В январе 2013 года эксперты подразделения Allianz Global Corporate & Specialty, входящего в состав одного из крупнейших мировых финансово-страховых концернов Allianz, опубликовали отчет Allianz Risk Pulse. Focus: Business Risks, подготовленный с привлечением более 500 профессионалов по управлению рисками из 28 стран.

Самой наглядной иллюстрацией этого отчета является так называемый Allianz Risk Barometer, который содержит 10 самых-самых рисков для бизнеса на 2013 год.

Почетное 4-е место, сразу после природных катаклизмов и пожаров, занял бизнес-риск, связанный с возможными изменениями требований законодательства и регулирующих органов.

Конечно же, в первую очередь, эксперты отмечали зависимость от законов и регуляторов, напрямую влияющих на работу отрасли, например, финансового регулирования для банков, экологических требований для добывающих компаний и т.п. Но на фоне непрерывно растущего уровня кибер-угроз все более существенное влияние начинает оказывать регулирование в области обеспечения информационной безопасности. При этом внимание уделяется самым разным объектам защиты: начиная от критически важных объектов инфраструктуры и заканчивая безопасностью того, что американцы называют privacy, а в нашем законодательстве известно как персональные данные.

В России безопасностью персональных данных озабочено сразу несколько регуляторов, среди которых Роскомнадзор, ФСТЭК России и ФСБ России, а также Минкомсвязи, Банк России и ряд других организаций. И о некоторых их новых нормативных документах я бы хотел рассказать подробнее.

Затишье перед бурей

Летом 2011 года Федеральный закон № 152-ФЗ «О персональных данных» претерпел столь существенные изменения, что правильнее стало говорить не о поправках, а о совершенно новой редакции закона. После этого наступило длительное затишье, в течение которого наши законодатели и регуляторы готовили изменения в нормативные акты, призванные гармонизировать нововведения с ранее принятыми документами. Но пауза затянулась почти на полтора года, до начала ноября 2012 года, когда Председатель Правительства Дмитрий Медведев подписал Постановление Правительства РФ № 1119, которое подтолкнуло к дальнейшим действиям регуляторов, заменив устаревшее Постановление Правительства РФ № 781 2007 года.

Всего через полтора месяца ФСТЭК России выложила на своем сайте проект приказа, идущего на замену приказу № 58 2010 года и определяющего состав и содержание мер по обеспечению безопасности персональных данных, которые готовились с широким привлечением экспертов отрасли. Уже в середине февраля финальная версия этого документа в виде приказа от 18.02.2013 № 21 была подписана Директором службы и направлена на регистрацию в Министерство юстиции.

Буквально через месяц после этого наши парламентарии извлекли с пыльных полок пакет поправок к целому списку законодательных актов, который после первого чтения пролежал на этих самых полках долгие 7 лет. И всего за полтора месяца довели эти поправки до подписания Федерального закона от 07.05.2013 № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». При этом, правда, выбросили треть от обсуждаемых ранее поправок, включая и ужесточение наказаний за нарушения в области обработки персональных данных.

Параллельно с этим Роскомнадзор подписывает и регистрирует в Минюсте приказ № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных», который призван упорядочить взаимоотношения при трансграничном обмене персональными данными.

Очередное событие в этой череде законотворчества обеспечило Министерство юстиции, зарегистрировавшее 14.05.2013 под № 28375 приказ № 21 ФСТЭК России.

И перечень ожидаемых документов на этом не исчерпался, на подходе:

• Приказ № 17 ФСТЭК России, определяющий меры по защите персональных данных в государственных информационных системах.
• Методика моделирования угроз в соответствии с новыми требованиями ФСТЭК России.
• Методические рекомендации Роскомнадзора по обезличиванию персональных данных.
• Постановление Правительства по надзору в сфере персональных данных.
• Указание Банка России с отраслевой моделью угроз.
• Приказ ФСБ России с требованиями по криптографической защите персональных данных и др.

Так что следите за новостными лентами на сайтах соответствующих органов, чтобы не пропустить появление новых документов.

Что нового в приказе № 21

Из недавно принятых нормативных актов приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» заслуживает наибольшего внимания, так как он содержит в себе описание принципиально нового подхода к защите персональных данных.

Документ без преувеличения можно назвать революционным для нашего регулятора, так как при его разработке защитные меры, ранее традиционно используемые в документах ФСТЭК России, были существенно расширены за счет внедрения лучших практик обеспечения безопасности современных информационных систем.

В результате получился список, состоящий из 15 групп и содержащий в общей сложности 104 защитные меры. Назовем эти группы мер:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
• регистрация событий безопасности;
• антивирусная защита;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и(или) к возникновению угроз безопасности персональных данных, и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

Даже не вдаваясь в более детальное описание мер в каждой из групп, можно выделить несколько областей, которые ранее отсутствовали в руководящих документах по защите персональных данных, как и в других документах ФСТЭК России. Среди технических мер появились требования к защите виртуальных сред, которые наконец-то получили «признание» у регулятора. Но особого внимания заслуживают две последние группы защитных мер, которые фактически являются составной частью рекомендованных стандартами серии ISO/EIC 27000 четырех базовых процессов информационной безопасности, без которых нельзя построить систему управления информационной безопасностью (СУИБ).

Внедрение таких процессов – огромный шаг вперед на пути создания реально работающей системы обеспечения информационной безопасности, способной адаптироваться к непрерывным изменениям, которые происходят в организации и затрагивают людей, процессы и технологии.

Процедура формирования перечня защитных мер, применяемых в конкретной информационной системе, также существенно отличается от ранее практикуемых подходов ФСТЭК России. В основе выбора мер лежит уровень защищенности, определяемый в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119, и перечень актуальных угроз безопасности персональных данных, формируемый оператором самостоятельно на основе того же Постановления.

