Руслан Рахметов, Security Vision
Продолжая цикл статей о практической защите персональных данных, рассмотрим вопрос, что такое оценка эффективности принимаемых мер по обеспечению безопасности персональных данных согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных».
Как мы говорили в самой первой статье («Защита персональных данных глазами практика. Как компания должна обрабатывать и защищать персональные данные? Часть 2») заключительным этапом построения системы защиты информации является оценка эффективности принимаемых мер по обеспечению безопасности персональных данных.
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а именно п. 4 ч. 2 ст. 19 установлено: «обеспечение безопасности персональных данных достигается, в частности … оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных».
Согласно ГОСТ 25866-83 «Эксплуатация техники. Термины и определения», эксплуатация – «стадия жизненного цикла изделия, на которой реализуется, поддерживается и восстанавливается его качество.
Примечание: эксплуатация изделия включает в себя в общем случае использование по назначению, транспортирование, хранение, техническое обслуживание и ремонт». Т.е., говоря обычным языком, эксплуатация - это когда происходит обработка персональных данных. Таким образом, оценка эффективности производится до начала обработки персональных данных.
Иногда приходится сталкиваться с заказчиками, которые выделяют две оценки эффективности. Данное утверждение базируется на некотором расхождении терминов, которые используются в п. 4 ч. 2 152-ФЗ (Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных) и п. 6 приказа ФСТЭК России от 18.03.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ 21) (Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных). Но в своей практике мы не встречали случаев, когда проверяющие в лице Роскомнадзора требовали бы проведение именно двух таких оценок или не принимали бы в зачет выполнение нормы 152-ФЗ по оценке эффективности, которая бы называлась, как указано в Приказе 21. В дальнейшем мы будем использовать термин, как указано в 152-ФЗ – оценка эффективности принимаемых меры по обеспечению безопасности персональных данных.
По сложившейся практике начнем с истории вопроса. В самой первой редакции 152-ФЗ отдельной нормы, устанавливающей, что необходимо как-то дополнительно оценивать принимаемые меры по обеспечению безопасности персональных данных, не существовало. Изданное во исполнение 152-ФЗ постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – ПП 781) также не вводило указанной нормы.
Норму по оценке соответствия информационной системы персональных данных требованиям безопасности информации созданной системы защиты ввели «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15.02.2008, пометка ограничения «Для служебного пользования») (далее – Основные мероприятия).
Однако, как мы говорили в статье «Защита персональных данных глазами практика. Как компания должна обрабатывать и защищать персональные данные? Часть 2», многие компании указывали, что, выпуская документ с пометкой «Для служебного пользования» (далее – ДСП), ФСТЭК России нарушает одно из ключевых требований 152-ФЗ, а именно публичность требований, что закрепляется ч. 2 ст. 4 152-ФЗ: «На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных. Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами».
Спустя какое-то время (16.11.2009) ФСТЭК России снимает с документа пометку ограничения ДСП.
Итак, что же устанавливали Основные мероприятия? Обратимся к п. 3.5данного документа: «…3.5. Рекомендуются следующие стадии создания СЗПДн: ...стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации».
Последующим п. 3.11 указывалось: «…3.11. На стадии ввода в действие ИСПДн (СЗПДн) осуществляются:
…оценка соответствия ИСПДн требованиям безопасности ПДн.
Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в виде:
для ИСПДн 1 и 2 классов – обязательной сертификации (аттестации) по требованиям безопасности информации;
для ИСПДн 3 класса – декларирования соответствия требованиям безопасности информации.
Для ИСПДн 4 класса оценка соответствия проводится по решению оператора…».
Расшифровка используемых сокращений:
ИСПДн – информационная система персональных данных
ПДн – персональные данные
СЗПДн – система защиты персональных данных.
Нюансы применения подхода декларирования мы рассмотрели в предыдущей статье «Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия».
Хотя в документе и указывается, что стадия «Оценки соответствия» является рекомендуемой, на практике же ФСТЭК России говорил, что стадия оценки в форме аттестации обязательна. Аттестация как форма оценки для ФСТЭК России является знакомой и давно применяемой. Как мы описывали в статье «Защита персональных данных глазами практика. Как компания должна обрабатывать и защищать персональные данные? Часть 2», до выхода 152-ФЗ существовали требования по защите конфиденциальной информации, которые и устанавливали требования по необходимости и порядку проведения аттестации автоматизированных систем, обрабатывающих конфиденциальную информацию. Процедура эта называлась аттестация объекта информатизации. Общий порядок проведения аттестации определялся в Положении по аттестации объектов информатизации по требованиям безопасности информации (утв. Гостехкомиссией России 25.11.1994) (далее – Положение по аттестации). На тот период времени аттестацию имели право проводить только компании, аккредитованные ФСТЭК России как орган по аттестации.
