Обзор изменений в законодательстве за май 2013

Дата: 06.06.2013

Долгожданный новый приказ ФСТЭК России

Самым важным событием прошедшего месяца в сфере ИБ безусловно можно назвать официальное опубликование приказа ФСТЭК России от 18 февраля 2013 г. № 21«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Приказ вступил в силу 2 июня 2013 г., отменив действовавший ранее приказ № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Новый приказ влечет за собой кардинальные изменения в области защиты персональных данных (ПДн) и определяет новые подходы к построению системы защиты персональных данных (СЗПДн).

Важно отметить, что данный приказ не применяется при обеспечении безопасности ПДн при их обработке в государственных информационных системах. В этом случае требования по защите ПДн определяются в соответствии с еще одним новым приказом ФСТЭК России от 21 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», который будет подробно рассмотрен в следующем выпуске обзора.


Подход к формированию требований

В соответствии с новым приказом ФСТЭК России формирование требований к СЗПДн включает следующие этапы:

1. Определение базового набора требований в зависимости от уровня защищенности ПДн. 
Для каждого уровня защищенности документ ФСТЭК России определяет конкретизированный набор мер, направленных на обеспечение безопасности ПДн.

Напомню, что понятие уровня защищенности ПДн пришло на смену класса ИСПДн из Постановления Правительства №1119, в соответствии с которым уровень защищенности ПДн определяется в зависимости от типа ИСПДн, типа актуальных угроз и количества обрабатываемых данных. Подробно порядок классификации ИСПДн и определения уровня защищенности ПДн рассматривался в предыдущих обзорах.

2. Адаптация базового набора требований путем исключения неприменимых требований. 
На данном этапе исключение требований может осуществляться в связи с отсутствием использования той или иной технологии (например, беспроводной ЛВС, технологии виртуализации) или характеристики конкретной ИС (например, удаленного доступа к ИС).

3. Уточнение адаптированного набора требований путем включения дополнительных требований. 
Уточнение адаптированного набора требований производится с целью нейтрализации всех актуальных угроз безопасности ПДн в случае недостаточности выбранных ранее мер.

4. Дополнение уточненного набора требований мерами, установленными иными нормативными правовыми актами в области обеспечения ПДн и защиты информации. 
В данном случае набор мер может дополняться требованиями ФСБ России по защите ПДн, отраслевыми требованиями и требованиями других нормативных документов, действие которых распространяется на конкретного оператора ПДн.

5. Включение компенсирующих мер взамен отдельных требований из состава мер, определенных на предыдущих этапах. 
Включение компенсирующих мер, обеспечивающих нейтрализацию актуальных угроз, может осуществляться на этапах адаптации и уточнения набора мер при невозможности технической реализации отдельных требований, а также с учетом экономической целесообразности.

Необходимо отметить, что адаптация, уточнение и применение компенсирующих мер требуют соответствующего обоснования при проектировании системы защиты ПДн.


Ключевые изменения

К важным изменениям в составе требований, определяемых новым приказом ФСТЭК России, можно отнести появление мер, направленных на обеспечение безопасности ПДн при использовании современных технологий, а также предусматривающих применение новых классов СрЗИ. Так, устанавливаются следующие меры:

— защита среды виртуализации; 
— контроль беспроводных соединений; 
— контроль содержания передаваемой из ИС информации и исключение неправомерной передачи запрещенной информации; 
— управление инцидентами.

Относительно использования сертифицированных СрЗИ для каждого уровня защищенности с учетом типа актуальных угроз и наличия подключения ИС к сети Интернет, устанавливаются требования к классам используемых СрЗИ. Соответствие классов СрЗИ и уровней защищенности ПДн приведено в таблице.


Существующие вопросы

Еще на этапе обсуждения проекта приказа ФСТЭК был выявлен ряд проблем, связанных с переходом от старых требований по обеспечению ПДн к новым, которые могут возникнуть при реализации СЗПДн. В отношении части из них на сегодняшний момент известна официальная позиция регулятора, для остальных эксперты в области ИБ предлагают свои собственные решения. Самыми обсуждаемыми вопросами являются:

1. Что делать, если СЗПДн была создана или запроектирована до выхода Постановления Правительства № 1119 в соответствии с требованиями, установленными Приказом № 58?

В этом случае внесение изменений в существующую или создаваемую СЗПДн не требуется, однако при модернизации ИСПДн должны учитываться новые требования, устанавливаемые приказом ФСТЭК.

2. Каким образом теперь определять возможность использования того или иного СрЗИ, используя информацию из сертификатов соответствия СрЗИ?

В информационном письме, опубликованном на официальном сайте ФСТЭК России, дается разъяснение порядка применения СрЗИ, ранее сертифицированных для использования в ИСПДн определенных классов, применительно к уровням защищенности ПДн, приведенное в таблице.

При этом возможность применения СрЗИ, использование которых разрешалось согласно сертификату соответствия в ИСПДн 3-го класса, не рассматривается.

Кроме того, при обеспечении защищенности ПДн могут применяться СрЗИ, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты ПДн. В этом случае функции безопасности СрЗИ должны обеспечивать соответствующие технические меры по обеспечению определенного уровня защищенности ПДн, определенные приказом ФСТЭК России. Иначе говоря, для определения возможности использования таких СрЗИ для защиты ПДн необходимо провести анализ требований технических условий на СрЗИ, на соответствие которым проводилась оценка соответствия.

3. Является ли обязательным использование сертифицированных СрЗИ?

Данный вопрос является наиболее спорным. В соответствии с приказом ФСТЭК России меры по обеспечению безопасности ПДн могут реализовываться с использованием СрЗИ, прошедших в установленном порядке процедуру оценки соответствия. При этом эксперты в области ИБ указывают на необходимость правильного толкования понятия «процедуры оценки соответствия», включающего в себя обязательную сертификацию лишь в качестве одного из возможных способов подтверждения соответствия.


Выводы

Несмотря на кажущуюся сложность предлагаемого подхода к формированию требований по обеспечению безопасности ПДн, новый приказ ФСТЭК России обеспечивает гибкость при проектировании СЗПДн, позволяя наиболее оптимальным образом определить состав защитных мер, учитывающих специфику конкретного оператора ПДн. Однако отдельные требования по-прежнему являются трудновыполнимыми и представляют определенные сложности при реализации СЗПДн.


О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных

15 мая Российская Федерация завершила процедуру ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Данная конвенция является первым международным договором мирового значения, содержащим юридически обязывающие нормы в области защиты ПДн.

Конвенция подписана Россией 7 ноября 2001 года, после чего была проведена значительная работа по реализации положений Конвенции в российском законодательстве, в рамках которых был разработан ФЗ «О персональных данных», утвержден ряд Постановлений Правительства, разработаны методические документы ФСТЭК России и ФСБ России, а также внесены изменения в различные законодательные акты РФ.

Конвенция вступит в силу для России с 1 сентября 2013 г.


Сведения об инцидентах для Банка России

Банк России опубликовал проект изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». Одним из предлагаемых изменений является расширение состава передаваемой информации об инцидентах. В частности, в Банк России должны быть предоставлены следующие сведения:

— условие возникновения инцидента; 
— причина инцидента; 
— последствия инцидента; 
— действия по устранению инцидентов и др.