Между Сциллой и Харибдой (обзор приказа ФСТЭК России № 21 от 18 февраля 2013г.)

За последние несколько месяцев, трудами органов, являющихся регуляторами в области защиты персональных данных (ПДн) был выпущен целый пакет нормативных документов по этому направлению. Если с частными организациями (ЧО) все более менее уже разобрались и состав и содержание работ приняли некоторые очертания, то с государственными информационными системами не все так просто. Давайте перечислим нормативные документы, на которые стоит обратить внимание государственной организации (ГО) или ее подрядчику, если они решили приводить все свои информационные системы, обрабатывающие ПДн в соответствие законодательству:




1. Трудовой кодекс РФ (Глава 14, ст. 85-90).
2. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
3. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4. Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и  принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержден постановлением Правительства Российской Федерации от 21 марта 2012 г. №211.
5. Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утверждено указом Президента Российской Федерации от 30 мая 2005 г. №609.
6. Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119.
7. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждены приказом ФСТЭК России от 11 февраля 2013 г. №17.
8. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены приказом ФСТЭК от 18 февраля 2013 г. № 21.
9. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
10. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утверждены постановлением Правительства Российской Федерации от 6 июля 2008 г. №512.
11. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
12. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России от 15 февраля 2008 г.
Схема нормативных документов представлена на рисунке 1.

Рисунок 1 - Схема нормативных документов

Основная неопределенность для ГО заключается в документах, увидевших свет в последние месяцы [6-8]. В отличие от ЧО, где вопросы защиты и обработки ПДн регулируют нормативные  документы [1,3,6,8-11], для ГО добавляются еще [2,4,5,7]. Как следует из названия поста основное противоречие заключается между [7] и [8]. Так как же ГО подходить к вопросу обеспечения защиты ПДн?

Как основополагающий документ для ГО следует рассматривать [4]. Он содержит базовые мероприятия, необходимые для организации обработки ПДн и выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» в государственных и муниципальных органах. Что касается защиты ПДн, то согласно п. 1-в «при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных», таким образом, вопросы защиты ПДн регулируются документами [6-9].

Для дальнейшего рассмотрения вопроса необходимо дать толкование понятия «государственная информационная система». Согласно пп. 1, п.1, ст. 13, 149-ФЗ «государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов», а в п.1, ст. 14, 149-ФЗ отмечается, что «Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях».

Теперь перейдем непосредственно к нашим основным документам. Начнем с приказа ФСТЭК России № 17. Данный приказ устанавливает требования к защите информации, не составляющей государственную тайну в государственных информационных системах (ГИС). Очевидно, что ПДн попадают в эту область. Однако существует неоднозначность в отнесении информационных систем в ГО к ГИС. Если посмотреть на приведенные выше положения Федерального закона, то при желании к ГИС можно отнести любую информационную систему (ИС), функционирующую в ГО, и попробуй докажи, что эта ИС не нужна для «реализации полномочий государственных органов». С другой стороны можно определить, что ГИС – это ИС включенная в Федеральный реестр (см. Постановление Правительства № 861 от 24 октября 2011 г.), но тогда возникает вопрос о том, почему эта система не была внесена в Реестр.

Так или иначе защищать ИСПДн надо. А вот по какому документу идти, это вопрос.

Продолжим обзор приказа № 17.

Начнем сразу с 5 пункта, так как до него все более менее понятно.

5. При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119

Из данного пункта четко следует, что при защите ПДн следует рассматривать требования как приказа №17, так и приказа №21. Забегая вперед, можно отметить пункт 27.

27. В случае обработки в информационной системе информации, содержащей персональные данные, реализуемые в соответствии с пунктами 21 и 22 настоящих Требований меры защиты информации: для информационной системы 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности персональных данных1; для информационной системы 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности персональных данных*; для информационной системы 3 класса защищенности обеспечивают 3 и 4 уровни защищенности персональных данных*; для информационной системы 4 класса защищенности, обеспечивают 4 уровень защищенности персональных данных*.

В соответствии с этим пунктом мы имеем возможность при защите ПДн в ГИС работать с приказом № 17, не отвлекаясь на требования приказа № 21.

11. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»

Данный пункт однозначно делает обязательным применения сертифицированных средств защиты в ГИС и никаких двояких толкований.

12. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы(подсистемы) защиты информации информационной системы (далее – система защиты информации информационной системы).

