СЗПДн. Анализ. Защита публичных информационных систем
Сегодня хотелось бы поговорить о
защите публичных информационных систем.
Есть
большая проблема в том, что органы государственной власти, уполномоченные в
области защиты информации, персональных данных, прав субъектов (ФСТЭК России,
ФСБ России, Роскомнадзор) сами не выполняют те требования, которые заставляют
выполнять обычные организации. А также попустительствуют нарушениям крупных
корпораций.
Давайте
зайдем на сайт Минкомсвязи, ФСТЭК России, ФСБ России, ФНС России, РЖД, Госуслуги
– на всех собираются и передаются персональные данные, при этом нет никакой
информации о применяемых сертифицированных средствах защиты информации, данные
передаются без какой-либо защиты.
Получается,
что там, где обычные организации тратят огромное количество средств и ресурсов
–разрабатываю и внедряют документы, покупают сертифицированные СЗИ, избранные органы
и корпорации могут ничего не делать? Так
давайте мы все не будем выполнять эти требования …
… Так могли бы построить свою
статью некоторые блогеры и эксперты по ИБ, но я хочу рассмотреть проблему
несколько в другом ключе, может быть даже с обратной стороны. Будем
рассматривать публичные информационные системы с пользователями – физическими лицами.
В соответствии со статьей 19 152-ФЗ
“1. Оператор при
обработке персональных данных обязан принимать необходимые правовые,
организационные и технические меры или обеспечивать их принятие для защиты
персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, предоставления,
распространения персональных данных, а также от иных неправомерных действий в
отношении персональных данных.
2. Обеспечение
безопасности персональных данных достигается, в частности:
1) определением угроз
безопасности персональных данных при их обработке в информационных системах
персональных данных;
2) применением
организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных, необходимых для выполнения требований к
защите персональных данных, исполнение которых обеспечивает установленные
Правительством Российской Федерации уровни защищенности персональных данных; …”
Статья 3 “10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств”
1. Давайте подумаем, а что будет
входить в нашу публичную информационную систему? Будет ли входить в нашу информационную систему
техническое средство, за которым работает пользователь – физическое лицо? Будет
ли входить в нашу ИС – операционная система и браузер, установленные на
техническом средстве пользователя? Нет, нет и нет. Это устройство, ОС и ПО,
владельцем которого является стороннее физическое лицо. Мы не имеем права включать эти компоненты в ИС
оператора.
2. Давайте подумаем, попадает ли
под обязательные требования ввод/просмотр своих персональных данных
пользователем в своем браузере? Нет
В соответствии со статьей 2 152-ФЗ
“2. Действие
настоящего Федерального закона не распространяется на отношения, возникающие
при:
1) обработке
персональных данных физическими лицами исключительно для личных … нужд…”
Соответственно вся обработка ПДн
пользователем (когда действия – ввод, передачу, корректировка, просмотр
выполняет физ. лицо) полностью выпадает из-под требований 152-ФЗ и подзаконных
актов.
3. Давайте подумаем, что должен
делать оператор ПДн при взаимодействии (передаче ПДн) с третьими лицами?
В соответствии со статьей 6 152-ФЗ
“3. Оператор вправе
поручить обработку персональных данных другому лицу … на основании заключаемого
с этим лицом договора. … В поручении оператора …должна быть установлена
обязанность такого лица … обеспечивать безопасность персональных данных при их
обработке, а также должны быть указаны требования к защите обрабатываемых
персональных данных в соответствии со статьей 19 настоящего Федерального
закона.”
То есть в договоре с
пользователем мы могли бы установить требования к защите передаваемых данных,
но опять же, в соответствии с предыдущим пунктом - обработка данных
физическим лицом исключена из сферы 152-ФЗ, то и обязательные требования к нему
предъявляться не могут.
4. Приведенный выше анализ не
исключает обязанностей оператора обеспечивать безопасность персональных данных в
ИС. Для всех процессов обработки ПДн выполняемых именно оператором должны
приниматься необходимые меры защиты. Для всех компонентов публичных ИС –
серверов, web-сервисов,
web-приложений, БД,
рабочих мест операторов, находящихся во владении оператора ПДн должны
приниматься меры защиты, в том числе использоваться сертифицированные средства,
в том числе использоваться СКЗИ при передаче информации за границами КЗ, проводится
аттестация и т.п.
5. Что делать, если система имеет
единый интерфейс как для подключения пользователей – физических лиц, так и для
подключения сотрудников оператора. Можно ли на основе пунктов 1-3 сделать вывод
о том, что на ТС сотрудников не будут распространяться обязательные требования?
Нет. В данному случае обработка ПДн будет являться обработкой ПДн оператором
ПДн, не попадающей под исключения 152-ФЗ, поэтому должны применяться все требуемые
меры. Скорее всего интерфейсы системы придется разделять, так как при доступе к
интерфейсам сотрудников оператора скорее всего будут применяться более жесткие
ограничения.
6. Хорошо, мы разобрались с
обязанностями оператора, но неужели совсем не нужно думать о защите информации
на стороне пользователей? Нужно. Пусть такая защита выпадает из обязательных
требований. Но хороший оператор по собственной инициативе думает о защите
пользователей. С моей точки зрения, хорошей практикой будет подготовка
рекомендаций для пользователей, содержащих типовой перечень СЗИ и орг. мер,
необходимый для обеспечения безопасности при обработке данных физ. лицом. Также необходимо предусмотреть возможность
применения пользователем сертифицированных СКЗИ, подсказать где можно получить
такие средства, добавить опцию в договор типа “я хочу чтобы обеспечивалась криптографическая
защита взаимодействия моих технических средств, на которых установлены СКЗИ, с ИС
оператора”.
Выводы:
заявления ряда экспертов и блогеров о невыполнении рядом организаций требований по защите, на том основании что они их не видят - безосновательны и рассчитаны на неопытных читателей;
и хотя оператор ИС не может навязывать защиту на местах пользователей физ.лиц, на своей стороне он должен принимать все требуемые меры защиты.
Выводы:
заявления ряда экспертов и блогеров о невыполнении рядом организаций требований по защите, на том основании что они их не видят - безосновательны и рассчитаны на неопытных читателей;
и хотя оператор ИС не может навязывать защиту на местах пользователей физ.лиц, на своей стороне он должен принимать все требуемые меры защиты.
Комментарии
Но присмотритесь к процессу обработки оператором, когда он предоставляет интерфейс и возможно просмотра и коррекции данным пользователя. Я захожу на сайт и смотрю свои ПДн: да, даже если допустить, что это в личном интересе (а не предоставление отчетности в ПФ РФ), то все, что на моем ПК - моя проблема. Но что со стороны оператора? Он же осуществляет обработку типа передача ПДн. По незащищенным каналам (пока не доказано обратное). И тут или он должен обеспечить эту защиту или разделить ответственность с другим участником (получатель/провайдер), причем защита все равно в рамках закона, то есть крипта, сертификация и прочие прелести.
Вот эта часть, где осуществляется передача защищаемой информации от оператора) самая спорная как раз и она обойдена стороной в анализе. А так все хорошо, да.
Но мы уже сделали вывод, что эта передача выходит за границы ИСПДн, а так-же выходит из области действия обязательных требований. Соответственно безопасность передачи должна регулироваться договором с контрагентом.
Подумайте сами - прием/передача это действие в котором участвуют две стороны. Не может эта задача быть решена только с одной стороны.