Вкратце – процедура аттестация схожа с процедурой приемки автоматизированных систем в эксплуатацию. Для проведения аттестации разрабатываются Программа и методики аттестационных испытаний (далее – ПМИ), в которых прописывается: что проверяется, чем проверяется, как проверяется, на соответствие чему проверяется. Руководствуясь ПМИ, аттестационная комиссии органа по аттестации (с 2012 года просто лицензиат ФСТЭК России на деятельность по технической защите конфиденциальной информации с разрешенным видом деятельности – аттестационные испытания и аттестация на соответствие требованиям по защите информации средств и систем информатизации) (далее Аттестатор) проводит испытания объекта информатизации и, собирая доказательства/результаты проверок, формирует Протокол аттестационных испытаний, в котором отражает выполнение проверяемых требований. На основании протокола аттестационная комиссия формирует Заключение, в котором в сжатой форме отражает общий результат по защите информации на объекте информатизации. На основе сформированного Заключения руководитель Аттестатора принимает решение о выдаче или отказе в выдаче (при наличии неустранимых замечаний или отказе владельца объекта информатизации устранять несоответствия) Аттестата соответствия.
Однако, у указанного подхода (аттестации) есть один очень существенный минус, и работы по защите персональных данных очень ярко это показали. Этим большим минусом является то, что ранее аттестованный объект информатизации практически не может изменяться. Ряд специалистов поправят нас, сказав, что это не так и нормативные документы это не запрещают, но давайте рассмотрим, при каких условиях это возможно и что для этого надо сделать.
Итак, вы провели аттестацию, зафиксировали в проектной, эксплуатационной и организационно-распорядительной документации объект информатизации и положения по защите информации. Одними из основных документов, которые должны быть предъявлены на аттестацию и которые владелец объекта информатизации должен вести и постоянно отслеживать, являются:
Матрица доступа
Технический паспорт
- Описание технологического процесса обработки информации.
Все эти документы фактически «цементируют» объект. В них отражается технологический процесс работы на объекте информатизации, структура и состав объекта информатизации – на каком оборудовании с серийными номерами и местами размещения находится объект информатизации, какое системное и прикладное ПО (с указанием версий) стоит на средствах вычислительной техники объекта информатизации, какие средства защиты используются (с указанием лицензий, серийных номеров и специальных защитных знаков), какие защищаемые ресурсы есть на объекте информатизации и кому разрешен к ним доступ). Это не весь набор данных, которые необходимо указывать по объекту информатизации, но мы выделили особо критичные.
Все это приводит к тому, что, изменяя что-то в системе, а как следствие и на объекте информатизации, компания вынуждена обратиться к Аттестатору по вопросу изменения аттестационных документов. В нашей практике приходилось сталкиваться с ситуациями, когда Аттестатор отказывал компании в изменении ранее аттестованного объекта или говорил, что, изменения объекта прекратят действие Аттестата соответствия и надо будет заново его переаттестовать. Все эти позиции Аттестатор мотивировал положениями, которые указаны в Аттестате соответствия и/или отсылкой на изменения технологического процесса обработки информации.
Как правило, в Аттестате соответствия указывается следующее (взято из произвольного аттестата):
«Перечень характеристик, об изменениях которых требуется обязательно извещать орган по аттестации:
условия размещения технических средств и систем;
состав (комплектность) продукции, используемой в целях защиты информации, схема ее монтажа (параметры установки и настройки), способствующие снижению уровня защищенности объекта информатизации
- характеристики систем (электропитания, заземления, сигнализации) обеспечения эксплуатации объекта информатизации».
Это сделано неслучайно, т.к. в п. 9 Приложения 2 Положения по аттестации, где приводится форма Аттестата соответствия, указано, что необходимо указать перечень характеристик, об изменениях которых требуется обязательно извещать Аттестатора. Т.е., если проанализировать все вышеобозначенное, мы придем к тому выводу, который сделали выше: аттестация информационной системы персональных данных - это не самая удачная форма оценки эффективности.
Дополнительно необходимо подчеркнуть, что, согласно п. 3.8.4 Положения по аттестации, «...аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года».
В 2010 году происходят изменения ранее сформированных требований в области защиты персональных данных:
1) утверждается приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (Зарегистрирован в Минюсте России 19.02.2010 № 16456) (далее – Приказ 58)
2) Решением ФСТЭК России от 05.03.2010 признаются утратившими силу следующие документы в области защиты персональных данных:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 15.02.2008)
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. заместителем директора ФСТЭК России 15.02.2008).
В Приказе 58 уже нет указания, что информационные системы персональных данных проходят аттестацию. Однако продолжает действовать норма п. 3 ПП 781, которая гласит: «Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора». Иные способы оценки соответствия кроме аттестации и сертификации на тот период времени ФСТЭК России не рассматриваются и не применяются.
