воскресенье, 31 июля 2011 г.

Поправки в закон 152-ФЗ «О персональных данных». Последствия…

В наших правовых базах, в свободном доступе, появился текст Закона «О персональных данных». Долгое общение с юристами приучило меня к одному нехитрому правилу, если ты работаешь с текстами законов, то лучше их брать с правовых баз с актуальным обновлением. Достоинство этого подхода: ты четко понимаешь, что работаешь с действующей версией документа, можно посмотреть историю и любую из предыдущих версий, а так же статус документа. Поиск нужного адреса прост как апельсин: в яндексе набираем "152-ФЗ base" и на первых двух местах видим ссылки на Консультант-плюс и Гарант. В особо щекотливые моменты, проверяю по двум базам.

Теперь собственно о поправках. Справка о документе в Internet версии Консультанта:
Начало действия редакции - 27.07.2011.


- - - - - - - - - - - - - - - - - - - - - - - - - -
Изменения, внесенные Федеральным законом от 25.07.2011 N 261-ФЗ, вступили в силу со дня его официального опубликования (опубликован в "Российской газете" - 27.07.2011).

Т.е. мы теперь живем по новому закону, а это порождает некоторое количество вопросов:
1. Что делать с типовыми ИСПДН из "приказа трех"?
Из определения "приказа трех" мы знаем, что " Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных" и последующая классификация производится только для типовых ИСПДН.

Определение специальных информационных "информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)".

Однако, в ст.5 п.6 152-ФЗ в новой редакции мы видим "При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных...".
Таким образом, типовые информационные системы 27 июля 2011 года чудесным образом стали специальными, со всем вытекающими последствиями. А сами классы к4-к1 оказались без наполнения.
Как следствие приложения Приказа ФСТЭК № 58 "Методы и способы защиты информации от несанкционированного доступа в зависимости от класса Информационной системы" так же повисают в воздухе, т.к. идет привязка к классификации на основании приказа трех.

Далее становится интересно совсем.
Согласно положениям приказа трех оператор "по результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781".

Однако ст.15 п. 5 задачу определения актуальных угроз возлагает на государственные структуры: "Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки".

Таким образом, сейчас операторы, классифицировавшие свои системы, как типовые оказываются в состоянии неопределенности.

Продолжение следует...

15 комментариев:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. "характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)"
    уничтожение, изменение - читай целостность
    блокирование - читай доступность
    С этим всё понятно.
    "должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных..."
    А вот как соотносится точность и достаточность и 3 общепринятые характеристики безопасности мне не понятно.
    Нарушение достаточности данных?
    Защищенность от недостаточности данных?
    Мне кажется, Вы неверно поняли то, что имел ввиду законодатель.

    ОтветитьУдалить
  3. Не все характеристики проецируются на "святую триаду безопасности" на прямую. Точность, актуальность, достаточность и многие другие характеристики связанные со смыслом информации могут в частности обеспечиваться процедурными методами.
    А в приказе список открытый, главное что бы действие было несанкционированным.

    ОтветитьУдалить
  4. Руслан,
    "Точность, актуальность, достаточность" это свойства информации, если хотите, но никак не характеристики безопасности.

    ОтветитьУдалить
  5. А я и не говорил, что это характеристики безопасности. Есть "святая триада", есть еще аутентичность, подотчетность и достоверность по ГОСТ 13335-1.
    Довольно легко доказывается взаимосвязь между достоверностью, актуальностью и точностью. А имея некоторую наглость, можно утверждать что это синонимы.;)

    ОтветитьУдалить
  6. Взаимосвязь конечно есть, но по моему мнению, этого не достаточно для доказательства тезиса "все системы специальные". Да и классифицировать скоро будут по другому, чего мы тут спорим :)

    ОтветитьУдалить
  7. Я спорю для того же, для чего веду блог - проверить свои тезисы, ДО того как ... Ну и конечно что бы мозги не засохли. Так что буду благодарен за критику и альтернативные точки зрения. Все здесь происходящее я воспринимаю как спарринги в ходе которых участники приобретают опыт полезный в реальных схватках. ;)
    Так что назревает вопрос: Что Вас смущает? Что было бы достаточно?
    Согласно ГОСТ 177799: Целостность обеспечивает достоверность и полноту информации.
    Актуальность определятся как соответствие действительности или действительность.