Далее оператор, руководствуясь перечнем мер, определенных регулятором, должен выбрать меры по обеспечению безопасности персональных данных, подлежащие реализации в информационной системе в рамках системы защиты персональных данных по пятишаговой схеме.

Базовые меры определяются в зависимости от уровня защищенности, их количество существенно увеличивается с ростом уровня защищенности. Так, для самого низкого, четвертого, уровня защищенности предусматривается 27 мер защиты, для третьего – 41, для второго – уже 66, для самого высокого, первого – 69 мер защиты. Напомню, что всего защитных мер 104.

Адаптация базового набора представляет собой удаление тех базовых мер, которые не применимы в конкретной информационной системе, что вполне логично. Например, если в информационной системе не используются беспроводные соединения, то и заботиться об их защите не нужно.

Уточнение адаптированного набора заключается в выборе дополнительных мер сверх базового набора в случае, если базовых мер недостаточно для нейтрализации всех актуальных угроз. Например, если в актуальных угрозах значатся ошибки персонала, то добавляются меры, обеспечивающие контроль и предупреждение пользователей об ошибочных действиях.

Дополнение уточненного набора осуществляется теми операторами, которые попадают под требования, установленные иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации, например, отраслевых стандартов.

И самый интересный шаг в процессе выбора – определение компенсирующих мер, которые могут заменить некоторые базовые меры в случае невозможности их технической реализации или отсутствия экономической целесообразности их реализации. Чтобы под это определение не попало слишком большое количество мер защиты, на оператора возлагается обязанность обоснования применения компенсирующих мер для обеспечения безопасности персональных данных. Достаточность компенсационных мер будет проверяться только в государственных информационных системах, подлежащих обязательной аттестации.

При использовании новых информационных технологий, для которых не определены меры обеспечения их безопасности, оператором также должны разрабатываться компенсирующие меры.

Кроме этого, для обеспечения 1-го и 2-го уровней защищенности персональных данных устанавливаются требования по уровню сертификации применяемых продуктов, а при определении актуальных угроз безопасности 1-го и 2-го типов вводится перечень мер, направленных на выявление недекларированных возможностей.

Все работы по обеспечению безопасности персональных данных, а также оценка эффективности реализованных мер по обеспечению безопасности персональных данных могут проводиться оператором самостоятельно или с привлечением юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Каково общее впечатление от нового приказа ФСТЭК России? На 18 страницах этого документа поместилась новая, достаточно стройная методология, позволяющая создавать систему защиты персональных данных, максимально адаптированную к конкретной информационной системе и актуальным для нее угрозам, с самостоятельно определяемым оператором перечнем мер, выбранных, в том числе, с учетом экономической целесообразности их реализации. Рекомендации по внедрению базовых процессов показывают стремление нашего регулятора следовать лучшим мировым практикам и максимально учитывать особенности конкретных информационных систем.

Когда начинать бояться

Приказ опубликован и начал действовать, поэтому вопрос в духе Чернышевского – «Что делать?» – задают себе многие операторы информационных систем, построивших защиту персональных данных по старым требованиям.

По общему правилу нормативный акт применяется к отношениям, имевшим место после его вступления в силу и до ее утраты. Значит, действие приказа № 21 будет распространяться на вновь создаваемые и модернизируемые системы защиты в информационных системах персональных данных.

Как долго операторы персональных данных смогут прикрываться старым документом, во многом зависит от особенностей конкретной информационной системы. Хотя вряд ли этот срок получится длительным. Глядя на то, какими темпами сейчас идет развитие и внедрение новых информационных технологий, могу предположить, что уже через год-полтора таким «счастливчикам» придется модернизировать свои информационные системы со всеми вытекающими последствиями. Кроме того, толкование термина «модернизация» нашими регуляторами очень неоднозначно – даже простое обновление версии уже используемого программного обеспечения могут причислить к таковой, что еще больше сократит оставшийся срок «спокойной жизни».

Организации банковской системы, которые ввели у себя Комплекс стандартов БР ИББС и строили свои системы защиты персональных данных по «письму шести» от 28.06.2010 № 01-23/3148, также пока находятся в более выгодном положении. Но их в ближайшее время ждут масштабные изменения требований: Банком России уже готовится обновленная отраслевая модель угроз, на основании которой будут доработаны и методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы.

А вот банкам, не внедрившим Комплекс стандартов БР ИББС, а также иным операторам персональных данных, которые не успели создать системы защиты персональных данных до принятия нового приказа, придется спешно осваивать новые области знаний, связанные с составлением перечня актуальных угроз, опробовать на себе новую методологию выбора адекватных мер и учиться внедрять процессы обеспечения информационной безопасности. Что, впрочем, должно в итоге пойти им же на пользу, ведь новый приказ значительно современнее и полезнее в реальной жизни, чем его предшественник.

В качестве рекламного заключения

Компания «Код Безопасности» является разработчиком широкой линейки средств защиты, которая включает продукты для защиты рабочих станций и серверов, защиты сети, защиты виртуальных сред и защиты мобильных устройств. Все наши продукты сертифицированы по самым высоким классам защиты, в том числе и для защиты персональных данных. Только за последние 2 года наши партнеры реализовали более 3000 проектов защиты персональных данных с использованием продуктов компании «Код Безопасности».

Сейчас мы готовим описание типовых решений по защите персональных данных в соответствии с новыми требованиями для компаний из различных отраслей. Этот документ будет опубликован в открытом доступе на нашем сайте www.securitycode.ru. Надеюсь, что советы наших экспертов помогут вам сориентироваться в новых реалиях и создать надежную систему защиты персональных данных.

Автор: Андрей Степаненко, директор по маркетингу компании «Код Безопасности»

Источник: Bankir.ru