В 2011 году происходят изменения - п. 16 Федерального закона от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» (далее – 261-ФЗ) вводит понятие оценки эффективности принимаемых мер по обеспечению безопасности персональных данных. Фактически, с этого момента происходит разделение формы оценки применяемых мер защиты. Условно выделяются два направления:
Аттестация
- Иные формы.
Рассмотрим, что происходит с аттестацией. Вслед за 261-ФЗ выходят ряд документов, изменяя ранее установленный порядок аттестации:
ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения (пометка ограничения ДСП)
- ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний (пометка ограничения ДСП).
Указанные документы расширяют перечень компаний, которые могут проводить аттестацию объектов информатизации, обрабатывающих конфиденциальную информацию. Как мы указали выше, это теперь делает лицензиат ФСТЭК России на деятельность по технической защите конфиденциальной информации с разрешенным видом деятельности – аттестационные испытания и аттестация на соответствие требованиям по защите информации средств и систем информатизации. Также ГОСТы изменяют порядок и условия аттестации и формы отчетных аттестационных документов.
Ранее обозначенные проблемы только усугубляются, т.к. изменяется форма Аттестата соответствия, вводя в него в качестве приложения аналог Технического паспорта. Т.е. если ранее существовала какая-то иллюзия, что изменение объекта могут не заметить или попытаться скрыть, т.к. его состав нигде в публичных документах не известен, то теперь сделать это становится проблематичным.
Также в 2012 году утверждается постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП 1119), которое в п. 2 указывает на признание утратившим силу ПП 781, а вслед за ним утверждается Приказ 21.Фактически, Приказ 21 фиксирует ситуацию с необязательностью аттестации, как единственного способа оценки применяемых мер защиты.
Указанную позицию ФСТЭК России разъясняет в п. 3 информационного сообщения ФСТЭК России от 15.07.2013 № 240/22/2637. В нем указывается, что форма оценки эффективности не установлена и определяется оператором самостоятельно. В качестве одной из возможных форм оценки эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».
На настоящий момент указанная форма оценки эффективности существует и применяется различными компаниями в рамках работ по обеспечению безопасности персональных данных. Кроме этого, существует ряд условий, когда такая форма остается единственно возможной. К ним относится случай, когда персональные данные обрабатываются в государственных информационных системах. Требования по защите информации в государственных информационных системах установлены приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее – Приказ 17). Если рассмотреть указанный приказ, то мы увидим, что в нем упоминаются мероприятия, связанные с защитой персональных данных (п. 5, 21, 27) и единственной формой оценки принятых мер защиты в форме аттестации (п. 13 Приказ 17).
Заканчивая рассмотрение аттестации, необходимо обратить внимание, что в настоящее время прошел этап общественного обсуждения проект приказа ФСТЭК России «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну» (далее – Порядок ОИ). Он усиливает ранее введенные требования. Так, в частности, в Порядке ОИ устанавливаются новые формы документов на аттестуемый объект и вводится обязанность предоставления аттестационных документов и основных документов на объект информатизации в ФСТЭК России.
В п. 27 Порядка ОИ указано следующее:
«27. Орган по аттестации в течение 5 рабочих дней после завершения аттестации объекта информатизации представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
а) аттестата соответствия объекта информатизации;
б) технического паспорта на объект информатизации;
в) акта классификации системы (сети), акта категорирования значимого объекта;
г) программы и методик аттестационных испытаний объекта информатизации;
д) заключения и протоколов.
Копии документов на объекты информатизации федеральных органов государственной власти и государственных корпораций представляются в центральный аппарат ФСТЭК России, копии документов на объекты информатизации иных владельцев представляются в территориальный орган ФСТЭК России.
Копии документов, указанных в подпунктах «б» и «в» настоящего пункта, передаются в электронном виде в орган по аттестации владельцем объекта информатизации».
В новых утверждаемых документах ФСТЭК России устраняется ранее имевшее место расхождение на две сущности – орган по аттестации и лицензиат. Теперь это лицензиат, что установлено п. 5 Порядка ОИ: «Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации), выданную ФСТЭК России в соответствии с Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (далее – орган по аттестации)».
Дополнительно также установлено следующее требование, которое также необходимо учитывать при проведении аттестации – «…8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.
Назначение экспертов органа по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации, не допускается.
Эксперты органа по аттестации обязаны обеспечить качество и объективность результатов аттестационных испытаний объекта информатизации…».
Указанное требование пришло из работ по созданию государственных информационных систем (в частности, оно дано в рамках п. 17 Приказа 17), что также накладывает определенные ограничения на ее проведение.