    Достоверность - несомненная верность чего-либо. Достоверность следует отличать от истины. Достоверностью являются сведения для субъекта, который их воспринимает. Достоверность становится истиной, если она соответствует действительности. Взято здесь.

    IMHO, понятия актуальность и достоверность существенно пересекаются и можно говорить о взаимосвязи с целями защиты и предъявлению дополнительных требований кроме конфиденциальности. Есть еще два пути доказательства: через перевод на английский, т.к. термины заимствованы и через этимологию слов (да простат меня филологи).

    А вот насчет "скоро введут" компетентные товарищи говорят не раньше конца октября. ;) А до этого времени надо как-то жить... ;) Тем более срок чрезвычайно короток, а пока не слышно даже о принципах… Так что я не столь оптимистичен.

    ОтветитьУдалить
  8. Руслан, мы всё-таки "люди закона" и использовать в своих суждениях должны лишь нормативку и правоприменительную практику, поэтому определения с вики и БСЭ, принять не могу.
    Про то, что достоверность можно притянуть к характеристикам безопасности, спорить не буду, аргументы убедительные. Но пока не увижу четкого взаимодействия через НПА, достоверности и одной из характеристик, приведенных в ЗоПДн, согласиться не смогу.
    Подумайте, какие угрозы могут быть актуальности, и уязвимости через которые их можно реализовать?
    Да и неужели законодатель начитался романов Дашковой и Брауна, что решил так запутать операторов? :)
    С таким же успехом можно притянуть
    Ст. 18.1
    1.Оператор обязан принимать меры..
    3) применение правовых, организационных и технических мер по ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ в соответствии со статьей 19 настоящего Федерального закона;
    и
    ГОСТ Р 50.1.053- 2005
    3.1.4 БЕЗОПАСНОСТЬ ИНФОРМАЦИИ [ДАННЫХ]: Состояние защищенности информации [данных], при котором обеспечиваются ее [их] конфиденциальность, доступность и целостность.

    Вот и все ИСПДн уже специальные :)
    Ну неправильно всё это же :)

    ОтветитьУдалить
  9. К сожалению, правоприменительная практика пока не наработана, а нормативная база зияет пробелами. Когда появится правоприменительная практика, надеюсь, что будут и ПП и приказы. Но до этого времени еще надо дожить. Применение ГОСТов и БСЭ возможно для определения мест, которые не ясны после прочтения законов, благо мы разгребаем не уголовные дела. Как говорят юристы: " с учетом применяемых в предпринимательской деятельности правил поведения (обычаев делового оборота)".
    Что читал законодатель я сказать не могу, но есть опыт участия в разработке НПА в качестве эксперта на муниципальном уровне. Если в ГосДуме происходит тоже самое, то запутанность меня не удивляет.
    Проблема в том, что есть операторы, у которых принято решение о создании СЗИ ИСПДн и необходимо аргументированно объяснить людям, что во-первых закупаться пока рано, во-вторых если прейдёт проверка им будет чем защищаться. В первом приближении юристы заказчика готовы биться вооружившись такой аргументацией.
    По поводу Вашей цепочки – не проходит, потому что оператор должен определить требование "обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности". А то что он применяет меры по доступности и целостности не определяя их требованиях на классификацию не влияет. Например, использование криптографии практически всегда обеспечивает целостность, но если нам как оператору до целостности…, то и система остается типовой (в старой редакции Закона). А вот ст.5 п.6 152-ФЗ как раз и определяет это требование. Считаю основная проблема здесь, в том что терминология Закона не связана с терминологией отрасли.

