Постановление Правительства № 1119 — по полочкам

Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", которое отменяет Постановление от 17.11.2007 № 781, вступает в силу. Семь дней со дня опубликования истекают.

Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень в общем, в основном за отсутствие конкретики.

У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.

Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.

Полочка первая. Соответствие закону. Выпуск в свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:

• возможного вреда субъекту персональных данных,
• объема обрабатываемых персональных данных,
• содержания обрабатываемых персональных данных,
• вида деятельности, при осуществлении которого обрабатываются персональные данные,
• актуальности угроз безопасности персональных данных.

Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК.

Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.

С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.

Полочка вторая. Методология. Полочка самая ...плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.

Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами - клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу.

Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.

Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.

Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.

А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.

Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.

Полочка четвертая. Применимость. Постановление может заработать в полном объеме только после принятия соответствующих актов ФСБ и ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты. 

Оператору в этих условиях выполнить установленные требования практически невозможно. Возвращаюсь к заведующей детсадом и начальнику отдела автоматизации трубопрокатного завода. Кто объяснит первой, что такое «недекларированные возможности системного программного обеспечения» и по каким признакам она будет оценивать актуальность этой угрозы? Что может заставить второго эти угрозы признать для своего завода актуальными и взвалить на себя дополнительные проблемы? Как они будут оценивать вред, о котором писалось при разборе первой полочки? Подождем документов ФСБ и ФСТЭК. Что-то мне подсказывает, что просто так отказаться от нейтрализации недекларированных возможностей не удастся. Банки и телеком в конце концов с этим разберутся. А что делать остальным, не имеющим профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам и поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.? Ничего, кроме оторопи, подобный документ у них вызвать не может.

Резюме писать не буду. И так все ясно.