Рассмотрим теперь иные формы оценки эффективности принимаемых мер по обеспечению безопасности персональных данных. Так как формы устанавливает сама компания, то мы вольны применять любые варианты. В ходе своих работы нам пришлось столкнуться со следующими формами оценки:
Инструментальный анализ защищенности информационной системы
Испытания по ГОСТ 34.603 Информационная технология. Виды испытаний автоматизированных систем (далее – ГОСТ 34.603)
- Псевдоаттестация.
Рассмотрим каждый вариант.
Инструментальный анализ
Инструментальный анализ защищенности информационной системы проводится с использованием какого-либо средства сканирования. Называть сами продукты мы не будем, их достаточно на рынке. Смысл работ - проверка наличия уязвимостей в применяемых в составе системы компонентах, их инвентаризация и контроль изменений в информационной системе. Указанное решение позволяет существенно снизить затраты на проведение работ по оценке эффективности, фактически автоматизируя ее. Однако у данного подхода есть, на наш взгляд, существенный недостаток – в нем не учитываются организационные и процессные аспекты обработки и обеспечения безопасности персональных данных. Так, в частности, при нем нельзя провести оценку и корректность проведенного определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных, определение необходимого/требуемого уровня защищенности, контроль субъектов и доступа к персональным данным и т.д. Т.е. указанный подход не позволит провести оценку многих аспектов, которые закреплены в 152-ФЗ, ПП 1119 и Приказе 21, а значит, эффективность указанного решения крайне сомнительна.
Испытания по ГОСТ 34.603 (далее – Испытания)
Испытания по своей структуре проведения схожи с аттестационными испытаниями, как по номенклатуре разрабатываемой документации в ходе ее проведения, так и по характеру организации работ (Программа и методики испытаний, Протокол испытаний, Заключение). При организации Испытаний также создается комиссия, которая на основе программы и методик испытаний проводит оценку созданной системы и на основании полученных результатов/доказательств делает заключение о соответствии системы или о необходимости ее доработки.
Структура документов раскрыта в:
ГОСТ 34.201-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем
- РД 50-34.698-90. Методические указания. Информационная технология. Автоматизированные системы. Требования к содержанию документов.
Пусть вас не смущает тот факт, что РД 50-34.698-90 отменен (Приказ Росстандарта от 12.02.2019 №216 «О признании недействующими на территории Российской Федерации актов, изданных государственными органами, правопреемником которых является Федеральное агентство по техническому регулированию и метрологии»). К сожалению, в настоящий момент какой-то адекватной замены РД 50-34.698-90 нет (письмо Росстандарта от 16.04.2019 №6620-ИК/03 «По вопросу применения документов взамен РД 50-34.698-90 и Р 50-34.119-90»).
К плюсам указанных работ можно отнести то, что они позволяют как проверить заданные изначально требования к системе защиты и процессы обеспечения, так и документальную «обвязку». Однако у данного подхода есть и существенный минус - он требует существенных людских ресурсов, достаточно продолжителен и требует детального подхода к разработке документационного обеспечения на систему, в частности, Технического задания на систему защиты информации. Проводить его часто проблематично.
Псевдоаттестация
Псевдоаттестация проводится на основе документов, регламентирующих процесс аттестации (ГОСТ РО 0043) но с рядом допущений:
1) Для ее проведения не требуется наличие в лицензии ФСТЭК России на деятельность по технической защите информации отрытого вида деятельности как аттестационные испытания и аттестация на соответствие требованиям по защите информации средств и систем информатизации
2) Объем и состав проверок компания определяет сама
3) Результирующим документом не является Аттестат соответствия
4) Для ее проведения не требуется в обязательном порядке использовать сертифицированные ФСТЭК России средства контроля.
К плюсам псевдоаттестации можно отнести плюсы, указанные выше для Испытаний, и гибкость в подходе работ по контролю (т.е. не обязательно проводить сразу проверки всех заложенных изначально требований или контроль соответствия системы Техническому заданию, которого может и не быть). Работы могут быть разнесены во времени. Однако, у данного подхода есть и определенный минус – если проверка не охватывает сразу контроль всех установленных требований, то ее результаты могут быть подвергнуты сомнению в силу возможных произошедших изменений в системе или требованиях нормативно-правовых документов между проверками и в отсутствие проверок по определенным вопросам/областям.
Мы не настаиваем на том, что указанные выше варианты являются исчерпывающими. Компания вольна сама определить удобный для нее вариант и способ проведения. Задать критерии эффективности системы и провести контроль их выполнения. Заложить в методологическую основу положения ГОСТ, международных стандартов или идти по своему пути. Все в ваших руках. Наш совет в данном вопросе – выбирая вариант, в первую очередь обращайте внимание на то, что проверяют государственные органы, уполномоченные в области обработки и защиты персональных данных, в ходе проверок выполнения 152-ФЗ и изданных в его исполнение иных нормативно-правовых актов.