Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия

Продолжая цикл статей о практической защите персональных данных, рассмотрим вопрос, что такое оценка соответствия средств защиты информации и какие формы допустимы в рамках защиты персональных данных.

Как мы говорили в предыдущей статье, («Практическая Защита персональных данных. Как компания должна обрабатывать и защищать персональные данные. Часть 2»), вопрос оценки соответствия, требования по которой устанавливал сначала п. 5 постановления Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – ПП 781), а далее и по сей день Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который добавил п. 3 ч. 2 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» актуален до сегодняшнего дня.

По сложившейся практике, как и в предыдущих статьях, обратимся к истории вопроса. С выходом 152-ФЗ у компаний появилась задача защиты персональных данных и как следствие вопрос, какие средства защиты необходимо и достаточно будет для этого применить. Закон устанавливал следующие ответственные ведомства в области защиты персональных данных:

• Федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности (прим. ФСБ России) – ч. 3 ст. 19 152-ФЗ

• Федеральный орган исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (прим. ФСТЭК России) – ч. 3 ст. 19 152-ФЗ.

Согласно п. 1 Указа Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (далее – Указ 188), персональные данные относились к сведениям конфиденциального характера, а в соответствии с ч. 2 ст. 5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» относились к информации ограниченного доступа. До выхода 152-ФЗ требования по защите конфиденциальной информации были определены в следующих документах:

• Федеральный закон от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации»

• Указ 188

• Указ Президента Российской Федерации от 12.05.2004 № 611 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена»

• постановление Правительства Российской Федерации от 26.06.1995 № 608 «О сертификации средств защиты информации» (далее – Постановление 608)

• постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»

• постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»

• Руководящий документ Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (утв. решением Гостехкомиссии России от 30.03.1992)

• руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утвержден решением председателя Гостехкомиссии России от 30.03.1992) (далее – РД АС)

• Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (утв. Гостехкомиссией России от 30.03.1992) (далее – РД СВТ)

• Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (утв. Гостехкомиссией России от 25.07.1997) (далее – РД МЭ)

• Руководящий документ Гостехкомиссии России от 04.06.1999 № 114 «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (далее – НДВ)

• Положение по аттестации объектов информатизации по требованиям безопасности информации (утв. Гостехкомиссией России 25.11.1994) (далее – Положение по аттестации)

• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» (утверждены приказом Гостехкомиссии России от 30.08.02 № 282), пометка ограничения «Для служебного пользования»

• приказ ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Инструкция 152)

• приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

• ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении», пометка ограничения «Для служебного пользования»

• ГОСТ Р 51624-2000 «Защита информации Автоматизированные системы в защищенном исполнении», пометка ограничения «Для служебного пользования».

• Если рассмотреть указанные документы, то в большинстве своем они оперировали только одним понятием оценки соответствия (хотя они так это не называли) средства защиты информации – сертификация средства защиты информации:

• Указ 611 – п. 1

• РД АС – п. 3.3, п. 4.6 таблиц. Сертифицированные средства обязательны для применения в АС класса защищенности от несанкционированного доступа к информации – 3А, 2А, 1В, 1Б, 1А

• Положение по аттестации п. 2.6, п. 3.1, п. 3.4, п. 3.4.1, п. 3.4.2, п. 3.7.1

• Инструкция 152 – п. 1, п. 7, п. 69, п. 72.

Положения документов с пометкой ДСП (что это, смотрите в постановлении Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности») приводить не будем. Хотим лишь отметить, что, если вы захотите аттестовать объект информатизации (автоматизированную систему), обрабатывающий конфиденциальную информацию, то орган по аттестации или аттестационный центр (лицензиат ФСТЭК России по технической защите конфиденциальной информации с разрешенным видом деятельности работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации (средств и систем информатизации)) укажет вам на необходимость установки/использования на объекте информатизации исключительно сертифицированных средств защиты информации.

Обособленно от этих документов стоит ПКЗ-2005. В данном документе отсутствует прямое указание, что применяемые средства криптографической защиты должны быть сертифицированы. Этот аспект мы рассмотрим чуть позже в разделе «Подход ФСБ России».

Оставив промежуточные документы по защите персональных данных, которые выходили и отменялись, перенесемся в наши дни. Часть ранее обозначенных документов, а именно Инструкция 152, ПКЗ-2005 и РД СВТ, продолжают действовать в рамках защиты персональных данных (см. статью «Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные. Часть 2»).

