ПДн: вопросы обезличивания

Не смотря на издание Роскомнадзором Приказа №996 по обезличиванию ПДн и даже Методических рекомендаций по его применению, ряд вопросов, связанных с обезличкой, все же остается.

                         

Первый вопрос самый простой: являются ли обезличенные ПДн по-прежнему персональными данными или превращаются в какую-то иную информацию?. Сам Приказ 996 на этот вопрос прямо не отвечает, однако, Методрекомендации вводят понятие «обезличенных данных», из которого ясно видно, что ПДн, будучи обезличенными, перестают быть персональными данными. Проще говоря, после обезличивания они «исчезают» (во всяком случае, исчезают из ИСПДн, а с практической точки зрения это главное).

"Уязвимости" 17-го

Одна из главных «уязвимостей» 17-го приказа связана с тем, что в его разработке не принимали участия юристы. Писавшие приказ практики неплохо представляют себе топологию информационных систем, но мало думали над тем, какие юридические проблемы встанут перед его исполнителями, особенно, если они имеют дело с крупными ГИС федерального масштаба.

В реестре федеральных ГИС на сегодняшний день ни много, ни мало 324 наименования. Среди операторов ГИС – МЧС, МВД, Минкомсвязь, Минобраз и многие другие «монстры», информационные системы которых имеют сложную разветвленную структуру, охватывающую всю Россию. И в каждой ИС масса особенностей, обусловленных ее назначением, условиями эксплуатации, а  так же организационной структурой ведомства, являющегося оператором ГИС.

"Не применяется"

Нужно ли аттестовать ИСПДн, если ее оператором является государственный (муниципальный) орган, но сама ИСПДн при этом не является государственной информационной системой (ГИС)? Например, ИС бухгалтерии администрации Н-ской области? Вопрос, на первый взгляд, простой: последний документ, в котором прямо говорится об обязательности аттестации ИСПДн, не применяется с 2010 г (хотя формулировочка «не применяется» может поставить в тупик хорошего юриста). Какая еще аттестация?

При вторжении эта сторона улицы наиболее опасна!

Даже самый хороший методический документ можно испортить одним плохо определенным термином. Особенно, если этот термин ключевой.

О системах обнаружения вторжений говорят уже давно, и еще в декабре 2011 г ФСТЭК утвердила «Требования к системам обнаружения вторжений». Оценивать наличие угроз вторжений (или атак) нужно в ходе моделирования угроз безопасности информации, а в ряде случаев (например, при защите информации в ГИС 1 и 2 классов) применение СОВ стало обязательным. Однако, в подвешенном состоянии остается главный вопрос: что такое вторжение и как его отличить от других угроз безопасности информации?

Откроем методический документ ФСТЭК «Профиль защиты систем обнаружения вторжений» (любой из двенадцати). Читаем определение:

"Качество на прежнем уровне"

Какова эффективность работы регуляторов при проведении мероприятий по контролю и надзору в своей сфере? Не каждый регулятор спешит поделится такой информацией с широкой общественностью. Роскомнадзор в этом вопросе составляет счастливое исключение.

В Отчете о деятельности Роскомнадзора за 2012 г (отчет за 2013-й мы увидим еще не скоро) есть любопытный пункт (стр.155 Отчета):

«Доля судебных решений по исковым заявлениям, связанным с обжалованием решений территориального органа Роскомнадзора в сфере связи, принятых в пользу Роскомнадзора (в % от их общего числа в сфере связи, направленных объектами надзора в судебные органы): В 2011 и 2012 гг. показатель составил 62,2 % и 60,72 % соответственно».

В переводе на нормальный русский язык это означает, что из 100 случаев обжалования в суде результатов проверок операторов связи соответственно 37,8 и 39,28 жалоб суд признал обоснованными. Если еще проще, то 

IV конференция. Вопросы сертификации СЗИ.

В продолжение вчерашнего рассказа о IV конференции «Актуальные вопросы защиты информации» нужно отметить выступление начальника управления ФСТЭК России Д. Шевцова, поделившегося планами утверждения документов в области сертификации СЗИ. Чего следует ждать в этом направлении? Прежде всего, утверждения нормативного правового акта «Организация и порядок проведения сертификации продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну». Предполагается регламентировать процедуру сертификации СЗИ в части установления сроков проведения работ по сертификации. Кроме того, будут прописаны требования по сопровождению разработчиком (заявителем) своих СЗИ и определен порядок инспекционного контроля СЗИ. Как следует из названия документа, он не коснется сертификации СЗИ, применяемых для защиты ГТ. Во всяком случае, пока не коснется. Когда будет наработана новая практика, возможно, ее распространят и на ГТ.

IV конференция и планы ФСТЭК

12 февраля 2014г в рамках ТБ-форума состоялась IV конференция «Актуальные вопросы защиты информации». Участие представителей ФСТЭК России и известных экспертов в области ИБ обеспечило мероприятию настоящий аншлаг, по причине которого многим посетителям пришлось слушать выступления стоя (в виду нехватки стульев). Основными участниками и, естественно, ньюсмейкерами конференции стали руководители управлений ФСТЭК В. Лютиков и Д. Шевцов, поделившиеся планами нормотворчества на ближайшие два года. Традиционный интерес вызвала презентация А. Лукацкого (ООО Cisco Systems), а так же выступление представителя одного из основных разработчиков проектов НПА ФСТЭК – А. Сидак (ООО «ЦБИ»), поделившегося секретами выбора мер защиты информации в ГИС (выбор так называемых «мер усиления»).

Планов у ФСТЭК громадье. Только под Приказ №17 предполагается утвердить не менее 8 методических документов (впрочем, один из них, «Меры защиты информации в ГИС», уже был утвержден за день до конференции). Примерный перечень остальных выглядит так:

- «Методика определения угроз безопасности информации в ИС» (обсуждение планируется в I квартале 2014г;
- «Порядок аттестации ИС»;
- «Порядок обновления ПО в ИС»;
- «Порядок выявления и устранения уязвимостей в ИС»;
- «Порядок реагирования на инциденты нарушения безопасности информации»;
- «Защита информации в ИС при использовании мобильных устройств»;
- «Защита информации в ИС при использовании устройств беспроводного доступа».

Этот список, насколько можно понять из выступления В. Лютикова, не окончательный и будет расширяться. В 17-м приказе достаточно много требований к мерам, никак не регламентированным в действующих НПА. А приказ, вообще-то, требуется выполнять уже сейчас. Во всяком случае, пытаться.

Вторым важным направлением развития НПА является проект «Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Чем хорош проект? Тем, что в нем реализован точно такой же принцип организации ЗИ и выбора мер защиты, как и в 17-м и 21-м приказах. Только мер здесь не 13, и даже не 15, а двадцать одна (включая, например, меры по информированию и обучению пользователей). Принцип выбора, как и в предыдущих документах, четырехшаговый (базовый набор, адаптация, уточнение, дополнение). А вот классов ИС не 4, а 3, да и сама классификация попроще, чем в 17-м. И еще одна важная деталь: аттестация АСУ ПТП КВО не обязательна, оценить соответствие защищенной системы можно в форме приемки в эксплуатацию. Собственно, проект документа уже выложен на сайте ФСТЭК и вряд ли нуждается в более детальном рассказе. Методические документы, о которых шла речь выше, будут, разумеется, применяться и для реализации «Требований …».

(продолжение следует ...)