Всем привет! Сегодня я хотел бы затронуть тему защиты персональных данных со стороны требований Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК), рассмотреть общие понятия и разобрать недостатки. В предыдущих статьях я раскрывал, общее понятие персональных данных, требования Роскомнадзора, подготовка к проверке РКН и еще много чего интересного (кому интересно ссылки на предыдущие статьи: Нарушения при проверке РКН: Рекомендации, Штрафы, Защита персональных данных, ФЗ-152, Проверка РКН, подготовка документов).
Итак, помимо основного регулятора по персональным данным Роскомнадзора у нас также есть ФСТЭК со своими требованиями и приказами. На самом верху, как я и говорил у нас ФЗ-152, его мы пропускаем (если ты дошел до требований ФСТЭК, то значит ты уже знаком с ФЗ-152), далее идет ПП 1119 в котором прописано, что подборка средств защиты информации для СЗ персональных данных должна осуществляться оператором ИСПДн, в соответствии с НПА ФСТЭК и ФСБ (требования ФСБ в данной статье мы рассматривать не будем). Как раз – таки один из них это 21 приказ ФСТЭК от 18.02.2013г, который принят в соответствии с статьей 19 п.4 ФЗ-152. У ФСТЭК как и у Роскомнадзора есть плановые проверки и внеплановые. План проверок выставляется на сайте ФСТЭК в начале года. Поэтому рекомендую в начале каждого календарного года проверять не только план РКН но и ФСТЭК.
Далее мы рассмотрим подробно сам 21 приказ ФСТЭК.
Для простоты понимания, мы разобьем на блоки весь приказ.
Первый блок – это исходные данные которые у нас уже есть подходя к приказу:
Также в конце данного этапа мы готовим окончательный перечень мер и оформляем это все в виде технического задания на систему защиты персональных данных.
Блок третий – реализация мер. Итак, мы определились с мерами защиты, составили техническое задание, теперь нам нужно определиться со способом реализации мер:
Блок четвертый – внедрение. На этом этапе происходит поиск поставщиков, закупка, установка и настройка технических средств системы защиты персональных данных. Если хватает компетенции и есть свой специалист в организации, то данный этап можно произвести самостоятельно. Если же таких условий нет, то реализацию мер придется производить с привлечением сторонних организаций. Также хочу отметить, что оценку эффективности мер нужно проводить не реже 1 раза в три года, также самостоятельно или же с привлечение сторонних организаций.
Далее я хотел бы рассмотреть недостатки и недоработки данного приказа.
Ну начнем с того, что оценку эффективности нужно проводить 1 раз в три года, но какой-либо методики, инструкции или разъяснений ФСТЭК нам не предоставляет. Может быть ФСТЭК сравнивает эту оценку с аттестацией из 17 приказа, тогда возникает другой вопрос, почему оператор может сам проводить эту оценку, а не лицензиаты ФСТЭК.
Также мне не понравился момент с компенсирующими мерами, которые можно реализовать в случае экономической нецелесообразности. Каким образом это обосновать? На ум приходит только расчет рисков по ISO, а для их расчета также нужно прибегнуть к специализированной сторонней организации, или же копаться в этом всём самому, что потребует не малых усилий. И самое смешное, что даже расчет рисков не гарантирует, что ставить средства, прошедшие оценку эффективности экономически нецелесообразно. Также не совсем понятно можно ли применять, например, штатные средства защиты операционной системы для той же идентификации и аутентификации, вроде бы жестких требований в использовании средств прошедших сертификацию нет, однако все будет зависеть от проверяющего и вашего обоснования в компенсирующих мерах.
Подведем итоги. Мы рассмотрели один из приказов ФСТЭК по разработке системы защиты персональных данных. В целом документ хороший, вполне понятный, есть кое-какие вопросы и недочеты. По моему мнению работать с ним можно. Если учесть, что ФСТЭК разбит по областям РФ, то проверки проходят очень редко и вероятность попасть в плановую проверку минимальна. Другой вопрос, в случае нарушения конфиденциальности и поступления жалобы могут нагрянуть с внеплановой. Также в рамках сотрудничества между РКН, ФСБ и ФСТЭК достигнута договоренность о проведении совместных мероприятий, так что если вы попали в список проверок РКН, и он выявит грубое нарушение требований по защите персональных данных, то могут подъехать и ФСТЭК с ФСБ, а это уже совсем другая тема.
Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
Итак, помимо основного регулятора по персональным данным Роскомнадзора у нас также есть ФСТЭК со своими требованиями и приказами. На самом верху, как я и говорил у нас ФЗ-152, его мы пропускаем (если ты дошел до требований ФСТЭК, то значит ты уже знаком с ФЗ-152), далее идет ПП 1119 в котором прописано, что подборка средств защиты информации для СЗ персональных данных должна осуществляться оператором ИСПДн, в соответствии с НПА ФСТЭК и ФСБ (требования ФСБ в данной статье мы рассматривать не будем). Как раз – таки один из них это 21 приказ ФСТЭК от 18.02.2013г, который принят в соответствии с статьей 19 п.4 ФЗ-152. У ФСТЭК как и у Роскомнадзора есть плановые проверки и внеплановые. План проверок выставляется на сайте ФСТЭК в начале года. Поэтому рекомендую в начале каждого календарного года проверять не только план РКН но и ФСТЭК.
Далее мы рассмотрим подробно сам 21 приказ ФСТЭК.
Для простоты понимания, мы разобьем на блоки весь приказ.
Первый блок – это исходные данные которые у нас уже есть подходя к приказу:
- Акт классификации ИСПДн (из него мы определяем класс защищенности)
- Описание ИСПДн (характеристики ИСПДн, особенности функционирования ИС, перечень информационных технологий)
- Результаты возможного вреда на ИСПДн (определение экономической целесообразности)
- Модель угроз и модель нарушителя (актуальные угрозы и типы угроз)
- Выбор мер, подлежащих реализации в рамках системы защиты персональных данных:
- Определение базового набора мер (определяем из приложения 1 из приказа соответствующий классу защищенности)
- Определяем адаптированный базовый набор мер (Исключаем меры, связанные с угрозами несоответствующими ИСПДн, производим замену мер)
- Уточняем адаптированный базовый набор мер (вносим коррективы из перечня, соответствующего более высокому классу защиты, если это требуется для нейтрализации угроз, также производим замену мер на компенсирующие, если это не экономически нецелесообразно)
Также в конце данного этапа мы готовим окончательный перечень мер и оформляем это все в виде технического задания на систему защиты персональных данных.
Блок третий – реализация мер. Итак, мы определились с мерами защиты, составили техническое задание, теперь нам нужно определиться со способом реализации мер:
- Реализация организационной меры
- Реализация посредством внедрения средств защиты информации, прошедшие оценку соответствия (в случаях, когда применение этой меры нужно для нейтрализации актуальной угрозы)
- Другие технические меры
Блок четвертый – внедрение. На этом этапе происходит поиск поставщиков, закупка, установка и настройка технических средств системы защиты персональных данных. Если хватает компетенции и есть свой специалист в организации, то данный этап можно произвести самостоятельно. Если же таких условий нет, то реализацию мер придется производить с привлечением сторонних организаций. Также хочу отметить, что оценку эффективности мер нужно проводить не реже 1 раза в три года, также самостоятельно или же с привлечение сторонних организаций.
Далее я хотел бы рассмотреть недостатки и недоработки данного приказа.
Ну начнем с того, что оценку эффективности нужно проводить 1 раз в три года, но какой-либо методики, инструкции или разъяснений ФСТЭК нам не предоставляет. Может быть ФСТЭК сравнивает эту оценку с аттестацией из 17 приказа, тогда возникает другой вопрос, почему оператор может сам проводить эту оценку, а не лицензиаты ФСТЭК.
Также мне не понравился момент с компенсирующими мерами, которые можно реализовать в случае экономической нецелесообразности. Каким образом это обосновать? На ум приходит только расчет рисков по ISO, а для их расчета также нужно прибегнуть к специализированной сторонней организации, или же копаться в этом всём самому, что потребует не малых усилий. И самое смешное, что даже расчет рисков не гарантирует, что ставить средства, прошедшие оценку эффективности экономически нецелесообразно. Также не совсем понятно можно ли применять, например, штатные средства защиты операционной системы для той же идентификации и аутентификации, вроде бы жестких требований в использовании средств прошедших сертификацию нет, однако все будет зависеть от проверяющего и вашего обоснования в компенсирующих мерах.
Подведем итоги. Мы рассмотрели один из приказов ФСТЭК по разработке системы защиты персональных данных. В целом документ хороший, вполне понятный, есть кое-какие вопросы и недочеты. По моему мнению работать с ним можно. Если учесть, что ФСТЭК разбит по областям РФ, то проверки проходят очень редко и вероятность попасть в плановую проверку минимальна. Другой вопрос, в случае нарушения конфиденциальности и поступления жалобы могут нагрянуть с внеплановой. Также в рамках сотрудничества между РКН, ФСБ и ФСТЭК достигнута договоренность о проведении совместных мероприятий, так что если вы попали в список проверок РКН, и он выявит грубое нарушение требований по защите персональных данных, то могут подъехать и ФСТЭК с ФСБ, а это уже совсем другая тема.
Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
