На днях вступило в силу новое постановление правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», отменившее одноименное постановление, действовавшее с 2007 года. В новом постановлении приводится новое описание классов информационных систем персональных данных, типов информационных угроз и требований к защите информации. Вице-спикер Госдумы, член комитета по информационной политике, информационным технологиям и связи Сергей Железняк заявил тогда, что «таким образом государство последовательно и максимально стремится обеспечить реализацию конституционного права граждан на тайну личной жизни и переписки». Насколько государство «стремится», и насколько «последовательно», «Полит.ру» рассказал старший аналитик компании «Доктор Веб» Вячеслав Медведев.
Формально 1-го ноября правительство всего лишь утвердило новое постановление «Об утверждении требований к защите персональных данных…». Фактически же оно вместо худо-бедно работавшего на пользу страны и граждан, чьи персональные данные обрабатываются государством и иными операторами, ввело документ, который уменьшает требования к информационной безопасности. Прописанных в нем мер защиты просто недостаточно. По сути – это шаг назад в вопросах информационной безопасности.
Начнем с того, что
Кроме того, ушло положение о соответствии программных средств требованиям обеспечения безопасности. То есть, если раньше надо было ставить не абы какой антивирус, а тот, который ловит вирусы, то теперь это неважно. Можно ставить что угодно, лишь бы оно правильно называлось. Пропало из нового постановления и требование к программным средствам «удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации». Что, очевидно, явный шаг в сторону от безопасности, поскольку
Федеральная служба по техническому и экспортному контролю (ФСТЭК), кстати, выпустила недавно шесть документов описывающих обязательный с точки зрения государства функционал антивирусов и межсетевых экранов. Хотелось бы передать соболезнования коллегам из федеральной службы – эти бумажки, благодаря новому постановлению, теперь хотя и реально нужны, но повисли в воздухе. По сути, нужны новые.
Теперь по пунктам. Пункт 6 постановления, описывающий «актуальные угрозы безопасности персональных данных» – просто смех. Первый тип – недокументированные функции в операционной системе, второй – недокументированные функции в прикладных программах, третий – все остальное. Как их определять, конечно, не сказано. И ладно еще, что никто ни разу не видел, как создатели операционки описали бы на сто процентов все ее функции (то же про все остальные программы). Но зачем это разделение вообще нужно когда, например, существующая и действующая типовая модель угроз информационных систем органов исполнительной власти города Москвы охватывает 14 типов угроз (а частные модели оперируют десятками типов угроз) и 7 их источников? Видимо, им надо проще относиться к безопасности, тем боле, что любую из описанных угроз, согласно пункту 7 теперь можно признать незначительной, если оценивать ее «с учетом оценки возможного вреда». Ну как оценить в рублях, скажем, возможный ущерб от утечки информации о ваших религиозных убеждениях? Правильно! Как «незначительный». Да и пункт 2, указывающий на защиту только от актуальных угроз, не лучше.
Пункт 5 вступившего в силу постановления, описывающий новую классификацию информсистем персональных данных, и, в частности систему обработки общедоступных персональных данных, и вовсе противоречит действующему законодательству. Закон «О персональных данных» подразумевает два источника таких данных. Первый – это данные, которые сам субъект обозначил как общедоступные, второй – данные, которые полученные из открытых источников. Новое же постановление понимает общедоступные данные лишь как полученные из открытых источников. И теперь, оператор, выполняя данное постановление, не может взять данные напрямую у субъекта.
Еще более абсурдными являются пункты 8 и 9 принятого постановления, которые определяют 4 уровня защищенности персональных данных.
Здесь необходимо пояснить, что ранее, в отмененных документах, также было предусмотрено 4 класса защиты. И в большинстве случаев можно была ориентироваться на схему: обезличенные данные – класс К4, минимальный уровень защиты; данные, позволяющие идентифицировать лицо – это К3; плюс к идентификации наличие дополнительных данных - К2, специальные типы данных - К1, самый высокий класс защиты.
Теперь у нас также 4 уровня, но выбор уровня сильно усложнен (точнее отсутствует вовсе). Конкретный уровень по новым правилам высчитывается исходя из класса информационной системы, актуальных для нее угроз, принадлежности и количества субъектов, данные которых обрабатываются. То есть, проще говоря, вместо 4 уровней для 4 классов систем мы имеем по факту 4 уровня для 18 различных «наборов» параметров, где каждый конкретный набор еще надо определить. Но было бы еще полбеды, если все это распределение имело бы хоть какой-то смысл. Увы, это не так.
Подпункт а) пункта 9 гласит, что наивысшая, по 1-му уровню, защита полагается если «для информационной системы актуальны угрозы 1-го типа (то есть уязвимость ОС – «Полит.ру») и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных». Но
какая бы ахинея не была там написана. А ее там в достатке, взять хотя бы описание 2-го уровня защиты под который попадает обработка данных из открытых источников. Составителей документа не смутила необходимость охранять данные, которые больше никто не охраняет.
Еще одной странностью можно назвать такой параметр как «количество субъектов персональных данных». По данному критерию операторы делятся на два типа: те, кто обрабатывает данные более чем 100 тыс. субъектов и те, кто менее. При этом
Говорить без слез про описанные в документе меры защиты и контроля безопасности вообще невозможно. Скажу лишь, что все уровни с 1-го по 4-й требуют «организации режима обеспечения безопасности помещений, в которых размещена информационная система». Иначе говоря, создатели постановления уверены, что амбарный замок на серверной – главная мера защиты данных.
(их теперь, если следовать букве документа, нужно включать исключительно в охраняемых помещениях), как и то, что для мобильных устройств тоже нужна защита. Столь же абсурдны и требования к контролю безопасности: «контроль проводится не реже 1 раза в 3 года».
Продолжать можно еще долго, но если обобщить, то можно сказать, что документ писали какие-то «вохровцы». Эдакие «динозавры», для которых главный носитель информации – бумажный документ. И это когда Dr. Web поставил рекорд по суточному обнаружению новых вредоносных программ и новых модификаций уже известных угроз : на днях их количество достигло 150 тыс. Ей богу, пора в модели угроз информационной безопасности вводить новый источник уязвимости – нормотворчество правительства Российской Федерации.