    ОтветитьУдалить
  10. Возможно я некорректно выразился, под "нормативкой" я имел ввиду и ГОСТы в том числе, раз они используются судами для вынесения постановлений и УК тут не при чём, достаточно вспомнить нашумевшее дело о банке и неавтоматизированной обработке, ГОСТы там сыграли решающую роль. Если меня спросит дотошный Заказчик, а я ему отвечу в стиле "в Онлайн дикшенери написано", будет очень проблематично найти дальнейший язык ;)
    Да и по старой редакции бытовало поддерживаемое многими мнение, что типовых ИСПДн не существует. Мной к примеру не было классифицировано ни одной типовой ИСПДн, все они были по согласие Заказчика(осмысленному или нет) отправлены в специальные с обязательным соблюдением целостности и местами доступности. Такой подход позволял прекрасно уйти от избыточных требований по защите в разумных пределах по модели угроз и иногда переводить К1 в К2.

    "Например, использование криптографии практически всегда обеспечивает целостность"
    А как же модификация, уничтожение информации допущенными по халатности и недопущенными; вирусы, сбой электроснабжения и другие? :)

    ОтветитьУдалить
  11. Видимо загрузка последних дней сделала что-то с моим скилом выражать словами гениальные мысли в моей голове...;)
    Попробую собраться и скомпоновать в читаемый текст.
    1. В результате изменений в законодательстве типовых систем не осталось. Соответственно нужна модель угроз, и пока федеральные органы и иже с ними не их не определять инвестировать в элементы СЗИ нет возможности, кроме самых очевидных: антивирус, НСД и т.п.
    2. В случае гражданского спора можно понятия не определенные Законом трактовать исходя из сложившихся обычаев отрасли на основании ст.5 ГК "Обычаи делового оборота". При этом можно ссылаться на ресурсы характеризующие эти обычаи и доказывающие, что они сложились. Например wikisec вполне себе ресурс характеризующий это. И нормальный юрист ссылку в этом случае на "Онлайн дикшенери" принимает спокойно, точнее проверяет альтернативные толкования и если не находит - все Ok. Применялось в разбирательствах по 94-ФЗ, 152-ФЗ, трудовых спорах, спорах по охране труда. Фишка проходит с трудом в случае УК.

    Как-то так.
    P.S. По словам РКН в феврале этого года они ожидали типовых систем не более 2-3% от общего числа. ;) Так же они ожидали К-3 в пределах 10-15%. Так что, если не хотел внимания регулятора и у тебя не обрабатываются данные ст. 10 - то К-2 специальная с моделью ближе к К-3 ;). Сейчас правила меняются.

    P.P.S.
    О криптографии целостности и т.д. Пример приведен для иллюстрации как получается система которая обеспечивает, фактически целостность типовой - оператор определяет требования к системе только в разделе криптографии. ;) Ну это "сферический конь в вакууме".

    ОтветитьУдалить
  12. 2. Не могли бы Вы привести примеры реальных дел, где использовались подобные формулировки, особливо интересны подобные дела по 152 ФЗ. Пока не пощупаю - не поверю :)
    P.S. Мне вообще не понятно, на каком основании РКН собирало сведения о классе информационной системы.

    ОтветитьУдалить
  13. А как Вы представляете это себе? Дать ссылку на сайт РКН, где результат проверки выглядит как нарушений не обнаружено?
    Или рассказать как шло дело без указания названия? Я серьезно.

    ОтветитьУдалить
  14. Что-то вроде этого хотелось бы увидеть :)
    http://kad.arbitr.ru/data/pdf/34e1f989-a220-4376-bf90-c63b685d73f7/A19-25289-2009_20101028_Reshenija+i+postanovlenija.pdf

    ОтветитьУдалить
  15. Таких у меня нет. Все разбирательства до суда не доходили. Так что по этому пункту - ой. ;)
    В понедельник спрошу у наших юристов - может откопают из старой практики.

    ОтветитьУдалить