В 2021 году применение средств защиты информации в информационных системах персональных данных определяют следующие документы:

• 152-ФЗ

• Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление 1119)

• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ 21)

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписки) (утв. ФСТЭК России, 2008)

• Методический документ «Методика оценки угроз безопасности информации» (утв. ФСТЭК России 05.02.2021)

• Инструкция 152

• Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

• Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

• Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности" (утв. ФСБ России 31.03.2015 № 149/7/2/6-432).

Если рассмотреть основные документы ФСТЭК России из перечисленных выше, то можно увидеть, что в них отсутствует прямое указание на использование исключительно сертифицированных средств защиты информации, как это было в «Рекомендациях по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15.02.2008) и «Основных мероприятиях по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15.02.2008). Начиная с приказа ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (Зарегистрирован в Минюсте России 19.02.2010 № 16456), в документах ФСТЭК России дано указание на использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (п. 2.1, 3.2 Приказа № 58).

Подчеркнем отдельный момент: ряд экспертов указывает, что Приказ 21 устанавливает требования по использованию исключительно сертифицированных средств защиты информации. При этом эксперты ссылаются на п. 12 Приказа 21. Однако, если рассмотреть указанный пункт, то можно увидеть, что он дает право компании использовать сертифицированные средства защиты информации, а не устанавливает обязанность их использовать, т.к. формулировки, в которых упомянут указанный пункт, оперируют аналогом «если». Т.е. если компания захочет использовать сертифицированные средства защиты информации, то она должна использовать средства защиты информации определенного класса, уровня защищенности и/или уровня доверия.

Что такое процедура оценки соответствия, раскрывается в Федеральном законе от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее – 184-ФЗ).

Ст. 2 184-ФЗ дает определение оценки соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к объекту. Ключевой нормой 184-ФЗ в отношении применяемых средств защиты информации для защиты персональных данных является ст. 5. Указанная статья определяет требования к особенностям технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции. Как мы указали выше, в соответствии с ч. 2 ст. 5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» персональные данные относятся к информации ограниченного доступа. Часть 1 ст. 5 184-ФЗ указывает, что «В отношении … продукции (работ, услуг), используемой в целях защиты … относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа… обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные государственными заказчиками, федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации, государственного управления использованием атомной энергии, государственного регулирования безопасности при использовании атомной энергии, и (или) государственными контрактами (договорами)».

В настоящий момент технические регламенты на средства защиты информации в перечне действующих технических регламентов Росстандарта отсутствуют, а положения постановления Госстандарта России от 30.01.2004 № 4 «О национальных стандартах Российской Федерации» не распространяются на область применения средств защиты информации для защиты персональных данных.

Часть 2 ст. 5 184-ФЗ указывает, что «Особенности технического регулирования в части разработки и установления обязательных требований … федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности,… противодействия техническим разведкам и технической защиты информации, … в отношении продукции (работ, услуг), указанной в пункте 1 настоящей статьи, а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями». Руководствуясь указанной нормой, обратимся к Постановлению 608. Рассмотрев указанное положение, можно увидеть, что оно регулирует сертификацию средств защиты информации, используемых для защиты сведений, составляющих государственную тайну.

Кроме указанного положения в отношении информации ограниченного доступа было также принято постановление Правительства Российской Федерации от 15.05.2010 № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» (пометка ограничения ДСП) (далее – ПП 330). Но применимость ПП 330 на область защиты персональных данных компаниями подвергается сомнению, т.к. документы с пометкой ДСП нарушают одно из ключевых требований 152-ФЗ, а именно публичность требований, что закрепляется ч. 2 ст. 4 152-ФЗ: «На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию».

Возникает вопрос: если постановлениями Правительства Российской Федерации и отдельными нормативно-правовыми актами федеральных органов исполнительной власти не установлено применение исключительно сертифицированных средств защиты информации, то какие еще формы оценки допустимы? В ч. 3 ст. 7 184-ФЗ указано: «Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме». Так как для компании, планирующей применять средства защиты информации, формы оценки соответствия в виде государственного контроля (надзора), ввода в эксплуатацию объекта, строительство которого закончено, невозможны, то рассмотрим оставшиеся.

Рассмотрим форму «Подтверждение соответствия». Ст. 20 184-ФЗ установлены следующие формы подтверждения соответствия:

• Добровольное подтверждение соответствия (ст. 21 184-ФЗ)

• Обязательное подтверждение соответствия (ст. 22 184-ФЗ).

Поскольку в п. 3 ч. 2 ст. 19 152-ФЗ устанавливается обязанность применять средства защиты информации, прошедшие оценку соответствия, то компания вынуждена идти по пути «Обязательного подтверждения соответствия». Обязательное подтверждение соответствия в ст. 20 184-ФЗ установлено в следующих формах:

• принятия декларации о соответствии (далее - декларирование соответствия)

• обязательной сертификации.

