Как превратить предприятие в легитимного оператора персональных данных
О снижении класса ИСПДн как способа минимизации требований к системе защиты сказано и написано уже немало, но вопросы у операторов по порядку классификации продолжают возникать.
О снижении класса ИСПДн как способа минимизации требований к системе защиты сказано и написано уже немало, но вопросы у операторов по порядку классификации продолжают возникать.
Понижаем класс системы
Объяснить суть способа легче с помощью предложенного компанией LETA табличного представления требований «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г. № 55/86/20 (см. табл. 1).
Зависимость класса типовой ИСПДн от категории обрабатываемых данных и количества субъектов, охватываемых системой
Таблица 1
Если первоначальное прочтение «Порядка проведения классификации…» вызывает нечто вроде легкого замешательства, то предложенная таблица мгновенно расставляет все по своим местам.
Рассмотрим пример.
На предприятии работает 5000 человек. В ЛВС, объединяющей бухгалтерию и отдел кадров, обрабатываются ПДн, позволяющие идентифицировать личность субъекта (паспортные данные) и получить о нем дополнительную информацию (о заработной плате, налоговых и пенсионных отчислениях). По количественному признаку (коэффициенту ХНПД) присваивается значение 2. По признаку категории ПДн (коэффициенту ХПД) присваивается значение 2. Наложение признаков дает значение буквенно-цифрового показателя класса ИСПДн: К2.
Увы, на этом, как правило, и заканчивается процедура определения класса ИСПДн. Казалось бы, все вполне обосновано, чего же еще?
К сожалению, при чисто механическом подходе осталось незамеченным, что на самом деле такой системе может быть присвоен более низкий класс. И всего лишь потому, что авторы вышеупомянутого «Порядка проведения классификации…» не удосужились вставить в свой документ специальное упоминание о том, что при присвоении значений коэффициенту ХНПД оператор вправе выбрать любой из определяющих признаков по своему усмотрению.
Достаточно обратить внимание на то, что в приведенном примере в ЛВС обрабатываются ПДн только сотрудников предприятия, и тут же становится ясно, что коэффициенту ХНПД может быть присвоено значение 3, а ИСПДн – класс К3.
Ситуация меняется кардинально!
С понижением класса от К2 до К3 отпадает необходимость в аттестации ИСПДн как объекта, а при отсутствии удаленного доступа к ресурсам – и необходимость получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Не говоря уже о том, что в целом совокупность требований к СЗПДн в ИСПДн класса К3 намного легче реализуема.
Представленная типовая ситуация с типовой ИСПДн – лишь один из путей к снижению класса, коих много (см.таблицу 2)
Методы снижающие класс ИСПДн
1
применение понижающего определяющего признака при установлении значения ХНПД
2
исключение из обработки персональных данных первой категории (ХПД = 1) либо перенаправление процессов их обработки в выделенные специально для этой цели ИСПДн
3
разделение ПДн по категориям и целям их обработки с выделением в особые зоны хранения и обработки данных, определяющих итоговые значения коэффициента ХНПД
4
обезличивание ПДн с выводом информации, содержащей сведения, позволяющие установить однозначную связь между личностью субъекта и его персональными данными, для хранения и обработки в специально выделенные для этой цели ИСПДн
5
физическое разделение ИСПДн на части при отсутствии производственной необходимости объединения происходящих в них процессов в случаях, когда такое разделение сопровождается переходом значения ХНПД от 1 к 2 либо от 2 к 3
6
логическое разделение (включая локализацию хранения ПДн) ИСПДн на сегменты с применением сертифицированных средств межсетевого экранирования, обеспечивающее технологический процесс хранения и обработки ПДн, разделяемых по признакам объема, территориальной либо отраслевой принадлежности, когда такое разделение сопровождается соответствующим изменением значения ХНПД
Таблица 2
Таким образом, при определении класса типовой ИСПДн целесообразно предварительно провести оценку возможности разделения всей ИТ-инфраструктуры предприятия на максимально возможное число обособленных сегментов, в каждом из которых обрабатывается минимальное число персональных данных и реализуется минимальное число технологических процессов, связанных с их обработкой.
У операторов, озабоченных построением систем защиты персональных данных, есть к регуляторам более серьезный вопрос: как классифицировать информационные системы, относимые к специальным?