Данным пунктом закрепляется очевидный подход к построению ИС. Введение такой нормы понятно, так как широко распространенной практикой является создание ИС с последующей попыткой натянуть на нее средства защиты. На сколько это требование будет выполняться не понятно, но начало хорошее.

13. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: – аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие;

Соответственно ГИС должны обязательно проходить аттестацию по требованиям защиты информации.

14.2. Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый). Устанавливаются четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – четвертый, самый высокий – первый. Класс защищенности информационной системы определяется в соответствии с приложением № 1 к настоящим Требованиям. Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624. Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации. Результаты классификации информационной системы оформляются актом классификации.

Таким образом для ГИС сохраняется понятие класса ИС. Соответственно, для ГИС с ПДн, нужно будет определять:

 Класс защищенности ИС;

 Потенциал нарушителя;

Уровень значимости информации;

Уровень защищенности ИСПДн;

Тип актуальных угроз.

14.4. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. При определении требований к системе защиты информации информационной системы учитываются положения политик обеспечения информационной безопасности обладателя информации (заказчика) в случае их разработки по ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», а также политик обеспечения информационной безопасности оператора и уполномоченного лица в части, не противоречащей политикам обладателя информации (заказчика).

Довольно интересное требование содержится в п. 14.4. Таким образом, если документы разработаны по ГОСТ Р ИСО/МЭК 27001, то мы их учитываем, а если нет, то не учитываем. И почему данное требование предъявляется только к обладателю информации? Вопрос весьма не однозначный, как и вообще не ясен смысл упоминания данного ГОСТ. Вероятно, разработчикам документа уж очень хотелось его куда-нибудь воткнуть.

Разработка системы защиты информации информационной системы в соответствии с приказом № 17 организуется с учетом ГОСТ 34.601 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания» (далее – ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и представляет собой довольно стандартную процедуру, за исключением части из п. 15.1.

15.1 При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и (или) ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.

Как не крутись, а уйти от сертифицированных средств не удастся никак. Либо переделывай, либо сертифицируй.

Жизненный цикл ГИС представлен на Рисунке 2.

Рисунок 2 - Жизненный цикл ГИС

Отдельного рассмотрения заслуживает п. 25

25. Выбранные и реализованные в информационной системе в рамках ее системы защиты информации меры защиты информации должны обеспечивать: в информационных системах 1 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с высоким потенциалом; в информационных системах 2 класса защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с потенциалом не ниже среднего; в информационных системах 3 и 4 классов защищенности – нейтрализацию (блокирование) угроз безопасности информации, связанных с действиями нарушителя с низким потенциалом. Потенциал нарушителя определяется в ходе оценки его возможностей, проводимой при определении угроз безопасности информации в соответствии с пунктом 14.3 настоящих Требований.

Если внимательно посмотреть на п. 14.3, то можно заметить, что никакой методики по оценке потенциала нарушителя не предлагается. Таким образом, данный вопрос ложится на плечи создателей ГИС.

Ну и традиционная табличка по применению сертифицированных средств защиты.

	С подключением к ССОП	Без подключения к ССОП
1 КЗ	СВТ 5+ СОВ 4+ САЗ 4+ МЭ 3+ НДВ 4+	СВТ 5+ СОВ 4+ САЗ 4+ МЭ 4+ НДВ 4+
2 КЗ	СВТ 5+ СОВ 4+ САЗ 4+ МЭ 3+ НДВ 4+	СВТ 5+ СОВ 4+ САЗ 4+ МЭ 4+ НДВ 4+
3 КЗ	СВТ 5+ СОВ 4+ САЗ 4+ МЭ 3+	СВТ 5+ СОВ 5+ САЗ 5+ МЭ 4+
4 КЗ	СВТ 5+ СОВ 5+ САЗ 5+ МЭ 4+

Что касается состава мер защиты, предлагаемого в приказе №17 то он сильно схож с составом мер из приказа №21 за исключением некоторых пунктов и нескольких мер. Однако, благодаря пункту 27 приказа №17 на данные отличия можно не обращать внимание и работать только с ним.

В качестве заключения можно сказать, что требования приказа №17 схожи с приказом №21. Основное отличие заключается в обязательности применения сертифицированных средств защиты и обязательной аттестации ГИС. В принципе для ГО точкой входа является ПП №211, а дальше надо определяться:

Является ли ваша информационная система ГИС и по какому пути вы пойдете при создании СЗПДн.