Поскольку постановления Правительства Российской Федерации по обязательной сертификации (постановления № 609 и № 330) не применимы в области защиты персональных данных (рассмотрели выше), рассмотрим форму Декларации о соответствии. Ч. 1 ст. 24 184-ФЗ устанавливает следующие требований к декларированию соответствия:

• принятие декларации о соответствии на основании собственных доказательств

• принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее – третья сторона).

Если изучить ст. 24, то увидим, что декларирование соответствия может проводиться только на соответствие положениям технического регламента. Поскольку технические регламенты на средства защиты информации отсутствуют (см. выше), то указанный подход не применим.

Рассмотрим вариант в форме регистрации. На настоящий момент какого-либо нормативно-правового акта, определяющего условия оценки соответствия в форме регистрации для средств защиты информации (пример норм – IX раздел приказа Ростехнадзора от 06.02.2018 № 52 «Об утверждении федеральных норм и правил в области использования атомной энергии "Правила оценки соответствия продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения») не определено. Таким образом, для компании остаются возможными следующие формы оценки соответствия: испытания, приемка и иная форма.

Отдельных требований к указанным формам 184-ФЗ не определяет, а значит, компания сама может определить, как она их проведет, но соблюдая условие ст. 3 (прямое или косвенное определение соблюдения требований, предъявляемых к объекту). Доказательством данного вывода являются положения, которые стали развитием идеи и опыта, полученных в рамках приказа 21, а именно требований п. 28 приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»: «…Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации…».

Дополнительный вопрос, который необходимо также рассмотреть – это форма оценки соответствия средств защиты в случаях определения актуальными типа актуальных угроз, связанные с наличием недокументированных (недекларированных) возможностей в программном обеспечении, используемом в информационной системе (п. 6 Постановления 1119).

С 01.01.2021 произошли ключевые изменения, связанные с признанием актуальными данных типов угроз. Это связано с тем, что вступили в силу положения приказа ФСТЭК России от 14.05.2020 № 68 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21», которые отменили абзац 11 п. 12 приказа 21. Ранее указанный абзац устанавливал следующие требования: «Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей». Т.е. если в отношении иных функций средств защиты информации компании могли определять форму оценки соответствия, то в случае со 2-м типом актуальных угроз нет, только сертификация на соответствие положениям РД НДВ.

Теперь же (после 01.01.2021) в случае признания актуальными данных типов угроз компаниям необходимо будет использовать/реализовать определенные меры защиты, которые указаны в п. 11 приказа 21.

Если рассмотреть действующие документы ФСБ России, то можно увидеть, что они не устанавливают форму оценки соответствия в виде сертификации. В положениях Приказа 378 (пп. «г» п.5) фигурирует требование – использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Однако, кроме требования по оценке соответствия в п. 4 приказа 378 указано, что эксплуатация средств криптографической защиты (далее – СКЗИ) должна осуществляться в соответствии с документацией на СКЗИ и требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области.

Соответствующее разъяснение о применимости документов, связанных с криптографической защитой в области обеспечения безопасности персональных данных, было дано ФСБ России – Информация ФСБ России от 21.06.2016 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных». Документом, определяющим условия эксплуатации СКЗИ, является – ПКЗ-2005. В ПКЗ-2005 указано:

• п. 43. – СКЗИ реализуются (распространяются) вместе с правилами пользования ими, согласованными с ФСБ России

• п. 46 – СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.

Кроме этого, ФСБ России 15.06.2017 дано разъяснение «О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ».

В своей практике я ни разу не встречал не сертифицированных СКЗИ, предназначенных для защиты персональных данных, где ФСБ России согласовало бы правила эксплуатации без проведения сертификации указанного средства. Дополнительно необходимо отметить, что рядом экспертов указывается, что ФСБ России выпущено информационное письмо (Извещение по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет»), информирующее, что отсутствуют обязательные требования по сертификации СКЗИ, не предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну. Однако, если рассмотреть указанное письмо, то мы увидим, что:

1) в извещении нет указания на персональные данные

2) рассматривается исключительно одна форма оценки соответствия СКЗИ – обязательная сертификация.

Учитывая все это, а также указанные выше положения о формах оценки соответствия по 184-ФЗ, подходе ФСБ России, изложенную выше и позицию, которую представители ФСБ России озвучивают в рамках различных публичных мероприятий, мы придем к проблеме с правилами пользования и формулярами на СКЗИ и снова вернемся к вопросу о необходимости сертификации СКЗИ.