среда, 2 марта 2016 г.

СЗПДн. Анализ. Защита публичных информационных систем

Сегодня хотелось бы поговорить о защите публичных информационных систем.

Есть большая проблема в том, что органы государственной власти, уполномоченные в области защиты информации, персональных данных, прав субъектов (ФСТЭК России, ФСБ России, Роскомнадзор) сами не выполняют те требования, которые заставляют выполнять обычные организации. А также попустительствуют нарушениям крупных корпораций.
Давайте зайдем на сайт Минкомсвязи, ФСТЭК России, ФСБ России, ФНС России, РЖД, Госуслуги – на всех собираются и передаются персональные данные, при этом нет никакой информации о применяемых сертифицированных средствах защиты информации, данные передаются без какой-либо защиты.
Получается, что там, где обычные организации тратят огромное количество средств и ресурсов –разрабатываю и внедряют документы, покупают сертифицированные СЗИ, избранные органы и корпорации могут ничего не делать?  Так давайте мы все не будем выполнять эти требования …



… Так могли бы построить свою статью некоторые блогеры и эксперты по ИБ, но я хочу рассмотреть проблему несколько в другом ключе, может быть даже с обратной стороны.  Будем рассматривать публичные информационные системы с пользователями – физическими лицами.

В соответствии со статьей 19 152-ФЗ
“1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; …”

Статья 3 “10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств”

1. Давайте подумаем, а что будет входить в нашу публичную информационную систему?  Будет ли входить в нашу информационную систему техническое средство, за которым работает пользователь – физическое лицо? Будет ли входить в нашу ИС – операционная система и браузер, установленные на техническом средстве пользователя? Нет, нет и нет. Это устройство, ОС и ПО, владельцем которого является стороннее физическое лицо.  Мы не имеем права включать эти компоненты в ИС оператора.

2. Давайте подумаем, попадает ли под обязательные требования ввод/просмотр своих персональных данных пользователем в своем браузере? Нет
В соответствии со статьей 2 152-ФЗ
“2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных … нужд…”
Соответственно вся обработка ПДн пользователем (когда действия – ввод, передачу, корректировка, просмотр выполняет физ. лицо) полностью выпадает из-под требований 152-ФЗ и подзаконных актов.

3. Давайте подумаем, что должен делать оператор ПДн при взаимодействии (передаче ПДн) с третьими лицами?
В соответствии со статьей 6 152-ФЗ
“3. Оператор вправе поручить обработку персональных данных другому лицу … на основании заключаемого с этим лицом договора. … В поручении оператора …должна быть установлена обязанность такого лица … обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.”
То есть в договоре с пользователем мы могли бы установить требования к защите передаваемых данных, но опять же, в соответствии с предыдущим пунктом - обработка данных физическим лицом исключена из сферы 152-ФЗ, то и обязательные требования к нему предъявляться не могут.

4. Приведенный выше анализ не исключает обязанностей оператора обеспечивать безопасность персональных данных в ИС. Для всех процессов обработки ПДн выполняемых именно оператором должны приниматься необходимые меры защиты. Для всех компонентов публичных ИС – серверов, web-сервисов, web-приложений, БД, рабочих мест операторов, находящихся во владении оператора ПДн должны приниматься меры защиты, в том числе использоваться сертифицированные средства, в том числе использоваться СКЗИ при передаче информации за границами КЗ, проводится аттестация и т.п.

5. Что делать, если система имеет единый интерфейс как для подключения пользователей – физических лиц, так и для подключения сотрудников оператора. Можно ли на основе пунктов 1-3 сделать вывод о том, что на ТС сотрудников не будут распространяться обязательные требования? Нет. В данному случае обработка ПДн будет являться обработкой ПДн оператором ПДн, не попадающей под исключения 152-ФЗ, поэтому должны применяться все требуемые меры. Скорее всего интерфейсы системы придется разделять, так как при доступе к интерфейсам сотрудников оператора скорее всего будут применяться более жесткие ограничения.   


6. Хорошо, мы разобрались с обязанностями оператора, но неужели совсем не нужно думать о защите информации на стороне пользователей?  Нужно.  Пусть такая защита выпадает из обязательных требований. Но хороший оператор по собственной инициативе думает о защите пользователей. С моей точки зрения, хорошей практикой будет подготовка рекомендаций для пользователей, содержащих типовой перечень СЗИ и орг. мер, необходимый для обеспечения безопасности при обработке данных физ. лицом.  Также необходимо предусмотреть возможность применения пользователем сертифицированных СКЗИ, подсказать где можно получить такие средства, добавить опцию в договор типа “я хочу чтобы обеспечивалась криптографическая защита взаимодействия моих технических средств, на которых установлены СКЗИ, с ИС оператора”. 

Выводы:
заявления ряда экспертов и блогеров о невыполнении рядом организаций требований по защите, на том основании что они их не видят - безосновательны и рассчитаны на неопытных читателей;
и хотя оператор ИС не может навязывать защиту на местах пользователей физ.лиц, на своей стороне он должен принимать все требуемые меры защиты.  



3 комментария:

Ronin комментирует...

Обработка - это набор действий на стороне компонентов пользователя (физика, субъекта) и оператора (РЖД, ФНС). Верно рассмотрен аспект обработки на стороне пользователя, более того, пока информация пользователем не передана на серверы оператора обработки еще нет (пока она вводится в окне браузера или даже летит по каналам связи).
Но присмотритесь к процессу обработки оператором, когда он предоставляет интерфейс и возможно просмотра и коррекции данным пользователя. Я захожу на сайт и смотрю свои ПДн: да, даже если допустить, что это в личном интересе (а не предоставление отчетности в ПФ РФ), то все, что на моем ПК - моя проблема. Но что со стороны оператора? Он же осуществляет обработку типа передача ПДн. По незащищенным каналам (пока не доказано обратное). И тут или он должен обеспечить эту защиту или разделить ответственность с другим участником (получатель/провайдер), причем защита все равно в рамках закона, то есть крипта, сертификация и прочие прелести.
Вот эта часть, где осуществляется передача защищаемой информации от оператора) самая спорная как раз и она обойдена стороной в анализе. А так все хорошо, да.

Сергей Борисов комментирует...

Оператор передает ПДн.
Но мы уже сделали вывод, что эта передача выходит за границы ИСПДн, а так-же выходит из области действия обязательных требований. Соответственно безопасность передачи должна регулироваться договором с контрагентом.

Подумайте сами - прием/передача это действие в котором участвуют две стороны. Не может эта задача быть решена только с одной стороны.

Ronin комментирует...

Все верно, об этом написал как раз. Но повторюсь еще раз, что хотя безопасность должна регулироваться договором и в этом процессе участвуют обе стороны, на нее нельзя просто "забить" и все требования, включая обеспечение защиты каналов, остаются актуальными. Ну или делать чудный финт с получением согласия на перевод всех данных в разряд общедоступных и не требующих обеспечения конфиденциальности (с письменным согласием). Филькины грамоты РЖД или уу кого там были согласия/декларации, что субъект принимает отказ от обеспечения конфиденциальности или допускает передачу данных по открытым каналам - это полная шляпаа, которая противоречит ФЗ, поэтому считается ничтожной де-юре.