писалося при розборі першої полички? Зачекаємо документів ФСБ та ФСТЕК. Щось мені підказує, що просто так відмовитись від нейтралізації недекларованих можливостей не вдасться. Банки і телевізор врешті-решт з цим розберуться. А що робити іншим, які не мають спеціалістів та ліцензій ФСБ/ФСТЕК – і вузам, лікарням та поліклінікам, РАГСам та центрам зайнятості населення, та ін., та ін.? Нічого, крім оторопи, подібний документ у них не може викликати.
Резюме писати не буду. І так усе зрозуміло.
УРЯД РОСІЙСЬКОЇ ФЕДЕРАЦІЇ
ПОСТАНОВЛЕННЯ
Про затвердження вимог щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних
Відповідно до статті 19 Федерального закону "Про персональні дані" Уряд Російської Федерації
ухвалює:
1. Затвердити вимоги до захисту персональних даних, що додаються, при їх обробці в інформаційних системах персональних даних.
2. Визнати такою, що втратила чинність, постанову Уряду Російської Федерації від 17 листопада 2007 року N 781 "Про затвердження Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних" (Збори законодавства Російської Федерації, 2007, N 48, ст.6001).
Голова уряду
Російської Федерації
Д.Медведєв
Вимоги до захисту персональних даних під час їх обробки в інформаційних системах персональних даних
ЗАТВЕРДЖЕНІ
постановою Уряду
Російської Федерації
від 1 листопада 2012 року N 1119
1. Цей документ встановлює вимоги щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних (далі – інформаційні системи) та рівні захищеності таких даних.
2. Безпека персональних даних під час їхньої обробки в інформаційній системі забезпечується за допомогою системи захисту персональних даних, що нейтралізує актуальні загрози, визначені відповідно до частини 5 статті 19 Федерального закону "Про персональні дані".
Система захисту персональних даних включає організаційні та (або) технічні заходи, визначені з урахуванням актуальних загроз безпеці персональних даних та інформаційних технологій, що використовуються в інформаційних системах
3. Безпека персональних даних при їх обробці в інформаційній системі забезпечує оператор цієї системи, який обробляє персональні дані (далі - оператор), або особа, яка здійснює обробку персональних даних за дорученням оператора на підставі договору, що укладається з цією особою (далі - уповноважена особа). Договір між оператором та уповноваженою особою має передбачати обов'язок уповноваженої особи забезпечити безпеку персональних даних при їх обробці в інформаційній системі.
4. Вибір засобів захисту інформації для системи захисту персональних даних здійснюється оператором відповідно до нормативних правових актів, прийнятих Федеральною службоюбезпеки Російської Федерації та Федеральною службою з технічного та експортного контролю на виконання частини 4 статті 19 Федерального закону "Про персональні дані".
5. Інформаційна система є інформаційною системою, що обробляє спеціальні категорії персональних даних, якщо в ній обробляються персональні дані стосовно расової, національної приналежності, політичних поглядів, релігійних або філософських переконань, стану здоров'я, інтимного життя суб'єктів персональних даних.
Інформаційна система є інформаційною системою, що обробляє біометричні персональні дані, якщо в ній обробляються відомості, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особу та які використовуються оператором для встановлення особи суб'єкта персональних даних, та не обробляються відомості, що належать до спеціальними категоріями персональних даних.
Інформаційна система є інформаційною системою, що обробляє загальнодоступні персональні дані, якщо у ній обробляються персональні дані суб'єктів персональних даних, отримані лише з загальнодоступних джерел персональних даних, створених відповідно до статті 8 Федерального закону "Про персональні дані".
Інформаційна система є інформаційною системою, яка обробляє інші категорії персональних даних, якщо в ній не обробляються персональні дані, зазначені в абзацах першому-третьому цього пункту.
Інформаційна система є інформаційною системою, що обробляє персональні дані працівників оператора, якщо у ній обробляються персональні дані лише зазначених працівників. В інших випадках інформаційна система персональних даних є інформаційною системою, що обробляє персональні дані суб'єктів персональних даних, які не є працівниками оператора.
6. Під актуальними загрозами безпеці персональних даних розуміється сукупність умов та факторів, що створюють актуальну небезпеку несанкціонованого, у тому числі випадкового, доступу до персональних даних при їх обробці в інформаційній системі, результатом якої можуть стати знищення, зміна, блокування, копіювання, надання, розповсюдження персональні дані, а також інші неправомірні дії.
Загрози 1-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у системному програмному забезпеченні, що використовується в інформаційній системі.
Загрози 2-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у прикладному програмному забезпеченні, що використовується в інформаційній системі.
Загрози 3-го типу є актуальними для інформаційної системи, якщо для неї актуальні загрози, не пов'язані з наявністю недокументованих (недекларованих) можливостей у системному та прикладному програмному забезпеченні, що використовується в інформаційній системі.
7. Визначення типу загроз безпеки персональних даних, актуальних для інформаційної системи, провадиться оператором з урахуванням оцінки можливої шкоди, проведеної на виконання пункту 5 частини 1 статті 18_1 Федерального закону "Про персональні дані", та відповідно до нормативних правових актів, прийнятих на виконання частини 5 статті 19 Федерального закону "Про персональні дані".
8. При обробці персональних даних в інформаційних системах встановлюються 4 рівні захищеності персональних даних.
9. Необхідність забезпечення 1-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:
а) для інформаційної системи актуальні загрози 1-го типу та інформаційна система опрацьовує або спеціальні категорії персональних даних, або біометричні персональні дані, або інші категорії персональних даних;
б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.
10. Необхідність забезпечення 2-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:
а) для інформаційної системи актуальні загрози 1-го типу та інформаційна система опрацьовує загальнодоступні персональні дані;
б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних співробітників оператора або спеціальні категорії персональних даних менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;
в) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує біометричні персональні дані;
г) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує загальнодоступні персональні дані більш ніж 100000 суб'єктів персональних даних, які не є працівниками оператора;
д) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує інші категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;
е) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.
11. Необхідність забезпечення 3-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:
а) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує загальнодоступні персональні дані працівників оператора або загальнодоступні персональні дані менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;
б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує інші категорії персональних даних співробітників оператора або інші категорії персональних даних менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;
в) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних співробітників оператора або спеціальні категорії персональних даних менш ніж 100000 суб'єктів персональних даних, що не є співробітниками оператора;
г) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує біометричні персональні дані;
д) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує інші категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.
12. Необхідність забезпечення 4-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:
а) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує загальнодоступні персональні дані;
б) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує інші категорії персональних даних співробітників оператора або інші категорії персональних даних менш ніж 100000 суб'єктів персональних даних, що не є співробітниками оператора.
13. Для забезпечення 4-го рівня захищеності персональних даних при їх обробці в інформаційних системах необхідно виконати такі вимоги:
а) організація режиму безпеки приміщень, в яких розміщена інформаційна система, що перешкоджає можливості неконтрольованого проникнення або перебування в цих приміщеннях осіб, які не мають права доступу до цих приміщень;
б) забезпечення безпеки носіїв персональних даних;
в) затвердження керівником оператора документа, що визначає перелік осіб, доступ яких до персональних даних, оброблюваних в інформаційній системі, необхідний виконання ними службових (трудових) обов'язків;
г) використання засобів захисту інформації, що пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації в галузі забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідне нейтралізації актуальних загроз.
14. Для забезпечення 3-го рівня захищеності персональних даних при їх обробці в інформаційних системах крім виконання вимог, передбачених пунктом 13 цього документа, необхідно, щоб було призначено посадову особу (працівника), відповідальну за забезпечення безпеки персональних даних в інформаційній системі.
15. Для забезпечення 2-го рівня захищеності персональних даних при їх обробці в інформаційних системах, крім виконання вимог, передбачених пунктом 14 цього документа, необхідно, щоб доступ до змісту електронного журналу повідомлень був можливий виключно для посадових осіб (працівників) оператора або уповноваженої особи, яким відомості, які у зазначеному журналі, необхідні виконання службових (трудових) обов'язків.
16. Для забезпечення 1-го рівня захищеності персональних даних при їх обробці в інформаційних системах, крім вимог, передбачених пунктом 15 цього документа, необхідне виконання наступних вимог:
а) автоматична реєстрація в електронному журналі безпеки зміни повноважень працівника оператора щодо доступу до персональних даних, що містяться в інформаційній системі;
б) створення структурного підрозділу, відповідального за забезпечення безпеки персональних даних в інформаційній системі, або покладання на один із структурних підрозділів функцій щодо забезпечення такої безпеки.
17. Контроль за виконанням цих вимог організується та проводиться оператором (уповноваженою особою) самостійно та (або) із залученням на договірній основі юридичних осібта індивідуальних підприємців, які мають ліцензію на провадження діяльності з технічний захист конфіденційної інформації. Зазначений контроль проводиться не рідше 1 разу на 3 роки у строки, що визначаються оператором (уповноваженою особою).
Електронний текст документа
підготовлений ЗАТ "Кодекс" і звірений.
УРЯД РОСІЙСЬКОЇ ФЕДЕРАЦІЇ
ПРО ЗАТВЕРДЖЕННЯ ВИМОГ
Відповідно до статті 19 Федерального закону "Про персональні дані" Уряд Російської Федерації ухвалює:
1. Затвердити вимоги до захисту персональних даних, що додаються, при їх обробці в інформаційних системах персональних даних.
2. Визнати такою, що втратила чинність, постанову Уряду Російської Федерації від 17 листопада 2007 р. N 781 "Про затвердження Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних" (Збори законодавства Російської Федерації, 2007, N 48, ст. 6001) .
Голова уряду
Російської Федерації
Д.МЕДВЕДЄВ
Затверджено
постановою Уряду
Російської Федерації
від 1 листопада 2012 р. N 1119
ВИМОГИ
ДО ЗАХИСУ ПЕРСОНАЛЬНИХ ДАНИХ ПРИ ЇХ ОБРОБЦІ
В ІНФОРМАЦІЙНИХ СИСТЕМАХ ПЕРСОНАЛЬНИХ ДАНИХ
1. Цей документ встановлює вимоги щодо захисту персональних даних при їх обробці в інформаційних системах персональних даних (далі – інформаційні системи) та рівні захищеності таких даних.
2. Безпека персональних даних під час їхньої обробки в інформаційній системі забезпечується за допомогою системи захисту персональних даних, що нейтралізує актуальні загрози, визначені відповідно до частини 5 статті 19 Федерального закону "Про персональні дані".
Система захисту персональних даних включає організаційні та (або) технічні заходи, визначені з урахуванням актуальних загроз безпеки персональних даних та інформаційних технологій, що використовуються в інформаційних системах.
3. Безпека персональних даних при їх обробці в інформаційній системі забезпечує оператор цієї системи, який обробляє персональні дані (далі - оператор), або особа, яка здійснює обробку персональних даних за дорученням оператора на підставі договору, що укладається з цією особою (далі - уповноважена особа). Договір між оператором та уповноваженою особою має передбачати обов'язок уповноваженої особи забезпечити безпеку персональних даних при їх обробці в інформаційній системі.
4. Вибір засобів захисту інформації для системи захисту персональних даних здійснюється оператором відповідно до нормативних правових актів, прийнятих Федеральною службою безпеки Російської Федерації та Федеральною службою з технічного та експортного контролю на виконання частини 4 статті 19 Федерального закону "Про персональні дані".
5. Інформаційна система є інформаційною системою, що обробляє спеціальні категорії персональних даних, якщо в ній обробляються персональні дані стосовно расової, національної приналежності, політичних поглядів, релігійних або філософських переконань, стану здоров'я, інтимного життя суб'єктів персональних даних.
Інформаційна система є інформаційною системою, що обробляє біометричні персональні дані, якщо в ній обробляються відомості, що характеризують фізіологічні та біологічні особливості людини, на підставі яких можна встановити її особу та які використовуються оператором для встановлення особи суб'єкта персональних даних, та не обробляються відомості, що належать до спеціальними категоріями персональних даних.
Інформаційна система є інформаційною системою, що обробляє загальнодоступні персональні дані, якщо у ній обробляються персональні дані суб'єктів персональних даних, отримані лише із загальнодоступних джерел персональних даних, створених відповідно до статті 8 Федерального закону "Про персональні дані".
Інформаційна система є інформаційною системою, яка обробляє інші категорії персональних даних, якщо в ній не обробляються персональні дані, зазначені в абзацах першому – третьому цього пункту.
Інформаційна система є інформаційною системою, що обробляє персональні дані працівників оператора, якщо у ній обробляються персональні дані лише зазначених працівників. В інших випадках інформаційна система персональних даних є інформаційною системою, що обробляє персональні дані суб'єктів персональних даних, які не є працівниками оператора.
6. Під актуальними загрозами безпеці персональних даних розуміється сукупність умов та факторів, що створюють актуальну небезпеку несанкціонованого, у тому числі випадкового, доступу до персональних даних при їх обробці в інформаційній системі, результатом якої можуть стати знищення, зміна, блокування, копіювання, надання, розповсюдження персональні дані, а також інші неправомірні дії.
Загрози 1-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у системному програмному забезпеченні, що використовується в інформаційній системі.
Загрози 2-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у прикладному програмному забезпеченні, що використовується в інформаційній системі.
Загрози 3-го типу є актуальними для інформаційної системи, якщо для неї актуальні загрози, не пов'язані з наявністю недокументованих (недекларованих) можливостей у системному та прикладному програмному забезпеченні, що використовується в інформаційній системі.
7. Визначення типу загроз безпеки персональних даних, актуальних для інформаційної системи, провадиться оператором з урахуванням оцінки можливої шкоди, проведеної на виконання пункту 5 частини 1 статті 18.1 Федерального закону "Про персональні дані", та відповідно до нормативних правових актів, прийнятих на виконання частини 5 статті 19 Федерального закону "Про особисті дані".
8. При обробці персональних даних в інформаційних системах встановлюються 4 рівні захищеності персональних даних.
9. Необхідність забезпечення 1-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:
а) для інформаційної системи актуальні загрози 1-го типу та інформаційна система опрацьовує або спеціальні категорії персональних даних, або біометричні персональні дані, або інші категорії персональних даних;
б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.
10. Необхідність забезпечення 2-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:
а) для інформаційної системи актуальні загрози 1-го типу та інформаційна система опрацьовує загальнодоступні персональні дані;
б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних співробітників оператора або спеціальні категорії персональних даних менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;
в) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує біометричні персональні дані;
г) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує загальнодоступні персональні дані більш ніж 100000 суб'єктів персональних даних, які не є працівниками оператора;
д) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує інші категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;
е) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.
11. Необхідність забезпечення 3-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:
а) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує загальнодоступні персональні дані працівників оператора або загальнодоступні персональні дані менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;
б) для інформаційної системи актуальні загрози 2-го типу та інформаційна система опрацьовує інші категорії персональних даних співробітників оператора або інші категорії персональних даних менш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора;
в) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує спеціальні категорії персональних даних співробітників оператора або спеціальні категорії персональних даних менш ніж 100000 суб'єктів персональних даних, що не є співробітниками оператора;
г) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує біометричні персональні дані;
д) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує інші категорії персональних даних більш ніж 100000 суб'єктів персональних даних, які не є співробітниками оператора.
12. Необхідність забезпечення 4-го рівня захищеності персональних даних при їх обробці в інформаційній системі встановлюється за наявності хоча б однієї з наступних умов:
а) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує загальнодоступні персональні дані;
б) для інформаційної системи актуальні загрози 3-го типу та інформаційна система опрацьовує інші категорії персональних даних співробітників оператора або інші категорії персональних даних менш ніж 100000 суб'єктів персональних даних, що не є співробітниками оператора.
13. Для забезпечення 4-го рівня захищеності персональних даних при їх обробці в інформаційних системах необхідно виконати такі вимоги:
а) організація режиму безпеки приміщень, в яких розміщена інформаційна система, що перешкоджає можливості неконтрольованого проникнення або перебування в цих приміщеннях осіб, які не мають права доступу до цих приміщень;
б) забезпечення безпеки носіїв персональних даних;
в) затвердження керівником оператора документа, що визначає перелік осіб, доступ яких до персональних даних, оброблюваних в інформаційній системі, необхідний виконання ними службових (трудових) обов'язків;
г) використання засобів захисту інформації, що пройшли процедуру оцінки відповідності вимогам законодавства Російської Федерації в галузі забезпечення безпеки інформації, у разі, коли застосування таких засобів необхідне нейтралізації актуальних загроз.
14. Для забезпечення 3-го рівня захищеності персональних даних при їх обробці в інформаційних системах крім виконання вимог, передбачених пунктом 13 цього документа, необхідно, щоб було призначено посадову особу (працівника), відповідальну за забезпечення безпеки персональних даних в інформаційній системі.
15. Для забезпечення 2-го рівня захищеності персональних даних при їх обробці в інформаційних системах, крім виконання вимог, передбачених пунктом 14 цього документа, необхідно, щоб доступ до змісту електронного журналу повідомлень був можливий виключно для посадових осіб (працівників) оператора або уповноваженої особи, яким відомості, які у зазначеному журналі, необхідні виконання службових (трудових) обов'язків.
16. Для забезпечення 1-го рівня захищеності персональних даних при їх обробці в інформаційних системах, крім вимог, передбачених пунктом 15 цього документа, необхідне виконання наступних вимог:
а) автоматична реєстрація в електронному журналі безпеки зміни повноважень працівника оператора щодо доступу до персональних даних, що містяться в інформаційній системі;
б) створення структурного підрозділу, відповідального за забезпечення безпеки персональних даних в інформаційній системі, або покладання на один із структурних підрозділів функцій щодо забезпечення такої безпеки.
17. Контроль за виконанням цих вимог організується та проводиться оператором (уповноваженою особою) самостійно та (або) із залученням на договірній основі юридичних осіб та індивідуальних підприємців, які мають ліцензію на провадження діяльності з технічного захисту конфіденційної інформації. Зазначений контроль проводиться не рідше 1 разу на 3 роки у строки, що визначаються оператором (уповноваженою особою).
Руки, які давно тяглися до клавіатури щодо нового шедевра нормативного регулювання, вже відбиті до кісток. Більше стримувати себе та терпіти не вдається. Доведеться написати. Тим більше, що сьогодні Постанова від 01.11.2012 № 1119 "Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних", яка скасовує Постанову від 17.11.2007 № 781, набирає чинності. Сім днів від дня опублікування закінчуються.
Якщо чесно, реакція колег із професійної спільноти на нову постанову, яка фактично визначає систему побудови технічної безпеки обробки персональних даних в інформаційних системах, мене не просто здивувала, а радше спантеличила. Частини, і чималої, вона сподобалася, оскільки не містить, на їхню думку, нічого принципово нового, і гайки далі не закручує, а кількість вимог порівняно з ПП-781 навіть зменшується. Інша частина колег документ лає, але дуже загально, здебільшого через відсутність конкретики.
У мене про вимоги склалася дещо інша думка, я коротко висловлював його на сьогоднішньому вебінарі, що проводився нашим агентством спільно з компанією «Код Безпеки», і кількість питань, що з цього приводу надійшли, остаточно підштовхнуло мене до написання цієї посади.
Для того, щоб систематизувати своє бачення, я вигадав кілька поличок, за якими свою оцінку документа і розкладу. Вибачте, літер буде багато. Дуже. Слова ретельно підбирав, тому категорія читачів може бути і 0+.
Полиця перша. Відповідність закону. Випуск світло ПП-1119 є прямою вимогою пунктів 1 і 2 частини 3 ст.19 нової редакції 152-ФЗ «Про персональні дані». Саме це дозволяє мені різко оцінити стан справ на цій поличці. Постанова Уряду закону відповідає. Закон наказував визначити рівні захищеності та вимоги до них залежно від п'яти факторів:
· можливої шкоди суб'єкту персональних даних,
· обсягу оброблюваних персональних даних,
· змісту оброблюваних персональних даних,
· виду діяльності, під час здійснення якого обробляються персональні дані,
· актуальності загроз безпеці персональних даних.
Види діяльності, і що особливо важливо, шкоди суб'єкту в прийнятому документі взагалі відсутні як кваліфікуючі ознаки. У п.7 вимог оператору «зовсім не гуманно», інакше сказати не можу, пропонується самостійно визначити тип загроз безпеки персональних даних, актуальних для інформаційної системи, з урахуванням оцінки можливої шкоди, керуючись неіснуючими поки що документами ФСБ і ФСТЕК. Тобто. зав.дитсадком або начальник відділу автоматизації трубопрокатного заводу (оскільки займатися подібними проблемами в подібних організаціях більше просто нікому) оцінюватимуть шкоду від розголошення даних персоналу, які виховуються, відвідувачів та їх родичів. За повної відсутності у країні методичних напрацювань із цієї проблеми. Той, хто хоч трохи стикався з подібними питаннями, знає, що проблема визначення розміру шкоди при порушенні цивільних прав є однією з найскладніших у юриспруденції та судочинстві. Але, певне, згадавши класичний постулат про можливості кожної куховарки, автори вирішили, що вирішити проблему можна краудсорсингом. Операторів за оцінкою Роскомнагляду - близько семи мільйонів. Дивишся, чого й винаходять. Класичний приклад перекладання проблеми з однієї голови в іншу, самі знаєте, яких.
З видами діяльності теж засідка. Зважаючи на те, що нова редакція закону не залишає місця для галузевих стандартів роботи з персональними даними, враховувати ці самі види доведеться одним лише способом – вигадуючи для них додаткові до винайдених ФСБ та ФСТЕК загрози безпеці, що, власне, і прописано у частинах 5 та 6 тієї ж статті 19 закону. Крапка. Тільки визначити нові загрози, а не передбачити якісь послаблення, подібні до тих, що свого часу погодило з ФСТЕКом МОЗ у своїх методичних документах.
Поличка друга. Методологія Поличка сама ...погано повішена. Оскільки в методології – найголовніші, ключові проблеми документа. Оголошуючи головними загрозами, які неминуче ведуть до встановлення вищих рівнів захищеності (див. таблицю 1), недекларовані (недокументовані) можливості в системному та прикладному програмному забезпеченні, Вимоги не пропонують взагалі жодних методів та способів їхньої нейтралізації. Бо такими способами може бути тільки перевірка цього ПЗ на відсутність закладок та інших шкідливих звичок. А цього від операторів, у всякому разі, у ПП-1119 ніхто не вимагає.
Таблиця 1
|
Тип ІСПДн |
Співробітники оператора |
Кількість суб'єктів |
Тип актуальних загроз |
||
|
1 |
2 |
3 |
|||
|
ІСПДн-С |
Ні |
> 100 000 |
УЗ-1 |
УЗ-1 |
УЗ-2 |
|
Ні |
< 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
|
Так |
|||||
|
ІСПДн-Б |
УЗ-1 |
УЗ-2 |
УЗ-3 |
||
|
ІСПДн-І |
Ні |
> 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
Ні |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
|
Так |
|||||
|
ІСПДн-О |
Ні |
> 100 000 |
УЗ-2 |
УЗ-2 |
УЗ-4 |
|
Ні |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
|
Так |
Лікуватися від логічних бомб, бек-дорів та іншої нечисті пропонують старими перевіреними методами – клістиром з патефонними голками та гіпсуванням непереламаних кінцівок. Див. таблицю 2.
Таблиця 2
|
Вимоги |
Рівні захищеності |
|||
|
1 |
2 |
3 |
4 |
|
|
Режим забезпечення безпеки приміщень, де обробляються персональні дані |
||||
|
Збереження носіїв персональних даних |
||||
|
Перелік осіб, допущених до персональних даних |
||||
|
СЗІ, що пройшли процедуру оцінки відповідності |
||||
|
Посадова особа, відповідальна за безпеку персональних даних в ІСПДН |
||||
|
Обмеження доступу до вмісту електронного журналу повідомлень |
||||
|
Автоматична реєстрація в електронному журналі безпеки зміни повноважень працівника оператора щодо доступу до персональних даних |
||||
|
Структурний підрозділ, відповідальний за безпеку персональних даних |
Як використання сертифікованих міжмережевих екранів і призначення відповідального підрозділу (або відповідальної особи) може допомогти запобігти впливу операційної системи на оброблювані дані знають, мабуть, тільки автори.
Полиця третя. Термінологія. А це – найзагадковіша частина документа. Звідки з'явилися «співробітники оператора» і чому вони не працівники, правовий статус яких чітко описаний Трудовим кодексом – питання просте та очевидне. А ось що таке «електронний журнал повідомлень» (п.15) і чим він відрізняється від «електронного журналу безпеки» (п.16), якщо відрізняється взагалі – таємниця велика. Я здогадуюсь, що йдеться про балки. Лога чого? ОС? БД? Приклад? СЗІ? Усього разом чи чогось окремо? Запитання без відповідей.
Постанова запроваджує відсутнє у законі поняття інформаційної системи, що обробляє загальнодоступні персональні дані, і вважає такими отримані лише із загальнодоступних джерел персональних даних, створених відповідно до ст.8 152-ФЗ.
А якщо вони отримані по-іншому, наприклад, якщо це відомості, що підлягають опублікуванню та обов'язковому розкриттю, як відомості з ЄДРЮЛ та ЄДРІП, які є загальнодоступними відповідно до Федерального закону про державну реєстрацію юридичних осіб та індивідуальних підприємців. Або відомості про афілійованих осіб емітента цінних паперів. Або персональні дані кандидатів у депутати, які підлягають опублікуванню. Як бути із ними? Знову питання, яке не має відповіді.
Зрештою, оцінка відповідності. Термін, який не має пояснень стосовно СЗІ в жодному акті, крім закритої Постанови № 330, продовжує кочувати за нормативною базою. Але навіть якщо ця Постанова оператор бачив, зрозуміти, яким чином здійснюється оцінка відповідності в ході державного контролю та нагляду, йому не дано. І оцінити наслідки очікування приходу контролера та його поведінки побачивши несертифікованих коштів теж. Ну, і не забуватимемо, що в новій редакції закону нормативні правові акти, що стосуються обробки персональних даних, підлягають офіційному опублікуванню.
Полиця четверта. Застосовність. Постанова може запрацювати у повному обсязі лише після прийняття відповідних актів ФСБ та ФСТЕК, передбачених ч.4 ст.19 152-ФЗ, а також федеральними органами виконавчої влади, що здійснюють функції з вироблення державної політики та нормативно-правового регулювання у встановленій сфері діяльності, органів державної влади суб'єктів Російської Федерації, Банку Росії, органів державних позабюджетних фондів, інших державних органів щодо визначення актуальних загроз безпеки персональних даних (ч.5 ст.19 152-ФЗ, п.2 Вимог), які відсутні і невідомо коли будуть прийняті. Оператору за цих умов виконати встановлені вимоги практично неможливо. Повертаюся до завідувачки дитсадка та начальника відділу автоматизації трубопрокатного заводу. Хто пояснить першою, що таке «недекларовані можливості системного програмного забезпечення» та за якими ознаками вона оцінюватиме актуальність цієї загрози? Що може змусити другого ці загрози визнати для свого заводу актуальними та звалити на себе додаткові проблеми? Як вони оцінюватимуть шкоду, про яку писалося при розборі першої полички? Зачекаємо документів ФСБ та ФСТЕК. Щось мені підказує, що просто так відмовитись від нейтралізації недекларованих можливостей не вдасться. Банки і телевізор врешті-решт з цим розберуться. А що робити іншим, які не мають профільних фахівців та ліцензій ФСБ/ФСТЕК – школам та вузам, лікарням та поліклінікам, РАГСам та центрам зайнятості населення, та ін., та ін.? Нічого, крім оторопи, подібний документ у них не може викликати.
Резюме писати не буду. І так усе зрозуміло.
Руки, які давно тяглися до клавіатури щодо нового шедевра нормативного регулювання, вже відбиті до кісток. Більше стримувати себе та терпіти не вдається. Доведеться написати. Тим більше, що сьогодні Постанова від 01.11.2012 № 1119 "Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних", яка скасовує Постанову від 17.11.2007 № 781, набирає чинності. Сім днів від дня опублікування закінчуються.
Якщо чесно, реакція колег із професійної спільноти на нову постанову, яка фактично визначає систему побудови технічної безпеки обробки персональних даних в інформаційних системах, мене не просто здивувала, а радше спантеличила. Частини, і чималої, вона сподобалася, оскільки не містить, на їхню думку, нічого принципово нового, і гайки далі не закручує, а кількість вимог порівняно з ПП-781 навіть зменшується. Інша частина колег документ лає, але дуже загально, здебільшого через відсутність конкретики.
У мене про вимоги склалася дещо інша думка, я коротко висловлював його на сьогоднішньому вебінарі, що проводився нашим агентством спільно з компанією «Код Безпеки», і кількість питань, що з цього приводу надійшли, остаточно підштовхнуло мене до написання цієї посади.
Для того, щоб систематизувати своє бачення, я вигадав кілька поличок, за якими свою оцінку документа і розкладу. Вибачте, літер буде багато. Дуже. Слова ретельно підбирав, тому категорія читачів може бути і 0+.
Полиця перша. Відповідність закону. Випуск світло ПП-1119 є прямою вимогою пунктів 1 і 2 частини 3 ст.19 нової редакції 152-ФЗ «Про персональні дані». Саме це дозволяє мені різко оцінити стан справ на цій поличці. Постанова Уряду закону відповідає. Закон наказував визначити рівні захищеності та вимоги до них залежно від п'яти факторів:
· можливої шкоди суб'єкту персональних даних,
· обсягу оброблюваних персональних даних,
· змісту оброблюваних персональних даних,
· виду діяльності, під час здійснення якого обробляються персональні дані,
· актуальності загроз безпеці персональних даних.
Види діяльності, і що особливо важливо, шкоди суб'єкту в прийнятому документі взагалі відсутні як кваліфікуючі ознаки. У п.7 вимог оператору «зовсім не гуманно», інакше сказати не можу, пропонується самостійно визначити тип загроз безпеки персональних даних, актуальних для інформаційної системи, з урахуванням оцінки можливої шкоди, керуючись неіснуючими поки що документами ФСБ і ФСТЕК. Тобто. зав.дитсадком або начальник відділу автоматизації трубопрокатного заводу (оскільки займатися подібними проблемами в подібних організаціях більше просто нікому) оцінюватимуть шкоду від розголошення даних персоналу, які виховуються, відвідувачів та їх родичів. За повної відсутності у країні методичних напрацювань із цієї проблеми. Той, хто хоч трохи стикався з подібними питаннями, знає, що проблема визначення розміру шкоди при порушенні цивільних прав є однією з найскладніших у юриспруденції та судочинстві. Але, певне, згадавши класичний постулат про можливості кожної куховарки, автори вирішили, що вирішити проблему можна краудсорсингом. Операторів за оцінкою Роскомнагляду - близько семи мільйонів. Дивишся, чого й винаходять. Класичний приклад перекладання проблеми з однієї голови в іншу, самі знаєте, яких.
З видами діяльності теж засідка. Зважаючи на те, що нова редакція закону не залишає місця для галузевих стандартів роботи з персональними даними, враховувати ці самі види доведеться одним лише способом – вигадуючи для них додаткові до винайдених ФСБ та ФСТЕК загрози безпеці, що, власне, і прописано у частинах 5 та 6 тієї ж статті 19 закону. Крапка. Тільки визначити нові загрози, а не передбачити якісь послаблення, подібні до тих, що свого часу погодило з ФСТЕКом МОЗ у своїх методичних документах.
Поличка друга. Методологія Поличка сама ...погано повішена. Оскільки в методології – найголовніші, ключові проблеми документа. Оголошуючи головними загрозами, які неминуче ведуть до встановлення вищих рівнів захищеності (див. таблицю 1), недекларовані (недокументовані) можливості в системному та прикладному програмному забезпеченні, Вимоги не пропонують взагалі жодних методів та способів їхньої нейтралізації. Бо такими способами може бути тільки перевірка цього ПЗ на відсутність закладок та інших шкідливих звичок. А цього від операторів, у всякому разі, у ПП-1119 ніхто не вимагає.
Таблиця 1
Тип ІСПДн |
Співробітники оператора |
Кількість суб'єктів |
Тип актуальних загроз |
||
1 |
2 |
3 |
|||
ІСПДн-С |
Ні |
> 100 000 |
УЗ-1 |
УЗ-1 |
УЗ-2 |
Ні |
< 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
Так |
|||||
ІСПДн-Б |
УЗ-1 |
УЗ-2 |
УЗ-3 |
||
ІСПДн-І |
Ні |
> 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
Ні |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
Так |
|||||
ІСПДн-О |
Ні |
> 100 000 |
УЗ-2 |
УЗ-2 |
УЗ-4 |
Ні |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
Так |
|||||
Лікуватися від логічних бомб, бек-дорів та іншої нечисті пропонують старими перевіреними методами – клістиром з патефонними голками та гіпсуванням непереламаних кінцівок. Див. таблицю 2.
Таблиця 2
Вимоги |
Рівні захищеності |
|||
1 |
2 |
3 |
4 |
|
Режим забезпечення безпеки приміщень, де обробляються персональні дані |
||||
Збереження носіїв персональних даних |
||||
Перелік осіб, допущених до персональних даних |
||||
СЗІ, що пройшли процедуру оцінки відповідності |
||||
Посадова особа, відповідальна за безпеку персональних даних в ІСПДН |
Полиця третя. Термінологія. А це – найзагадковіша частина документа. Звідки з'явилися «співробітники оператора» і чому вони не працівники, правовий статус яких чітко описаний Трудовим кодексом – питання просте та очевидне. А ось що таке «електронний журнал повідомлень» (п.15) і чим він відрізняється від «електронного журналу безпеки» (п.16), якщо відрізняється взагалі – таємниця велика. Я здогадуюсь, що йдеться про балки. Лога чого? ОС? БД? Приклад? СЗІ? Усього разом чи чогось окремо? Запитання без відповідей. Постанова запроваджує відсутнє у законі поняття інформаційної системи, що обробляє загальнодоступні персональні дані, і вважає такими отримані лише із загальнодоступних джерел персональних даних, створених відповідно до ст.8 152-ФЗ. А якщо вони отримані по-іншому, наприклад, якщо це відомості, що підлягають опублікуванню та обов'язковому розкриттю, як відомості з ЄДРЮЛ та ЄДРІП, які є загальнодоступними відповідно до Федерального закону про державну реєстрацію юридичних осіб та індивідуальних підприємців. Або відомості про афілійованих осіб емітента цінних паперів. Або персональні дані кандидатів у депутати, які підлягають опублікуванню. Як бути із ними? Знову питання, яке не має відповіді. Зрештою, оцінка відповідності. Термін, який не має пояснень стосовно СЗІ в жодному акті, крім закритої Постанови № 330, продовжує кочувати за нормативною базою. Але навіть якщо ця Постанова оператор бачив, зрозуміти, яким чином здійснюється оцінка відповідності в ході державного контролю та нагляду, йому не дано. І оцінити наслідки очікування приходу контролера та його поведінки побачивши несертифікованих коштів теж. Ну, і не забуватимемо, що в новій редакції закону нормативні правові акти, що стосуються обробки персональних даних, підлягають офіційному опублікуванню. Полиця четверта. Застосовність. Постанова може запрацювати у повному обсязі лише після прийняття відповідних актів ФСБ та ФСТЕК, передбачених ч.4 ст.19 152-ФЗ, а також федеральними органами виконавчої влади, що здійснюють функції з вироблення державної політики та нормативно-правового регулювання у встановленій сфері діяльності, органів державної влади суб'єктів Російської Федерації, Банку Росії, органів державних позабюджетних фондів, інших державних органів щодо визначення актуальних загроз безпеки персональних даних (ч.5 ст.19 152-ФЗ, п.2 Вимог), які відсутні і невідомо коли будуть прийняті. Оператору за цих умов виконати встановлені вимоги практично неможливо. Повертаюся до завідувачки дитсадка та начальника відділу автоматизації трубопрокатного заводу. Хто пояснить першою, що таке «недекларовані можливості системного програмного забезпечення» та за якими ознаками вона оцінюватиме актуальність цієї загрози? Що може змусити другого ці загрози визнати для свого заводу актуальними та звалити на себе додаткові проблеми? Як вони оцінюватимуть шкоду, про яку писалося при розборі першої полички? Зачекаємо документів ФСБ та ФСТЕК. Щось мені підказує, що просто так відмовитись від нейтралізації недекларованих можливостей не вдасться. Банки і телевізор врешті-решт з цим розберуться. А що робити іншим, які не мають профільних фахівців та ліцензій ФСБ/ФСТЕК – школам та вузам, лікарням та поліклінікам, РАГСам та центрам зайнятості населення, та ін., та ін.? Нічого, крім оторопи, подібний документ у них не може викликати. Резюме писати не буду. І так усе зрозуміло. | |||
Завантаження...