Типовая или специальная?
Поток возмущенных вопросов в адрес регуляторов вынуждает их оправдываться, утверждая, что 99% всех ИСПДн по всем параметрам являются «типовыми».
Так ли это? И что делать с оставшимся одним процентом ИСПДн, которые к типовым никак не отнесешь? А ведь это – наиболее критичная их часть! Обратимся к вышеупомянутому «Порядку проведения классификации…».
Пункт 8 гласит:
Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Характеристиками безопасности, «отличными от конфиденциальности», являются целостность и доступность. Это азбука.
Однако до настоящего времени не представлено убедительного доказательства безусловного отнесения требований по обеспечению целостности и доступности к персональным данным о состоянии здоровья субъектов. Скажем, в ИСПДн стоматологических поликлиник, школьных медицинских пунктов или страховых компаний.
При наличии записей в медицинских журналах и историях болезней и с учетом юридической значимости данных документов по сравнению с их электронными формами ни целостность, ни доступность электронных форм данных документов не имеет абсолютно никакого значения для субъекта. Возможно, именно на это намекают представители регуляторов, когда рекомендуют рассматривать ИСПДн школ и больниц как типовые?
Заметим также, что подобные информационные системы в том же «Порядке…» (см. Таблицу 1) прямо рассматриваются как типовые ИСПДн (класс К1). Возникает вопрос: как выполнять противоречащие друг другу пункты одного и того же приказа?
«Порядок…» или беспорядок?
Предположим, мы установили, что по какому-либо признаку ИСПДн однозначно относится к специальной. Попытайтесь хотя бы одному представителю юридического департамента, к примеру, банка или страховой компании доказать, что специальной ИСПДн должен быть присвоен класс, обозначаемый как К1, К2, К3 или К4!
Не так-то просто это сделать. Судите сами.
В соответствии с пунктами 14 и 15 «Порядка проведения классификации…» обозначение К1…К4 присваивается лишь типовой ИСПДн. Пункт 16-й гласит:
По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Разве можно трактовать подобную формулировку как достаточное указание на необходимость присваивать специальным ИСПДн такое же обозначение, как типовым?
Или, может быть, руководители регулирующих органов, подписывая означенный приказ, искренне верили, что разработанные «в соответствии с пунктом 2 постановления» документы расставят все точки над «i»?
Как же поступать в подобных ситуациях? Как не допустить ошибки и получить адекватный ситуации акт классификации ИСПДн?
Специальной системе – специальный класс
Можно сколько угодно критиковать нормативно-правовые акты и методические документы ФСБ России и ФСТЭК России, но нельзя бесконечно выжидать, что проблема исчезнет сама собой. И нет более правильного пути, чем доскональное исследование ситуации с проблемой защиты персональных данных в компании, идентификация и классификация всех имеющихся ИСПДн в суперпозиции процессного и объектового подходов и составление четко структурированного плана действий.
Наша компания предложила алгоритм определения класса ИСПДн, чтобы удовлетворить возможные пожеланиям самых придирчивых регуляторов и позволило внести недостающую логику в процесс классификации (см. рис. № 1).
Данный алгоритм ориентирован не только на соответствующие пункты «Порядка проведения классификации…», включая пункт 16, но и на методические документы ФСТЭК России, вышедшие позже указанного «Порядка…».
Определяющее значение в данном алгоритме имеет разработка Модели угроз, что одинаково необходимо как для специальных ИСПДн, так и для типовых.
Рис. № 1. Алгоритм классификации ИСПДн
Необходимые исходные данные для определения класса собираются на этапе предпроектного обследования в отдельности для каждой из идентифицированных ИСПДн.
На основании результатов изучения перечней защищаемых ресурсов, целей обработки персональных данных и основных параметров технической и программной составляющих IT инфраструктуры, условий расположения и других характеристик ИСПДн устанавливаются ее классификационные признаки и определяется предварительный класс ИСПДн как типовой.
Одновременно на основе анализа полученных данных и с использованием методических рекомендаций ФСТЭК России и ФСБ России разрабатывается Модель угроз для каждой ИСПДн. Именно здесь пристального рассмотрения требуют ИСПДн, идентифицированные как специальные.
