Большинство компаний вспоминают про приказ ФСТЭК № 21 только тогда, когда уже «горит» близится проверка, приходит требование от заказчика или случается инцидент с персональными данными. В результате меры из приказа воспринимаются как формальность и набор галочек, хотя на практике это вполне конкретный список организационных и технических шагов, которые позволяют не только выполнить требования регулятора, но и резко снизить вероятность утечки и штрафов.
В этой статье простым языком разбирается, что на самом деле стоит за формулировкой «состав и содержание организационных и технических мер», какие блоки требований ФСТЭК № 21 критичны для типовой ИСПДн и как превратить сухой нормативный документ в понятный рабочий план для бизнеса и ИТ. Текст будет полезен тем, кто отвечает за защиту персональных данных, готовится к проверкам или хочет навести порядок в процессах и средствах защиты, не углубляясь в юридические нюансы первоисточника.
Пункт 1. Базовые требования к защите персональных данных
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных
данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,
копирования, предоставления, распространения персональных данных, а также от иных неправомерных
действий в отношении персональных данных.
В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных
данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также
меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Закон обязывает организации защищать персональные данные от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, передачи, распространения. Требование не декларативное. Контролирующие органы проверяют его выполнение и фиксируют нарушения.
Роскомнадзор регулярно выявляет однотипные проблемы. Базы клиентов лежат на общедоступных серверах без разграничения прав. К зарплатным данным имеют доступ все сотрудники отдела, а не только HR-специалисты. Резервные копии с персональными данными не создавались несколько лет. При проверке выясняется, что восстановить информацию после инцидента невозможно.
Количество утечек растет. Причины разные: целенаправленные атаки, ошибки персонала, отсутствие базовых мер защиты. Контроль ужесточается пропорционально росту инцидентов.
Приказ ФСТЭК России N21 регулирует защиту большинства персональных данных, но исключает два направления.
Первое: персональные данные, составляющие государственную тайну. Их защита регламентируется Федеральным законом "О государственной тайне" и подзаконными актами. Приказ N21 на них не распространяется.
Второе: применение шифровальных средств. Этим занимается ФСБ России. У ведомства собственные нормативные акты, определяющие требования к криптографической защите информации. Пересечений с приказом ФСТЭК нет, регулирование разделено.
Оператор начинает обрабатывать персональные данные. С этого момента идет отсчет. Три месяца на выполнение обязательных действий. Срок жесткий, продлению не подлежит.
Что нужно сделать за три месяца.
Провести анализ угроз безопасности персональных данных в вашей информационной системе. Угрозы определяются индивидуально, исходя из специфики работы организации, используемых технологий, состава обрабатываемых данных. Шаблонные модели угроз не подходят. Интернет-магазин сталкивается с одними рисками, медицинская клиника с другими, HR-отдел производственной компании с третьими.
Определить категории персональных данных. ФИО и email это одно. Паспортные данные, ИНН, СНИЛС это другое. Медицинские показатели, биометрия это третье. Категория влияет на уровень защиты. Чем чувствительнее данные, тем жестче требования.
Разработать и утвердить Положение о защите персональных данных. Документ описывает внутренние правила работы с данными. Кто имеет доступ. Как данные передаются между подразделениями. Какие меры защиты применяются. Что делать при обнаружении инцидента. Положение утверждается приказом руководителя организации.
Назначить ответственного за организацию обработки персональных данных. Это конкретный сотрудник с полномочиями и ответственностью. Назначение оформляется приказом. В приказе указываются должность, ФИО сотрудника, перечень его обязанностей в области защиты персональных данных.
Обеспечить физическую безопасность помещений, где обрабатываются или хранятся персональные данные. Серверные должны запираться. Доступ в них контролируется. Журналы посещений ведутся. Видеонаблюдение устанавливается при необходимости. Рабочие места сотрудников, работающих с чувствительными данными, располагаются так, чтобы посторонние не видели мониторы.
Настроить систему разграничения доступа. Каждый сотрудник получает доступ только к тем персональным данным, которые необходимы для выполнения его должностных обязанностей. Бухгалтер видит зарплатную информацию. Менеджер по продажам видит контакты клиентов. Системный администратор имеет технический доступ, но не может просматривать содержимое без служебной необходимости. Принцип минимальных привилегий.
