пятница, 27 апреля 2012 г.

СЗПДн. Анализ. Проекты новых постановлений правительства РФ по защите ПДн (UPDATED)


На сайте ФСБ были опубликованы 2 проекта новых постановлений правительства РФ по защите ПДн: обустановлении уровней защищенности и о требованиях по защите ПДн в ИСПДн

Не вижу смысла пока делать постатейный анализ – это проекты документов.

Привожу пока только основные замечания:
0.      Как можно было так долго (почти год) разрабатывать эти документы, если изменения минимальны?
1.      Под уровнем защищенности понимается набор требований, которые оператор должен стремиться выполнить. Реальный (или текущий) уровень защищенности ИСПДн не имеет к нему отношения (а были и такие предположения).
2.      В документе про уровни защищенности не рассматривается такой тип ИСПДн как – содержащий общедоступные ПДн. Не понятно, какой уровень защищенности должен быть у  этих систем -> возможны разные трактовки при проверке -> коррупция
3.      Класс ИСПДн не зависит от возможного вреда субъекту. (точнее сделана пометка что в зависимости от вреда класс может быть увеличен). При определении класса ИСПДн используются типы ПДн. А  тип ПДн и возможный вред могут существенно различаться.
- тип3 фактически не существует в природе (ведь базы ПДн создаются не сами для себя, а для какой-то цели и следовательно дополнительная информация будет в них всегда) -> K3 отсутствует в природе.

- возможные вред субъекту от разных наборов ПДн типа 2 может существенно различаться.
- вред субъекту может быть и от систем с обезличенными данными. То есть тип4 не значит нулевой вред.

Поэтому, предлагаю добавить абзац разрешающий организациям проводить оценку вреда и на основе этой оценки корректировать класс ИСПДн (в том числе получать более низкий класс К3). Те, кто не проводят оценку ущерба – пользуются классической таблицей.

4.     Тип нарушителя также должен зависеть от возможного вреда или от возможной выгоды нарушителя.  Чем больше выгода – тем больше вероятность и возможность сговора.
Но по, крайне мерее, текущая формулировка не мешает нам экспертным способом выбирать КН1.

Для примера проведем определения уровня защищенности для 4х типовых ИСПДн в соответствии с проектами ПП РФ:

1.      Маленькая организация. ИСПДн только кадры и бухгалтерия по сотрудникам. ХПД  = тип2, ХНПД = 3 , класс = K2, нарушитель = КН1, тип уровень защищенности = УЗ-3
2.      Маленькая организация. ИСПДн клиентов (например 2000 клиентов).  ХПД  = тип2, ХНПД = 2 , класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2
3.      Крупный оператор. ИСПДн клиентов (например 50 000 000 клиентов).  ХПД  = тип2, ХНПД = 1 , класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2
4.      Крупный оператор здравоохранения. ИСПДн пациентов (например 5 000 000 клиентов).  ХПД  = тип1, ХНПД = 1 , класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2

Не очень получается. Не сказал бы я, что для всех операторов типа 2,3,4 справедливо выставлять одинаковые требования.


UPD: Анализ несоответствия ФЗ и проектов ПП РФ приводит Артем Аветьян.
Анализ основных проблем в блоге Алексея Волкова 
Пара слов от Евгения Шауро
Пара слов от Ригеля.

Отличную работу по подготовке замечаний проделал ZZUBRAЭтот документ  можно использовать за основу быстро дополнить вашими замечаниями.

UPD2: Подготовил экспертное заключение и отправил в ФСБ Р (оставил основные замечания, но поправил и заменил ряд замечаний, с моей точки зрения, ухудшающих документ. Например, требования о наличие лицензий).



6 комментариев:

Trotsky комментирует...

Не согласен по поводу отсутствия категории 3 в природе, есть базы по материально-ответственным лицам (ФИО+паспорт), справочники по сотрудникам(тоже самое), базы в которых содержатся данные, необходимые для заключения договора с физ лицом (тоже самое, но иногда с тел. или e-mail)

Сергей Борисов комментирует...

Давайте каждый пример разберем подробнее.

База материально ответственных лиц. Для чего она используется? Для того чтобы передавать что-то под ответственность.
То есть в базе будут данные необходимые для идентификации + данные о том что данному конкретному лицу передается (дополнительная информация)

спаавочники по сотрудникам как правило содержат название отдела, должность, телефон, email, где находится, иногда фото - это всё дополнительная информация.
Ведь справочник не сам по себе живет. Его используют чтобы связаться с человеком, найти человека и т.п.

База клиентов кроме ПДн для идентификации содержит хотябы ещё какуюто информацию (название услуги, стоимость, контактную информацию). База физических лис с которыми заключены договора - она ведь не так просто лежит сама для себя. Вы её используете? Для чего используете? Скажите для чего и я отвечу какие там дополнительные ПДн.

Trotsky комментирует...

Сергей, мне кажется Вы перегибаете палку в части "всё подряд, лишь бы было как то связано с субъектом - ПДн", поэтому и наши точки зрения расходятся, хотя кривое определение в ФЗ этого и не исключает.

Сергей Борисов комментирует...

Мои утверждения не голословны.

Как правило обследуя ИСПДн мы
проводим детальный анализ по каждому виду данных которые обрабатываются в системе.

Каждый вид анализируется отдельно на принадлежность к ПДн. Наборы данных анализируется на принадлежность к ПДн.
Все ключевые и спорные моменты согласуются с регуляторами.

Так вот из не менее сотни ИСПДн с которыми мне приходилось работать, тип3 встречался только в ИСПДн пропуска посетителей на территорию (и то если просто жернал и не собирались дополнительные данные - типа копии паспорта)

Trotsky комментирует...

Если порассуждать, то в журнале проставляется время прохода, или порядковый номер записи - уже доп. ПДн. Здравый смысл is out there.

Сергей Борисов комментирует...

К сожалению такое уж у нас законодательство и такие методические документы.

В постановлении правительства РФ по уровням защищенности могли бы более четко определить и привести примеры типов персональных данных. Но этого не сделано.