Следующим шагом является определение набора требований к СЗПДн в соответствии с методическим документом ФСТЭК России «Основные мероприятия…».
При этом, как и в традиционной системе базовых принципов и подходов к построению систем защиты, основанной на руководящем документе «Автоматизированные системы. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.), определяющими являются:
класс ИСПДн как типовой;
структура ИСПДн (автономная, локальная, распределенная);
наличие или отсутствие подключения к сетям общего пользования;
режим обработки (однопользовательский или многопользовательский);
наличие или отсутствие разграничения прав доступа.
Параллельно на основании тех же нормативных актов по обеспечению безопасности ПДн формируется набор требований к СЗПДн, направленных на предотвращение угроз безопасности, актуальность которых установлена в результате разработки модели угроз.
Общий набор требований проходит оценку их реализуемости. На результаты оценки могут повлиять как технические особенности той или иной ИСПДн и наличие или отсутствие подходящего набора сертифицированных средств защиты, так и требования неизменности реализуемых бизнес-процессов, не говоря уже о финансовых возможностях организации.
В случае отрицательного результата оценки вместе либо по отдельности включаются механизмы:
Доведения ИСПДн до состояния, в котором предъявляемый к ней набор требований будет полностью реализуем (прежде всего механизмы снижения класса, описанные выше). Данные механизмы включаются и применяются один за другим либо в комплексе и в итоге должны привести к положительному результату оценки применимости требований к СЗПДн.
Введения ограничений в модели угроз. Данный метод может потребовать как проведения серии специальных измерений и расчетов, так и согласования получаемых моделей угроз с регулирующими органами. Его целесообразно применять в том случае, если механизмы корректировки ИСПДн не привели к ожидаемому результату.
При наличии положительного результата оценки применимости требований к системам защиты разработанные модели угроз утверждаются как окончательные. Организация получает первый из обязательных для разработки пакетов документов.
Уточненные наборы требований по защите сравниваются с предварительными наборами требований, предъявленными к ИСПДн как к типовой.
Важно
Весьма важно не упустить из виду возможные ситуации, когда для реализации уточненного набора требований необходим уровень защиты, превышающий требования к предварительно определенному классу системы как типовой. В этом случае первоначально установленный буквенно-цифровой показатель класса может быть пересмотрен в сторону повышения.
Акты классификации ИСПДн составляют второй пакет обязательных для разработки на данном этапе документов. Итоговое представление Акта классификации ИСПДн включает в себя все перечисленные в «Порядке проведения классификации…» классификационные признаки.
Третий пакет составляют окончательные наборы требований к СЗПДн. В них включаются не только требования к подсистемам защиты от несанкционированного доступа, межсетевого экранирования, антивирусной защиты и др., но и требования к системе управления безопасностью, включая организационно-режимные требования, а также требования по аттестации и лицензированию.
Окончательные наборы требований формулируются в виде отдельных документов либо в качестве разделов в отчетах и могут служить основой для разработки технического (частного технического) задания на систему защиты в целом.
В традиционной системе руководящих документов ФСТЭК России акт классификации автоматизированной системы (АС) умещается на одной странице и заканчивается краткой формулировкой типа:
Класс, присвоенный системе: 1Г.
При составлении Акта классификации ИСПДн итоговая формулировка класса выглядит такой же сложной, как сам алгоритм ее вывода (см.пример).
Пример
Класс, присвоенный системе: специальная, распределенная, имеющая подключение к сетям международного информационного обмена, многопользовательская с разграничением прав доступа, расположенная полностью в пределах Российской Федерации, по значению последствий нарушения заданной характеристики безопасности для субъектов персональных данных соответствующая типовым ИСПДн класса К2, требующая дополнительных мер защиты (К2+).
Сравнение итоговой формулировки класса ИСПДн с традиционной формулировкой класса автоматизированной системы и первые опыты применения методических документов ФСБ России и ФСТЭК России при проектировании систем защиты персональных данных дают понимание того, как много надо еще сделать, чтобы разработанные на скорую руку методические документы регуляторов и описанные в них подходы к построению систем защиты персональных данных перестали вызывать недопонимание и неприятие у операторов.
Николай Конопкин,
заместитель директора департамента внедрения и консалтинга LETA IT-company