Три месяца проходят быстро. Задач много. Откладывание выполнения до последнего момента ведет к спешке, ошибкам, формальному подходу. Лучше начинать сразу после принятия решения об обработке персональных данных.
Техническая защита зависит от класса информационной системы. Классов четыре, требования различаются кардинально.
Четвертый класс это системы с общедоступными персональными данными или данными, не позволяющими идентифицировать субъекта без дополнительной информации. Обрабатываете только фамилии без имен и отчеств, только email без привязки к конкретным людям. Требования минимальны. Достаточно базовой защиты операционной системы, антивирусного программного обеспечения, политики сложных паролей.
Третий класс охватывает системы, где обрабатываются персональные данные без специальных категорий. ФИО, адреса, телефоны, email с привязкой к конкретным людям. Интернет-магазины, CRM-системы с базами клиентов, HR-системы с личными делами сотрудников попадают сюда. Требования выше. Нужно антивирусное ПО, межсетевой экран, система обнаружения и предотвращения вторжений, средства контроля целостности, разграничение доступа на уровне операционной системы и приложений.
Второй класс включает системы со специальными категориями персональных данных или биометрическими данными. Расовая принадлежность, национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, судимости. Биометрия: отпечатки пальцев, рисунок радужной оболочки глаза, геометрия лица, голос. Медицинские информационные системы, системы контроля доступа с биометрией, HR-системы с данными о судимостях работают со вторым классом. Требуются сертифицированные ФСТЭК средства защиты. ViPNet Coordinator для защиты сетевого взаимодействия. КриптоПро CSP для криптографической защиты. Системы защиты баз данных, прошедшие сертификацию. Средства многофакторной аутентификации.
Первый класс это системы, обрабатывающие персональные данные в больших объемах. Более ста тысяч субъектов персональных данных. Банковские системы, федеральные медицинские информационные системы, крупные интернет-площадки попадают в первый класс. Требования максимальны. Все сертифицированные средства из второго класса плюс дополнительные меры. Физическое разделение сегментов сети. Системы предотвращения утечек данных. Средства анализа защищенности и контроля соответствия требованиям. Системы управления информацией о безопасности и событиями безопасности. Регулярный аудит безопасности внешними организациями.
Определение класса системы задача не тривиальная. От класса зависят затраты на защиту. Разница между четвертым и первым классом исчисляется порядками величин. Десятки тысяч против миллионов рублей на внедрение и поддержку средств защиты.
Ошибка в определении класса ведет к двум вариантам проблем. Завысили класс тратите деньги на избыточные меры защиты. Занизили класс нарушаете требования законодательства, рискуете получить штрафы при проверке.
Методика определения класса описана в Постановлении Правительства РФ N1119. Учитываются категории персональных данных, количество субъектов, актуальность угроз. Расчет ведется по формализованным правилам. При сомнениях привлекайте специалистов или получайте консультацию в территориальном органе Роскомнадзора.
Нарушение требований к защите персональных данных влечет ответственность. Три направления последствий.
Гражданско-правовая ответственность. Субъект персональных данных, чьи права нарушены, вправе требовать компенсацию морального вреда через суд. Размер компенсации определяет суд исходя из характера нарушения, объема причиненных страданий, степени вины оператора. Прецеденты показывают: суммы варьируются от нескольких тысяч до сотен тысяч рублей на одного пострадавшего. При массовых утечках данных совокупная сумма выплат достигает миллионов.
Административная ответственность. Роскомнадзор проводит проверки, выявляет нарушения, выносит предписания об их устранении. Штрафы налагаются по статье 13.11 Кодекса об административных правонарушениях. Для юридических лиц от тридцати тысяч до семидесяти пяти тысяч рублей. При повторных нарушениях суммы увеличиваются. Контролирующий орган вправе обратиться в суд с требованием о приостановлении обработки персональных данных до устранения нарушений.
Репутационные потери. Публичная утечка персональных данных клиентов разрушает доверие. Клиенты уходят к конкурентам. Новые клиенты не приходят, потому что видели новости об инциденте. Восстановление репутации занимает годы и требует значительных инвестиций в маркетинг.
Три месяца на организацию базовой защиты. Класс системы определяет набор технических средств. Нарушения ведут к штрафам, искам, потере клиентов. Проще и дешевле выполнить требования сразу, чем исправлять последствия инцидента.
Пункт 2. Ответственность оператора и требования к подрядчикам
Безопасность персональных данных при их обработке в информационной системе персональных
данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку
персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Для выполнения работ по обеспечению безопасности персональных данных при их обработке в
информационной системе в соответствии с законодательством Российской Федерации могут привлекаться
на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на
деятельность по технической защите конфиденциальной информации.
Ответственность за безопасность персональных данных несет оператор. Всегда. Без исключений.
Оператор это организация, которая определяет цели и содержание обработки персональных данных. Интернет-магазин собирает данные клиентов для доставки товаров. Клиника собирает медицинские данные для лечения пациентов. Компания собирает данные сотрудников для выплаты зарплаты. Они операторы.
Многие операторы передают техническую обработку данных подрядчикам. Хостинг-провайдеру для размещения баз данных. ИТ-компании для разработки и поддержки информационных систем. Аутсорсинговому центру для обработки заявок клиентов. Это не снимает ответственность с оператора.
Договор с подрядчиком распределяет обязанности, но не ответственность. Подрядчик обязуется обеспечить техническую защиту. Оператор обязуется контролировать выполнение этих обязательств. При утечке отвечает оператор перед субъектами персональных данных и контролирующими органами.
Судебная практика это подтверждает без вариантов. Утечка произошла на стороне подрядчика, сервера были взломаны, подрядчик не установил обновления безопасности. Штраф получает оператор. Иски от пострадавших подаются к оператору. Оператор потом разбирается с подрядчиком в рамках договорных отношений, но это внутреннее дело.
Интернет-магазины передавали обработку платежных данных процессинговым центрам. Процессинговые центры допускали утечки. Магазины платили штрафы и компенсации клиентам. Клиники заключали договоры с ИТ-компаниями на ведение электронных медицинских карт. ИТ-компании размещали базы на незащищенных серверах. Клиники отвечали перед пациентами и Роскомнадзором. Банки передавали колл-центры на аутсорсинг. Операторы колл-центров сливали базы клиентов. Банки несли репутационные и финансовые потери.
Почему так. Оператор выбрал подрядчика. Оператор заключил договор. Оператор определил условия обработки данных. Оператор обязан контролировать соблюдение требований безопасности. Если что-то пошло не так, значит оператор не обеспечил должный контроль.
Ссылка на договор с подрядчиком не работает как оправдание. Суды и контролирующие органы позицию не меняют. В договоре написано, что подрядчик несет ответственность? Прекрасно. Это основание для регресса, но не для освобождения оператора от ответственности перед третьими лицами.
Работа с подрядчиками требует проверки их квалификации и возможностей. Не все виды работ с персональными данными требуют лицензии ФСТЭК России. Разберем, где лицензия нужна, где нет.
Лицензия ФСТЭК обязательна для трех типов работ.
Проектирование систем защиты информации персональных данных. Подрядчик разрабатывает архитектуру защиты, выбирает средства, создает техническую документацию. Это лицензируемая деятельность. Без лицензии выполнять нельзя.
Установка и настройка сертифицированных средств защиты информации. Подрядчик устанавливает межсетевой экран, настраивает систему обнаружения вторжений, внедряет средства контроля доступа. Лицензия нужна обязательно.
Аудит защищенности информационных систем персональных данных. Подрядчик проверяет эффективность существующих мер защиты, выявляет уязвимости, дает рекомендации. Лицензия ФСТЭК требуется.
Работы, не требующие лицензии ФСТЭК.
Хостинговое обслуживание. Провайдер предоставляет серверные мощности, обеспечивает работоспособность оборудования, следит за каналами связи. Не проектирует защиту, не настраивает специализированные средства. Лицензия не нужна.
Разработка веб-сайтов и приложений без внедрения механизмов защиты информации. Программист создает интерфейс, пишет бизнес-логику, интегрирует с платежными системами. Не занимается защитой персональных данных на уровне инфраструктуры. Лицензия не требуется.
Техническая поддержка базовых сервисов. Администратор следит за работой серверов, устанавливает обновления операционной системы, решает текущие технические проблемы. Не проектирует и не настраивает средства защиты информации. Лицензия не нужна.
Граница между лицензируемыми и нелицензируемыми работами не всегда очевидна. Администратор настраивает разграничение доступа в операционной системе это базовая настройка или внедрение средства защиты? Зависит от контекста. Простое создание учетных записей и назначение прав лицензии не требует. Проектирование и внедрение комплексной системы управления доступом требует.
При сомнениях смотрите на договор. Если в договоре прописаны работы по проектированию систем защиты, установке сертифицированных средств, проведению аудита безопасности, подрядчик должен иметь лицензию ФСТЭК. Если в договоре техническая поддержка, хостинг, разработка функционала без упоминания защиты информации, лицензия не обязательна.
Проверка подрядчика перед заключением договора обязательна. Последовательность действий простая, но многие ее игнорируют.
Запросите у подрядчика копию лицензии ФСТЭК. Оригинал или нотариально заверенную копию. Скан по электронной почте не подходит для серьезной проверки. Можно начать с скана для первичной оценки, но перед подписанием договора требуйте заверенную копию.
Проверьте лицензию в реестре на официальном сайте ФСТЭК России. Зайдите на fstec.ru, найдите раздел с реестром лицензий. Введите название организации или номер лицензии в форму поиска. Убедитесь, что лицензия действующая, не приостановленная, не аннулированная.
Сверьте виды работ в договоре с разрешенными видами деятельности в лицензии. Лицензия может разрешать одни работы и не разрешать другие. Подрядчик имеет лицензию на проектирование систем защиты, но не имеет лицензии на аудит. В договор включаете проведение аудита. Подрядчик не вправе его выполнять, договор в этой части незаконен.
Проверьте срок действия лицензии. Лицензия выдается на пять лет. Договор заключаете на три года. Лицензия истекает через год. Через год подрядчик юридически не может выполнять работы. Требуйте включения в договор обязательства продлить лицензию или предоставить подтверждение продления.
Требуйте ежегодного подтверждения актуальности лицензии. Лицензию могут приостановить или аннулировать за нарушения в течение срока действия. Раз в год запрашивайте у подрядчика справку о том, что лицензия действует. Самостоятельно проверяйте в реестре ФСТЭК.
Пропуск проверки лицензии ведет к рискам. Подрядчик работает без лицензии. Контролирующие органы выявляют нарушение. Оператор получает предписание, штраф, требование расторгнуть договор с нелицензированным подрядчиком. Работы приходится переделывать с другим подрядчиком. Дополнительные затраты, остановка проектов, репутационные потери.
Контроль за подрядчиком не заканчивается после заключения договора. Контроль ведется постоянно на всем протяжении сотрудничества.
Анализируйте журналы доступа к персональным данным. Подрядчик имеет технический доступ к системам. Кто из сотрудников подрядчика заходил в систему. Когда заходил. Какие действия выполнял. Журналы показывают реальную картину. Доступ в нерабочее время без согласования? Вопрос к подрядчику. Массовая выгрузка данных без служебной необходимости? Немедленное расследование.
Требуйте регулярных отчетов о состоянии защиты информации. Ежемесячно или ежеквартально в зависимости от критичности данных. Отчет должен содержать информацию о проведенных работах, выявленных инцидентах, установленных обновлениях безопасности, изменениях в конфигурации средств защиты. Формальные отчеты не годятся. Нужна конкретика: что сделано, почему сделано, какой результат.
Проводите внеплановые проверки при подозрительной активности. Резко возросло количество обращений к базе данных. Пользователи жалуются на медленную работу системы. В логах появились непонятные записи. Не ждите планового отчета, требуйте немедленного объяснения от подрядчика. Подозрительная активность может быть признаком инцидента безопасности.
Отсутствие контроля за подрядчиком приравнивается к отсутствию мер защиты. Юридически и фактически. Оператор не контролирует подрядчика, не проверяет его работу, не анализирует журналы. Произошла утечка. Оператор говорит: мы передали все подрядчику, он должен был обеспечить защиту. Суд и Роскомнадзор отвечают: вы обязаны были контролировать. Не контролировали, значит не обеспечили защиту.
Небольшие организации иногда отказываются от подрядчиков и выполняют работы своими силами. Это допустимо при соблюдении условий.
Руководитель должен назначить ответственное лицо из числа штатных сотрудников. Приказом с указанием ФИО, должности, конкретных обязанностей в области защиты персональных данных. Ответственность без полномочий не работает. Сотрудник должен иметь возможность принимать решения, выделять ресурсы, требовать от других подразделений выполнения мер безопасности.
Сотрудник должен пройти обучение по программам в области защиты персональных данных. Профильные курсы объемом не менее семидесяти двух академических часов. Программа обучения должна быть согласована с требованиями ФСТЭК. По окончании обучения выдается удостоверение о повышении квалификации или диплом о профессиональной переподготовке. Без обучения назначение формально и юридически уязвимо.
Руководитель должен обеспечить сотруднику ресурсы для выполнения задач. Время для работы над вопросами безопасности, а не попутно с основными обязанностями. Бюджет на приобретение средств защиты, обновление программного обеспечения, привлечение внешних консультантов при необходимости. Доступ к информации о структуре информационных систем, составе обрабатываемых данных, планах развития инфраструктуры.
Самостоятельное выполнение работ подходит для небольших организаций с простыми информационными системами. Интернет-магазин с базой клиентов до десяти тысяч человек. Консалтинговая компания с HR-системой для ста сотрудников. Небольшая клиника с электронными картами пациентов. Назначили грамотного системного администратора, обучили, дали полномочия. Он справится.
Крупные организации со сложной инфраструктурой и большими объемами данных не обойдутся одним ответственным сотрудником. Нужна команда специалистов или привлечение подрядчиков. Банк с миллионами клиентов. Федеральная торговая сеть с сотнями магазинов. Крупная медицинская сеть. Масштаб требует профессионалов и специализированных решений.
Нарушение правил ответственности и работы с подрядчиками ведет к последствиям. Три уровня проблем.
Оператор несет полную ответственность независимо от наличия договора с подрядчиком. Утечка произошла, виноват подрядчик. Субъекты персональных данных и контролирующие органы предъявляют претензии оператору, а не подрядчику. Оператор отвечает в полном объеме. Потом оператор может обратиться к подрядчику за возмещением убытков в рамках договора, но это отдельный процесс.
Ссылка на договор не освобождает от ответственности. Суд не принимает аргумент: у нас был договор, подрядчик обещал защитить данные, претензии к нему. Суд спрашивает: вы контролировали выполнение обязательств подрядчика? Проверяли журналы доступа? Требовали отчеты? Проводили аудит? Нет? Значит вы не обеспечили защиту данных.
Штрафы варьируются в широких пределах. Для юридических лиц от тридцати тысяч до миллионов рублей в зависимости от тяжести нарушения. Для должностных лиц, включая руководителя организации, от десяти тысяч до пятидесяти тысяч рублей. Повторные нарушения увеличивают суммы.
Контролирующие органы могут приостановить обработку персональных данных. Роскомнадзор обращается в суд с требованием запретить оператору обработку до устранения нарушений. Суд удовлетворяет требование. Оператор обязан прекратить работу с персональными данными. Интернет-магазин не может принимать заказы. Клиника не может вести электронные медицинские карты. HR-система останавливается. Бизнес парализован.
Ответственность лежит на операторе. Подрядчик не заменяет оператора, а работает под его контролем. Лицензия ФСТЭК обязательна для определенных видов работ. Проверка подрядчика и постоянный контроль за ним не опциональны, а обязательны. Нарушения бьют по оператору штрафами, исками, остановкой бизнеса.
Пункт 3. Определение актуальных угроз безопасности персональных данных
Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты
персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их
обработке в информационных системах персональных данных, утвержденными постановлением
Правительства Российской Федерации от 1 ноября 2012 г. N 1119, и должны быть направлены на
нейтрализацию актуальных угроз безопасности персональных данных.
Система защиты персональных данных это не набор разрозненных инструментов. Антивирус отдельно, межсетевой экран отдельно, политика паролей где-то в третьем месте. Работает только связанная структура, где каждый элемент выполняет свою функцию в общей схеме нейтрализации угроз.
Постановление Правительства РФ N1119 устанавливает правила построения такой системы. Документ определяет, как классифицировать информационные системы, какие угрозы для них актуальны, какие меры защиты применять.
Категорирование информационных систем начинается с анализа обрабатываемых данных. Три фактора определяют категорию.
Тип персональных данных. Общедоступные это одно. ФИО, адрес, телефон с согласия субъекта. Специальные категории это другое. Данные о расовой принадлежности, национальности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни, судимости. Биометрия третье. Отпечатки пальцев, рисунок радужки, геометрия лица, голос.
Объем обрабатываемых данных. До ста тысяч субъектов персональных данных или больше. Граница не случайна. Системы с большими объемами привлекательнее для атак. