Comments 72
Спасибо за познавательную статью!
Но есть несколько вопросов по организационной документации. Существует ли какой-нибудь РД определяющий перечень необходимых инструкций, журналов и прочего? Для ГТ всё это отработано и понятно (ПП 3-1). А вот для ПД непонятно… Фактически есть только Закон, ПП и пара приказов ФСТЭК и ФСБ.
Но есть несколько вопросов по организационной документации. Существует ли какой-нибудь РД определяющий перечень необходимых инструкций, журналов и прочего? Для ГТ всё это отработано и понятно (ПП 3-1). А вот для ПД непонятно… Фактически есть только Закон, ПП и пара приказов ФСТЭК и ФСБ.
Четкого списка нет. Компании, работающие с ПДн, создают и инструкции, и регламенты, и политики. В 152-ФЗ, ПП-1119, 21 Приказе ФСТЭК, 378 Приказе ФСБ есть намеки на то, что должно быть. Будете вы прописывать все в одном документе под названием “Регламент” или разобьете на кучу инструкций, решать вам.
Можно пойти от ответственности: если за это есть ответственность, значит нужно под это разработать отдельный документ. Как он будет называться, дело ваше.
Можно пойти от ответственности: если за это есть ответственность, значит нужно под это разработать отдельный документ. Как он будет называться, дело ваше.
Скорее, надо отталкиваться от того, что требует при проверке РКН. У них явно «свой» взгляд на перечень документов! ))))
Берете 211ПП, который для ГОСов и муниципалов, и делаете документы по перечню — РКН расплывется в улыбке)
Неверно, для не ГОСов и муниципалов использование 211ПП не только не обязательно, но даже скорее вредно, так как во-первых, там много лишних документов или документов, необходимость которых с точки зрения здравого смысла не понятна (чего только стоит «Перечень ИСПДн», состоящий из одной ИСПДн), а во-вторых там далеко не исчерпывающий перечень необходимых документов.
А если разные проверяющие просят разный комплект, что делать?
Добрый день! По поводу организационной документации. Какой документ нужно разрабатывать: «Технический паспорт ИСПДн» или «Описание ИСПДн»? Я так понимаю, что «Описание» более формальный документ.
Если делать аттестацию, то нужен «Технический паспорт».
«Описание ИСПДн» по сути это вступительная часть документа «Модель угроз», ведь угрозы нужно моделировать в отношении понятной ИС. Либо, если подразумевается описание бизнес-процессов, то консультанты часто делают документ «Отчет об анализе» или схожее название, в котором описывают процесс получения ПДн, обработки, уничтожения.
«Описание ИСПДн» по сути это вступительная часть документа «Модель угроз», ведь угрозы нужно моделировать в отношении понятной ИС. Либо, если подразумевается описание бизнес-процессов, то консультанты часто делают документ «Отчет об анализе» или схожее название, в котором описывают процесс получения ПДн, обработки, уничтожения.
А если не проводить аттестацию, то есть ли какой-нибудь документ, замещающий «Технический паспорт»? Или описания в «Модели угроз» будет достаточно?
Ни РКН ни ФСБ смотреть тех.паспорт не будут — делайте его для себя (если хотите — полезен для инвентаризации).
Модель угроз смотрят, НО РКН смотрит само наличие, может полистать немного и всё.
ФСБ смотрит более внимательно и тут уже надо применять методические рекомендации ФСБ No149/7/2/6-432, ЕСЛИ вы применяете СКЗИ для защиты ПДн
Модель угроз смотрят, НО РКН смотрит само наличие, может полистать немного и всё.
ФСБ смотрит более внимательно и тут уже надо применять методические рекомендации ФСБ No149/7/2/6-432, ЕСЛИ вы применяете СКЗИ для защиты ПДн
Отличная работа! Супер!
Такой вопрос.
Допустим есть сервис который напрямую не предназначен для обработки ПД, нечто типа хабра. И на том сервисе есть раздел типа «о себе», не приоритетный, куда народ скопом сваливает свои личные данные паспорта, телефоны и т.д., хотя изначально раздел предназначался для размещения фоток своих котиков. А может и не свои, а сгенерированные и левые. А может и чужие и настоящие.
Это обработка ПД? Нужны все эти танцы с бубном?
Допустим есть сервис который напрямую не предназначен для обработки ПД, нечто типа хабра. И на том сервисе есть раздел типа «о себе», не приоритетный, куда народ скопом сваливает свои личные данные паспорта, телефоны и т.д., хотя изначально раздел предназначался для размещения фоток своих котиков. А может и не свои, а сгенерированные и левые. А может и чужие и настоящие.
Это обработка ПД? Нужны все эти танцы с бубном?
В ПД попадут даже просто сочетание обязательного поля «Почта» и необязательных «Имя» и «Фамилия». И если у вас на сервисе нет чёткой политики с указанием, как вы эти поля используете (даже если это мелкий форум по какой-нибудь конкретной железяке) — вы попали на штраф.
Маловато информации, чтобы делать выводы и давать рекомендации, но скорее всего танцы с бубном будут нелишними.
ПДн – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). У вас получается нет цели определения субъекта, они сами вам все загружают, по собственному желанию.
Сделайте политику на сайт, распишите там все по полочкам, что грузить, а что нет, укажите как обрабатывается (где хранится и сколько) информация, зачем она нужна (как раз, что она не нужна), как защищаете (что https, например) и т. д. и сделайте галочку «Согласен на обработку персональных данных».
Может быть такая ситуация, что загрузят фото и информацию о другом человеке, он это обнаружит и пожалуется в РКН. Придется с ними разбираться, и лучше подготовиться.
PS: промахнулся — это ответ к предыдущему комментарию)
ПДн – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). У вас получается нет цели определения субъекта, они сами вам все загружают, по собственному желанию.
Сделайте политику на сайт, распишите там все по полочкам, что грузить, а что нет, укажите как обрабатывается (где хранится и сколько) информация, зачем она нужна (как раз, что она не нужна), как защищаете (что https, например) и т. д. и сделайте галочку «Согласен на обработку персональных данных».
Может быть такая ситуация, что загрузят фото и информацию о другом человеке, он это обнаружит и пожалуется в РКН. Придется с ними разбираться, и лучше подготовиться.
PS: промахнулся — это ответ к предыдущему комментарию)
Дело в том, что форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.Насколько я слышал, регуляторы как раз считают, что «оценка соответствия равно сертификация». Знаете ли вы какие-то иные формы оценок соответствия, которые прошли бы проверку регуляторов?
А 6 пункт про СКЗИ можно, в принципе, переформулировать в «Если вы передаете информацию по Интернету — покупайте СКЗИ».
То, что считают отдельно взятые регуляторы не важно. Отдельно взятые регуляторы могут выдвигать незаконные требования при проверке.
Виды оценки соответствия есть в ФЗ «О техническом регулировании» и это не только сертификация.
Косвенно о том, что для ИСПДн не обязательны сертифицированные СЗИ можно судить о том, что в 21 приказе ФСТЭК (перс данные) написано просто «оценка соответствия», в 17 приказе (государственные ИС) написано «оценка соответствия в форме обязательной сертификации», в 239 приказе ФСТЭК (КИИ) написано «оценка соответствия в формах обязательной сертификации, испытаний или приемки».
Не говорю, что это стопроцентный аргумент в пользу ненужности сертифицированных СЗИ в ИСПДн, но дифференсацию подхода регулятора, который как раз и будет проверять ваши СЗИ проследить можно.
Виды оценки соответствия есть в ФЗ «О техническом регулировании» и это не только сертификация.
Косвенно о том, что для ИСПДн не обязательны сертифицированные СЗИ можно судить о том, что в 21 приказе ФСТЭК (перс данные) написано просто «оценка соответствия», в 17 приказе (государственные ИС) написано «оценка соответствия в форме обязательной сертификации», в 239 приказе ФСТЭК (КИИ) написано «оценка соответствия в формах обязательной сертификации, испытаний или приемки».
Не говорю, что это стопроцентный аргумент в пользу ненужности сертифицированных СЗИ в ИСПДн, но дифференсацию подхода регулятора, который как раз и будет проверять ваши СЗИ проследить можно.
Регуляторы – это РКН, ФСТЭК и ФСБ (МВД, Прокуратура и т.д. не рассматриваем). Системы сертификации есть у ФСТЭК и ФСБ, требования про применение сертифицированных СЗИ и СКЗИ (если нужны именно они) как раз в приказах ФСТЭК и ФСБ. Если у вас ГИС, КИИ, ГТ, то да, нужны будут сертифицированные СЗИ. Для коммерческих компаний можно использовать и несертифицированные.
Важно не просто использовать, а иметь внутри организации документы о том, что вы осознанно выбрали эти СЗИ и/или встроенный функционал, провели его испытания (ПМИ по сути нужно) и пришли к выводу о том, что его достаточно для нейтрализации актуальных угроз, описанных в МУ. Так вы обеспечите выполнение требований 152-ФЗ и 1119-ПП в части «оценки соответствия».
То есть вы не просто берете несертифицированные СЗИ и используйте их. Нет. Нужно обязательно провести работу для выполнения требований п.2 ст.19 152-ФЗ и пп. «г» п.13 1119-ПП.
Важно не просто использовать, а иметь внутри организации документы о том, что вы осознанно выбрали эти СЗИ и/или встроенный функционал, провели его испытания (ПМИ по сути нужно) и пришли к выводу о том, что его достаточно для нейтрализации актуальных угроз, описанных в МУ. Так вы обеспечите выполнение требований 152-ФЗ и 1119-ПП в части «оценки соответствия».
То есть вы не просто берете несертифицированные СЗИ и используйте их. Нет. Нужно обязательно провести работу для выполнения требований п.2 ст.19 152-ФЗ и пп. «г» п.13 1119-ПП.
Вам известна организация, которая успешно прошла проверку, продемонстрировав вместо сертификатов СЗИ протокол испытаний? Насколько при этом сложно доказать, что процедура оценки соответствия прошла без нарушений? Ведь фактически это документ вида «Мы, ООО „Вектор“, проверили ООО „Вектор“ и удостоверяем, что все в порядке».
Знаю про компании среди наших клиентов, которые пошли таким путем, но о факте проведения проверок и успешности их прохождения не знаю (они нам не докладывают:)). Эти компании продолжают присутствовать на рынке и быть нашими клиентами, поэтому верю, что все хорошо).
Проверку кого? ФСТЭК, РКН? РКН не интересует какие СЗИ применяются. ФСТЭК по факту к ООО не приходит, если они не являются их лицензиатами или не работают с гостайной.
Да хоть и РКН. РКН проверяет бумаги, в том числе смотрит на аттестаты и сертификаты СЗИ. Я не сторонник обязательной сертификации СЗИ, мне действительно интересно, как на практике выглядит то, что написано в статье.
РКН может и смотреть аттестаты и сертификаты, если вы их предоставите сами без запроса. Деятельность РКН регламентирована нормативными документами, где для СЗИ написана «оценка соответствия», а аттестация для ИСПДн не обязательна, поэтому затребовать сертификаты и аттестаты у негосударственной организации они не могут, нет оснований.
Судя по ответу, практических примеров таких организаций и документов вы, в отличие от svs422, не знаете или не хотите показывать почему-то.
Вы хотите чтобы я вам показал протоколы проверок? Так это как бы конфиденциальная информация заказчика. Я вам даю обобщенную выжимку из личного опыта, никаких чужих документов я тут публиковать не буду.
Нет, этого я не хочу. Если вы прочитаете мой первый комментарий, то я спрашивал, какие формы оценки соответствия прошли проверку. Меня интересовал всего-то пример названия документа, который закрывал требование по оценке эффективности принятых мер и прошел проверку регуляторов.
Так вам на это по сути уже ответили и даже несколько раз, если подытожить:
— Как вместо сертификации подтвердить оценку соответствия СЗИ?
— Один из стопроцентных способов — приемочные испытания. Для этого необходимо разработать документы: «Программа и методики приемочных испытаний», «Протокол приемочных испытаний», «Заключение по результатам приемочных испытаний». Также ФЗ «О техническом регулировании» предусмотрены «иные формы подтверждения соответствия», так что в теории вы можете подтвердить соответствие СЗИ в ходе «оценки эффективности принятых мер в ИСПДн», предусмотренных 21 приказом ФСТЭК.
— Ок. Это все в теории, а на практике были ситуации, когда регулятор не предъявлял претензий к несертифицированным СЗИ?
— Нет. Лично мой опыт не может этим похвастаться, потому что: 1. РКН не занимается вопросами «защиты персональных данных», РКН занимается вопросами «защиты прав субъектов персональных данных», поэтому вопросы сертификации СЗИ их не интересуют. И если интересно, то да, коммерческие организации, в которых мы делали проект по защите ПДн без сертифицированных СЗИ успешно проходили проверку РКН. 2. ФСТЭК не проверяют ИСПДн в коммерческих организациях. Если РКН один на каждый регион, то ФСТЭК один на федеральный округ, их ресурсов хватает только на то, чтобы проверять ГИС, КИИ и гостайну в части защиты информации. С ФСБ все проще — в ИСПДн только сертифицированная криптография (378 приказ ФСБ и метод рекомендации от 2015 года).
Если остался вопрос как проводить оценку эффективности принятых мер в ИСПДн, то на это вам четко отвечает приведенное мной ранее информационной сообщение ФСТЭК №240/22/2637 от 15.07.2013:
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
— Как вместо сертификации подтвердить оценку соответствия СЗИ?
— Один из стопроцентных способов — приемочные испытания. Для этого необходимо разработать документы: «Программа и методики приемочных испытаний», «Протокол приемочных испытаний», «Заключение по результатам приемочных испытаний». Также ФЗ «О техническом регулировании» предусмотрены «иные формы подтверждения соответствия», так что в теории вы можете подтвердить соответствие СЗИ в ходе «оценки эффективности принятых мер в ИСПДн», предусмотренных 21 приказом ФСТЭК.
— Ок. Это все в теории, а на практике были ситуации, когда регулятор не предъявлял претензий к несертифицированным СЗИ?
— Нет. Лично мой опыт не может этим похвастаться, потому что: 1. РКН не занимается вопросами «защиты персональных данных», РКН занимается вопросами «защиты прав субъектов персональных данных», поэтому вопросы сертификации СЗИ их не интересуют. И если интересно, то да, коммерческие организации, в которых мы делали проект по защите ПДн без сертифицированных СЗИ успешно проходили проверку РКН. 2. ФСТЭК не проверяют ИСПДн в коммерческих организациях. Если РКН один на каждый регион, то ФСТЭК один на федеральный округ, их ресурсов хватает только на то, чтобы проверять ГИС, КИИ и гостайну в части защиты информации. С ФСБ все проще — в ИСПДн только сертифицированная криптография (378 приказ ФСБ и метод рекомендации от 2015 года).
Если остался вопрос как проводить оценку эффективности принятых мер в ИСПДн, то на это вам четко отвечает приведенное мной ранее информационной сообщение ФСТЭК №240/22/2637 от 15.07.2013:
В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.
Плюс я ссылаюсь на законодательство. Документы, где явным образом НЕ указана обязательность сертификации СЗИ (без учета криптографических): 152-ФЗ, ПП-1119, 21 приказ ФСТЭК. В 21 приказе ФСТЭК для ИСПДн вместо аттестации определена «оценка эффективности принятых мер». Если хочется разобраться что за «оценка эффективности принятых мер», можете изучить информационное сообщение ФСТЭК №240/22/2637 от 15.07.2013.
Уточните, пожалуйста, вот этот момент:
Что если я «вижу другие меры защиты», а для реального спокойствия пользователей и своей компании вместо «криптографии» использую «кодирование данных», а в качестве кодека в дополнении к какому-нибудь Deflate использую неизвестные в трёхбуквенной конторе слова Chacha20Poly1305 и им подобные? Будут ли какие-нибудь придирки со стороны регулятора?
Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
Что если я «вижу другие меры защиты», а для реального спокойствия пользователей и своей компании вместо «криптографии» использую «кодирование данных», а в качестве кодека в дополнении к какому-нибудь Deflate использую неизвестные в трёхбуквенной конторе слова Chacha20Poly1305 и им подобные? Будут ли какие-нибудь придирки со стороны регулятора?
Не автор, но попробую ответить. ФСБ дали ответ когда нужно применять крипту в метод рекомендациях №149/7/2/6-432 от 31.03.2015:
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
— если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
— если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
— передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
— хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Там же:
— для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте
Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru).
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
— если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
— если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
— передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
— хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Там же:
— для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия. Перечень СКЗИ, сертифицированных ФСБ России, опубликован на официальном сайте
Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru).
Если просто будете использовать, но не разработаете Модель Угроз и Нарушителя, не создадите документацию, подтверждающую разумность и достаточность вашего выбора мер защиты, то да, будут придирки и штрафы. В первую очередь проверяют документы. Ни РКН, ни ФСТЭК, ни ФСБ не будут проводить pentest в отношении вашей системы защиты, это ваша обязанность. Опять же, есть компенсирующие меры в п.10 Приказа ФСТЭК №21, не забывайте и о них — SDLC, pentest.
Большое спасибо за статью и разъяснения. Получается, по всей логике регуляторов сейчас можно закрывать любой старый форум на всяких phpBB и им подобных движках, на котором пользователь вводит e-mail и кучу другой информации типа «день рождения», «откуда», ссылки на профили в социальных сетях? Ведь никто в здравом уме не будет заниматься составлением этих бумажек и тем более нанимать пентестеров.
По п.10:
Достаточно ли будет обоснованием «я художник, я так вижу» или «мы используем СКЗИ, входящие в состав ОС Android/iOS на устройстве, сертифицированном для продажи в РФ»?
Встречались ли подобные обоснования в вашей практике, кто-нибудь их делал в живую?
Вопрос совсем не праздный, например, знаю одну команду, которая делала мобильное приложение для коллекторов-выбивал одного большого банка, в котором коллектор видит много информации о клиентах банка, как минимум, ФИО и домашний адрес. Сильно им может прилететь, и как защищаться от регуляторов в подобном случае?
По п.10:
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
Достаточно ли будет обоснованием «я художник, я так вижу» или «мы используем СКЗИ, входящие в состав ОС Android/iOS на устройстве, сертифицированном для продажи в РФ»?
Встречались ли подобные обоснования в вашей практике, кто-нибудь их делал в живую?
Вопрос совсем не праздный, например, знаю одну команду, которая делала мобильное приложение для коллекторов-выбивал одного большого банка, в котором коллектор видит много информации о клиентах банка, как минимум, ФИО и домашний адрес. Сильно им может прилететь, и как защищаться от регуляторов в подобном случае?
Про вопрос о «коллекторах». Схема проста, команде ничего не будет, если они не оператор, а только «поставщики» ПО. Вот в том случае если все крутится на их базе/облаке то смотрим Миф 2
Сервера и база в банке, приложение скачивает информацию по клиентам банка и отображает пользователю. Плюс пользователь может редактировать некоторые данные. Т.е. получаем «обработку ПД» в приложении?
Со всеми вытекающими?
передачу (распространение, предоставление, доступ)
Со всеми вытекающими?
В идеале нужно документально разграничить обязанности. Как пример:
Как будет происходить взаимодействие банка с коллекторами, зависит от договоренностями последних, будь то ГОСТ крипта (VIPNet, Континент, КриптоПРО), СЗИ от НСД и т.д. Соответственно и ответственность ложится на них, а ребята программисты могут только подстраиваться под требования (встраивать крипту и т.д.).
P.S.
У банков есть свои требования окромя 21 приказа ФСТЭК
- Банк — оператор
- Коллекторы — контрагенты и в своем роде тоже оператор
- Ребята программисты — просто поставщики ПО (если другое отдельно не прописано).
Как будет происходить взаимодействие банка с коллекторами, зависит от договоренностями последних, будь то ГОСТ крипта (VIPNet, Континент, КриптоПРО), СЗИ от НСД и т.д. Соответственно и ответственность ложится на них, а ребята программисты могут только подстраиваться под требования (встраивать крипту и т.д.).
P.S.
У банков есть свои требования окромя 21 приказа ФСТЭК
Тогда я выступал в роли консультанта при составлении ТЗ на мобильное приложение. И на мой вопрос, как вы планируете защищать персональные данные клиентов, от заказчика был получен вполне достаточно ёмкий ответ, сводящийся к одному слову: «никак». И я их прекрасно понимаю.
Правда? Сейчас реально есть что встраивать в Android-приложение из «сертифицированных СКЗИ»?
Лёгкий гуглинг «сертифицированный скзи android» показывает статьи не позднее 2013 года. Похоже, никому в реальности это не надо, хватает обычного TLS. Даже вон Госуслуги имеют сертификат Comodo и замечательно работают с алгоритмами RSA и AES, а ведь их ПО обрабатывает персональные данные миллионов жителей этой страны в используемых ими браузерах.
встраивать крипту
Правда? Сейчас реально есть что встраивать в Android-приложение из «сертифицированных СКЗИ»?
Лёгкий гуглинг «сертифицированный скзи android» показывает статьи не позднее 2013 года. Похоже, никому в реальности это не надо, хватает обычного TLS. Даже вон Госуслуги имеют сертификат Comodo и замечательно работают с алгоритмами RSA и AES, а ведь их ПО обрабатывает персональные данные миллионов жителей этой страны в используемых ими браузерах.
Правда? Сейчас реально есть что встраивать в Android-приложение из «сертифицированных СКЗИ»?
Не считая VPN клиентов типа Континент-АП или ViPNet Client на ум ничего не приходит. Но это не встраивать а навесное.
В реальности думаю что только компенсационными мерами как то зарываться.
Не нужно сюда примешивать компенсирующие меры. Их можно применять только в отношении мер по требованиям ФСТЭК (21 приказ). По линии ФСБ в 378 приказе четко сказано — для защиты ПДн в ИСПДн применяются сертифицированные ФСБ криптосредства. И я прекрасно понимаю, что данное требование во многих случаях не выполнимо. ФСБ в плане защиты персональных данных у нас самый проблемный регулятор в части разработки методических документов. Что уж тут говорить, если на проверках до сих пор активно используется 152 приказ ФАПСИ (органа такого уже давно нет, а приказ применяется). Поэтому, как я написал выше в части использования несертифицированных криптосредств для защиты персональных данных поможет только тактика неуловимого Джо, к сожалению.
Если хотите потратить время и деньги, то начинайте работать с закона о персональных данных.
Если хотите обойтись минимальными затратами, то начинайте с КоАП. Все, о чем в КоАП не упоминается — все лесом.
По заявлению нашего областного РКН: «Ну и что, что документ под названием „Политика по обработке персональных данных“ содержит курсовую по ЗАЩИТЕ данных. Документ есть, значит мы не можем предъявить никаких претензий.»
Если хотите обойтись минимальными затратами, то начинайте с КоАП. Все, о чем в КоАП не упоминается — все лесом.
По заявлению нашего областного РКН: «Ну и что, что документ под названием „Политика по обработке персональных данных“ содержит курсовую по ЗАЩИТЕ данных. Документ есть, значит мы не можем предъявить никаких претензий.»
Проблема в том, что сейчас в статье 13.11 КоАП весьма немалые суммы. При этом штрафы по разным частям статьи могут суммироваться теоретически. Хотя до масштабов штрафов за нарушение GDPR все равно далеко.
Если оператор не выполняет требования, прописанные в КоАП, то он очень близок к тому, чтобы называться уродом. Я не вижу в 13.11 КоАП вещей, за которые бы реально не надо было штрафовать.
А вот полный комплекс мер по внедрению положений 152-ФЗ — вот это полная жопа. Я как-то попробовал это произвести в конторе до 10 работающих, где обработка внешних ПД ограничивалась договорами с ИП на создание сайтов и регистрацией доменных имен на физлиц. 20+ документов по работе плюс инструктажи, плюс раз в полгода пересматривать эти 200+ страниц бумаг для приведения в актуальное состояние. ЖОПА!!!
А вот полный комплекс мер по внедрению положений 152-ФЗ — вот это полная жопа. Я как-то попробовал это произвести в конторе до 10 работающих, где обработка внешних ПД ограничивалась договорами с ИП на создание сайтов и регистрацией доменных имен на физлиц. 20+ документов по работе плюс инструктажи, плюс раз в полгода пересматривать эти 200+ страниц бумаг для приведения в актуальное состояние. ЖОПА!!!
На мой взгляд, вы слишком вольно трактуете распоряжение Правительства. Вот цитата из вашей статьи:
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.
Вы трактуете "угрозы актуальны" как "владелец системы думает, что за ним охотится ЦРУ". Но закон так не работает. Ниже будет приведена методика определения актуальности угроз от ФСТЭК на основе 3 факторов: защищенности системы, вероятности угрозы и потенциального вреда от нее.
Для прояснения смысла "недокументированные возможности" и вероятности их наличия можно посмотреть Приказ председателя Гостехкомиссии РФ №114. Этот приказ устанавливает классификацию ПО СЗИ по уровню контроля отсутствия недокументированных возможностей, и нам имеет смысл рассмотреть самый низкий уровень — 4-й, требуемый для средств защиты конфиденциальной информации. Даже этот уровень требует проверки документации и статического анализа исходного кода ПО. Наличие этого документа не значит, что им надо руководствоваться при разработке ИСПДн, но намекает, что ваша трактовка неверная. Очевидно, в непроверенном ПО, скачанном из Интернета, мы не можем исключить возможное наличие недокументированных возможностей. Вопрос только в том, актуальны ли такие угрозы.
Также, приведу трактовку слова "актуальный" из словаря Ожегова:
АКТУАЛЬНЫЙ, -ая, -ое; -лен, -льна. Важный, существенный для настоящего момента. Актуальная тема. || сущ. актуальность, -и, ж.
Теперь давайте попробуем разобраться, как Постановление 1119 требует проверять актуальность угроз:
6. Под актуальными угрозами безопасности… понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа…
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".
Тут написано, что оператор сам должен произвести оценку с учетом возможного вреда в соответствии с нормативными актами. Давайте посмотрим ч. 5 ст. 19, что это за акты:
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые "акты", в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Тут явно написано: органы власти определяет, что считать актуальным, в том числе по отдельным отраслям деятельности. Есть еще ч. 6:
6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных,...
В качестве примера такого акта я нашел "МЕТОДИКА
ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ" от ФСТЭК. Вот цитаты из нее:
Методика предназначена для…
ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями…
ИСПДн, создаваемых и используемых физическими лицами…
…
Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия
и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса составляются специальные опросные листы.
Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень. На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн.
2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.
Далее там идет таблица, где например для свойства "ИСПДн, имеющая одноточечный выход в сеть общего пользования;" стоит уровень защищенности "средний". Для свойства "есть модификация, передача данных" уровень "низкий". Для свойства "ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)" — "низкий". Вероятность угроз и возможный вред определяются "вербально" некими "экспертами" из 3 факторов: защищенности системы (для систем с выходом в Интернет и широким доступом уровень может быть невысоким), вероятности угрозы и потенциального вреда субъектам ПДн от них.
В общем, оператор по идее должен заполнять все эти опросные листы, и рассчитывать актуальность угроз по данной методике. А не потому, что ему "кажется, что за ним не охотится Моссад". Сами понимаете, в такой ситуации все операторы ПДн будут выбирать самый простой для них уровень.
Также, в ч.7 ст. 19 Закона о ПДн написано, что правовые акты из ч.5 и 6 в любом случае должны утверждаться ФСБ. Потому, давайте почитаем "рекомендации ФСБ" по разработке таких актов. Эти рекомендации тоже интересно почитать:
2. Определение актуальности использования СКЗИ для обеспечения безопасности персональных данных
Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
…
- если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.
…
К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:
…
- передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);
По моему, написано недвусмысленно. Передаете перс. данные в Интернете — используйте СКЗИ. А ниже есть и про то, какие СКЗИ надо использовать:
При этом необходимо учитывать следующее:
…
для обеспечения безопасности персональных данных при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия
Получается:
- ФСБ в рекомендациях по разработке НПА требует использовать сертифицированные СКЗИ для защиты данных при передаче в Интернете
- однако, я пока не видел написанные на основе этих рекомендаций акты, которые бы включали это требование. Возможно, оно пока есть только в рекомендациях.
- ФСТЭК сделал методику определения актуальности угроз, которой надо руководствоваться и пояснил смысл слова "актуальные угрозы"
- наши законодатели, конечно, мастера в написании запутанных текстов и бумагомарании, а также в невыполнении своих же требований. Госуслуги разве используют сертифицированные СКЗИ для передачи данных в Интернете?
Если применяется криптография, то оператору ПДн всеми правдами и неправдами нужно уходить на 3 тип угроз, потому что по 378 приказу ФСБ при первом типе нужно использовать СКЗИ класса не ниже КА1, при втором — не ниже КВ1. А такие СКЗИ не то что эксплуатировать их еще и просто приобрести проблематично (даже если деньги есть).
Вам явно есть, что сказать. Напишите статью, это будет полезно для людей).
Цель 152-ФЗ – защитить персональные данные граждан, а не обобрать российский бизнес. Я ничего не имею против СЗИ от НСД, прошедших контроль НДВ, но давайте все же применять их там, где это действительно нужно, т.е. в ГИС, КИИ (не всех), ГТ. Какой-нибудь ИП Иванов и так с трудом платит налоги, оплачивает лицензии ОС и прикладного софта, не стоит доводить его бизнес до банкротства во имя 152-ФЗ. А еще я верю в то, что регуляторы написали свои документы (а точнее внесли позже в них правки), чтобы сделать требования хоть как-то выполнимыми.
И про СКЗИ чуть-чуть: AES ничуть не хуже ГОСТ, а западные вендоры давно умеют ускорять работу крипты. Если канал 10 Гб/с, и по нему передаются ПДн, то наличие AES всяко лучше, чем ничего. Отечественные СКЗИ очень дорогие, за них заплатит – конечный потребитель услуг. Если по каналам связи передается гостайна, то защита отечественными криптоалгоритмами оправдана.
Цель 152-ФЗ – защитить персональные данные граждан, а не обобрать российский бизнес. Я ничего не имею против СЗИ от НСД, прошедших контроль НДВ, но давайте все же применять их там, где это действительно нужно, т.е. в ГИС, КИИ (не всех), ГТ. Какой-нибудь ИП Иванов и так с трудом платит налоги, оплачивает лицензии ОС и прикладного софта, не стоит доводить его бизнес до банкротства во имя 152-ФЗ. А еще я верю в то, что регуляторы написали свои документы (а точнее внесли позже в них правки), чтобы сделать требования хоть как-то выполнимыми.
И про СКЗИ чуть-чуть: AES ничуть не хуже ГОСТ, а западные вендоры давно умеют ускорять работу крипты. Если канал 10 Гб/с, и по нему передаются ПДн, то наличие AES всяко лучше, чем ничего. Отечественные СКЗИ очень дорогие, за них заплатит – конечный потребитель услуг. Если по каналам связи передается гостайна, то защита отечественными криптоалгоритмами оправдана.
Подскажите пожалуйста.
А если собираем и обрабатываем, но мало, в год может тысяч пять, то можно рассчитывать на УЗ-3? Данные анализов идут на бумаге.
Реальность: если вы не собираете анализы
А если собираем и обрабатываем, но мало, в год может тысяч пять, то можно рассчитывать на УЗ-3? Данные анализов идут на бумаге.
Если данные только на бумаге, то все эти УЗ неприменимы. Это касается только ПДн, обрабатываемых в ИСПДн (что собственно следует из названия ПП-1119). Если все-таки это есть в информационной системе, то не важно сколько у вас там в год, важно сколько в целом субъектов, чьи данные обрабатываются в ИСПДн. Если меньше 100 тысяч, то можете рассчитывать на УЗ-3
Если актуальны угрозы только 3-го типа, биометрические ПДн несотрудников <100 000 то да, по 1119-ПП это УЗ-3.
Да вполне. Менее 100к субъектов при 3 типе угроз, как раз выводят вас на УЗ-3. Только учитывайте одно, сбор это 5 тысяч, а сколько храните?
Спасибо за познавательный материал! Сталкивались ли вы с разбором ситуации с почтой O365 и его соответствием закону?
Спасибо за статью! Очень полезная, как раз сейчас будем заниматься эти вопросом. Теперь хот яснее стало, в каком направлении двигаться.
UFO just landed and posted this here
Спасибо за статью. Есть вопрос вот по этому «Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме. „
Возьмем например asa 5516x. Для это железки есть декларация соответствия
ТР ТС 004/2011 «О безопасности низковольтного оборудования»;
ТР ТС 020/2011 «Электромагнитная совместимость технических средств»
Разве этого достаточно?
Возьмем например asa 5516x. Для это железки есть декларация соответствия
ТР ТС 004/2011 «О безопасности низковольтного оборудования»;
ТР ТС 020/2011 «Электромагнитная совместимость технических средств»
Разве этого достаточно?
Нет, не достаточно «оценке соответствия по требованиям безопасности информации...» наверное надо было бы сформулировать. По-хорошему должна быть разработана программа и методики приемочных испытаний (приемка — один из видов испытаний), проведены эти самые испытания, результаты которых вносятся в протокол, пишется заключение. Там уже проверяющий оценивает достаточность проведенных испытаний.
Большое спасибо за статью! Хочется прояснить один вопрос про СЗИ не сертифицированные ФСТЭК, у которых пройдена процедура оценки соответствия в какой-либо форме. Что это может быть за форма, какие дополнительные оценки соответствия?
Sign up to leave a comment.
Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных