Чего не требует от операторов закон "О персональных данных"? (Продолжение)

В продолжении темы развенчаем еще один популярный миф, сформировавшийся вокруг закона о персональных данных - " Миф о минимизации класса защищенности ИСПДн".

Начало статьи ...

Заблуждение 3. Стоимость создания системы защиты персональных данных тем выше, чем выше класс ИСПДн, поэтому класс ИСПДн непременно следует минимизировать

Данное заблуждение распространено ничуть не меньше, чем рассмотренные ранее. На тему минимизации класса ИСПДн пишутся статьи, разрабатываются "методики" и проводятся учебные семинары. Многие заказчики включают мероприятия по минимизации класса ИСПДн отдельным пунктом в ТЗ на создание СЗПДн. В чем же заключается сущность столь важных мероприятий?

Считается, что понижая класс ИСПДн с К1 до К2, а с К2 до К3 и т.д., понижаются и требования к системе защиты ПДн, а значит и стоимость ее создания. Звучит на первый взгляд вполне логично. Пока неясно правда насколько в результате снижается стоимость СЗПДн и как такое снижение стоимости соотносится с затратами оператора ПДн на минимизацию класса ИСПДн, т.к. в результате обычно вместо одной ИСПДн более высокого класса у оператора возникает сразу несколько ИСПДн более низкого класса, а значит вместо одного проекта защиты возникает и неколько проектов. Также пока не совсем понятно каких-таких страшных требований безопасности пытается избежать оператор ПДн путем минимизации класса ИСПДн и сколько может стоить реализация данных требований.

Остается под вопросом и легитимность подобных мероприятий "по минимизации класса ИСПДн". Ведь одно дело, когда класс ИСПДн понижается за счет того, что оператор просто отказывается от обработки избыточных данных и совсем другое дело, когда состав и объем обрабатываемой информации фактически не изменяется, состав автоматизированных средств и методы обработки ПДн тоже остаются теми же что и были, а все манипуляции по минимизации класса ИСПДн производятся в основном на бумаге. Признают ли регуляторы впоследствии такую классификацию? Не выйдет ли так, что оператор ПДн в конечном счете перехитрил лишь самого себя?

Допустим, что оператор ПДн или его подрядчик провели предпроектное обследование, разработали модель угроз, честно сформировали акты классификации ИСПДн, затем разработали ТЗ на создание СЗПДн по каждой ИСПДн, затем разработали технический проект(ы) СЗПДн и осметили ее стоимость. Эта стоимость конечно оказалась для оператора непомерно высокой (как и любые затраты на защиту информации вообще) и он конечно озадачился ее снижением.

Каким образом можно снизить стоимость СЗПДн? Вариантов здесь множество:  замена одних СЗИ информации на другие более дешевые, замена наложенных СЗИ встроенными, замена технических мер защиты организационными, разработка более простого и эффективного решения по защите, оптимизация процесса внедрения СЗПДн, пересмотр актуальности определенных угроз (или принятие связанных с ними рисков), оптимизация процессов обработки ПДн и т.п. А может быть для минимизации расходов на создание СЗПДн просто стоит выбрать другого подрядчика или организовать тендер? Сейчас на неорганизованном и дезориентированном рынке ИБ цены на одни и те же работы у разных компаний могут различаться в разы. А может быть для минимизации стоимости СЗПДн просто стоит более внимательно перечитать сам закон и принятые на его основе нормативные документы, а не полагаться полностью на советы консультантов, заинтересованных прежде всего не в минимизации, а в максимизации стоимости проекта?

Допустим, что, рассмотрев все перечисленные выше способы снижения стоимости ИСПДн, оператор все же принимает довольно странное решение о минимизации классов ИСПДн. Какова будет его экономия в этом случае и какие будут дополнительные затраты на такую минимизацию? Допустим оператор снижает класс ИСПДн с К1 до К2, разделив свою ИСПДн (организационно и технически) на несколько, каждая из которых обрабатывает меньший объем ПДн. Согласно РД ФСТЭК "ПОЛОЖЕНИЕ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ" в этом случае для "вновь появившихся ИСПДн" можно не выполнять следующие требования безопасности:

• реализация методов и способов защиты акустической информации (п. 3.4) (требование актуально только при применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем)
• оценка соответствия СЗИ по 4 уровню контроля отсутствия недекларированных возможностей (п. 7 Приложения)

И это все отличия (не считая стандартных для РД ФСТЭК различий между требованиями к подсистемам управления доступом, контроля целостности, регистрации и учета, межсетевого экранирования, которые сейчас реализуемы в любых современных системах без дополнительных затрат). Кто не верит - внимательно перечитайте указанный РД.

Средства противодействия ПЭМИН могут применяться в ИСПДн 1 класса в случае актуальности соответствующих угроз (определяется экспертным методом самим же оператором). Про наделавшие в свое время шум лицензии и аттестации ни слова не сказано. Даже понятие сертификации заменено более мягким и мало к чему обязывающим понятием - "оценка соответствия".

В итоге единственным реальным требованием, на котором можно было бы попытаться съэкономить за счет минимизации класса ИСПДн остается оценка соответствия СЗИ по 4 уровню контроля отсутствия НДВ. Учитывая, что практически все отечественные СЗИ, проходящие сертификацию в ФСТЭК, имеют сертификаты по 4 уровню контроля отсутствия НДВ, никакой экономии здесь быть не может. Ведь оценка соответствие требуется и для ИСПДн более низких классов. Поэтому после минимизации класса ИСПДн в проектном решении ровным счетом ничего не меняется, зато вместо одного проекта мы получаем несколько, усложнение структуры ИСПДн и соответствующее увеличение стоимости. В случае минимизации с К2 до К3 бесполезность данного мероприятия еще очевидней.

Еще какой-то выйгрыш по стоимости создания системы защиты для ИСПДн более низкого класса мог теоретически быть получен пока действовали отмененные нормативные документы ФСТЭК. Да и то требования по лицензированию деятельности операторов ПДн в области ТЗКИ все юристы единодушно признавали нелигитимными, а требование по аттестации не сильно увеличивало общую стоимость при грамотном внедрении СЗПДн, т.к. аттестацию ИСПДн можно было совместить с приемо-сдаточными испытаниями, не беря за это дополнительных денег (в случае если весь проект реализуется одним подрядчиком).

Более того, в знаменитом "приказе трех", определяющем порядок проведения классификации ИСПДн, говориться о том, что для специальной ИСПДн (к специальным относят все "информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)) "класс информационной системы определяется на основе модели угроз безопасности персональных данных", а модель угроз, как известно, определяется самим оператором методом экспертной оценки. Поскольку фактически все ИСПДн можно отнести к специальным, то для них оператор сам может определять и класс и требования по защите на основании разработанной им же модели угроз, не обращая внимания на классы К1-К4, определяемые для типовых ИСПДн.

Как видим, наша нормативная база в области защиты ПДн настолько "гибкая", что и сегодня и раньше мероприятия по "минимизации класса ИСПДн" не имели никакого практического смысла для тех, кто знает как осуществляется разработка и внедрение систем защиты информации и внимательно читает нормативные документы.

PS

Я уже писал ранее об эпидемических внушениях в области информационной безопасности.  Закон о персональных данных послужил тогда, на мой взгляд, очень удачным примером такого эпидемического внушения.  С тех пор ситуация вокруг ФЗ-152 умиляет меня еще больше. Сначала законодатели, потом регуляторы, потом интеграторы, а с ними и многочисленные вновь созданные специально под ФЗ-152 конторы, безусловно преследуя каждый свою выгоду, разогнали этот "снежный ком" таким образом, что широкая общественность уже не имела возможности далее игнорировать вопрос защиты персональных данных. В обществе возник резонанс, породивший очень агрессивную, открытую и единодушную критику в отношении и законодателей и регуляторов. В результате они были вынуждены принимать уже срочные меры для того, чтобы остановить "снежный ком", который сами же и разгоняли. Сначала Госдума преподнесла операторам ПДн подарок под новый 2010 год, перенеся срок приведения ИСПДн в соответствие с ФЗ-152 на год — с 1 января 2010 г. до 1 января 2011 г., а также исключив из закона норму, обязывающую оператора при обработке ПДн использовать криптографические средства для защиты данных.  Затем ФСТЭК выпустила новый руководящий документ по защите персональных данных и отреклась от двух предыдущих документов, прямо предписывающих операторам осуществлять лицензирование деятельности по ТЗКИ и аттестацию ИСПДн по требованиям безопасности информации. В новом документе, в отличии от предыдущих даже прошедшем регистрацию в Минюсте, требования по защите ПДн сформулированы настолько мягко и ненавязчиво, что операторам ПДн теперь следовало бы возликовать, если бы не опасение, что данный руководящих документ отнюдь не последний и не окончательный. Законодатели же идут теперь еще дальше: в Государственной думе РФ рассматривается в первом чтении так называемый Резниковский проект закона "О внесении изменений в Федеральный закон "О персональных данных", согласно которому перечень и характер мер, принимаемых оператором для обеспечения безопасности обрабатываемых персональных данных урегулируется соглашением между субъектом и оператором ПДн.

Таким образом, начали с противоречивых и сложнореализуемых требований по защите ПДн, затем перешли к минимизации класса ИСПДн (читай этих требований) и прочей алхимии, и в результате заканчивают полным отрицанием любых обязательных требований, переходя к подписанию мировых соглашений с субъектами ПДн, ничего в данных требованиях не понимающими. "Снежный ком" рассыпается на глазах...

Продолжение ...

Заблуждение 4. Все операторы ПДн обязаны получать лицензии на деятельность в области ТЗКИ

18-05-2010  | Permalink |  Comments (0)