Долгожданный новый приказ ФСТЭК России
Самым важным событием прошедшего месяца в сфере ИБ безусловно можно назвать официальное опубликование приказа ФСТЭК России от 18 февраля 2013 г. № 21«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Приказ вступил в силу 2 июня 2013 г., отменив действовавший ранее приказ № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Новый приказ влечет за собой кардинальные изменения в области защиты персональных данных (ПДн) и определяет новые подходы к построению системы защиты персональных данных (СЗПДн).
Важно отметить, что данный приказ не применяется при обеспечении безопасности ПДн при их обработке в государственных информационных системах. В этом случае требования по защите ПДн определяются в соответствии с еще одним новым приказом ФСТЭК России от 21 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», который будет подробно рассмотрен в следующем выпуске обзора.
Подход к формированию требований
В соответствии с новым приказом ФСТЭК России формирование требований к СЗПДн включает следующие этапы:
Напомню, что понятие уровня защищенности ПДн пришло на смену класса ИСПДн из Постановления Правительства №1119, в соответствии с которым уровень защищенности ПДн определяется в зависимости от типа ИСПДн, типа актуальных угроз и количества обрабатываемых данных. Подробно порядок классификации ИСПДн и определения уровня защищенности ПДн рассматривался в предыдущих обзорах.
Необходимо отметить, что адаптация, уточнение и применение компенсирующих мер требуют соответствующего обоснования при проектировании системы защиты ПДн.
Ключевые изменения
К важным изменениям в составе требований, определяемых новым приказом ФСТЭК России, можно отнести появление мер, направленных на обеспечение безопасности ПДн при использовании современных технологий, а также предусматривающих применение новых классов СрЗИ. Так, устанавливаются следующие меры:
Относительно использования сертифицированных СрЗИ для каждого уровня защищенности с учетом типа актуальных угроз и наличия подключения ИС к сети Интернет, устанавливаются требования к классам используемых СрЗИ. Соответствие классов СрЗИ и уровней защищенности ПДн приведено в таблице.
Существующие вопросы
Еще на этапе обсуждения проекта приказа ФСТЭК был выявлен ряд проблем, связанных с переходом от старых требований по обеспечению ПДн к новым, которые могут возникнуть при реализации СЗПДн. В отношении части из них на сегодняшний момент известна официальная позиция регулятора, для остальных эксперты в области ИБ предлагают свои собственные решения. Самыми обсуждаемыми вопросами являются:
1. Что делать, если СЗПДн была создана или запроектирована до выхода Постановления Правительства № 1119 в соответствии с требованиями, установленными Приказом № 58?
В этом случае внесение изменений в существующую или создаваемую СЗПДн не требуется, однако при модернизации ИСПДн должны учитываться новые требования, устанавливаемые приказом ФСТЭК.
2. Каким образом теперь определять возможность использования того или иного СрЗИ, используя информацию из сертификатов соответствия СрЗИ?
В информационном письме, опубликованном на официальном сайте ФСТЭК России, дается разъяснение порядка применения СрЗИ, ранее сертифицированных для использования в ИСПДн определенных классов, применительно к уровням защищенности ПДн, приведенное в таблице.
При этом возможность применения СрЗИ, использование которых разрешалось согласно сертификату соответствия в ИСПДн 3-го класса, не рассматривается.
Кроме того, при обеспечении защищенности ПДн могут применяться СрЗИ, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты ПДн. В этом случае функции безопасности СрЗИ должны обеспечивать соответствующие технические меры по обеспечению определенного уровня защищенности ПДн, определенные приказом ФСТЭК России. Иначе говоря, для определения возможности использования таких СрЗИ для защиты ПДн необходимо провести анализ требований технических условий на СрЗИ, на соответствие которым проводилась оценка соответствия.
3. Является ли обязательным использование сертифицированных СрЗИ?
Данный вопрос является наиболее спорным. В соответствии с приказом ФСТЭК России меры по обеспечению безопасности ПДн могут реализовываться с использованием СрЗИ, прошедших в установленном порядке процедуру оценки соответствия. При этом эксперты в области ИБ указывают на необходимость правильного толкования понятия «процедуры оценки соответствия», включающего в себя обязательную сертификацию лишь в качестве одного из возможных способов подтверждения соответствия.
Выводы
Несмотря на кажущуюся сложность предлагаемого подхода к формированию требований по обеспечению безопасности ПДн, новый приказ ФСТЭК России обеспечивает гибкость при проектировании СЗПДн, позволяя наиболее оптимальным образом определить состав защитных мер, учитывающих специфику конкретного оператора ПДн. Однако отдельные требования по-прежнему являются трудновыполнимыми и представляют определенные сложности при реализации СЗПДн.
О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
Конвенция подписана Россией 7 ноября 2001 года, после чего была проведена значительная работа по реализации положений Конвенции в российском законодательстве, в рамках которых был разработан ФЗ «О персональных данных», утвержден ряд Постановлений Правительства, разработаны методические документы ФСТЭК России и ФСБ России, а также внесены изменения в различные законодательные акты РФ.
Конвенция вступит в силу для России с 1 сентября 2013 г.
Сведения об инцидентах для Банка России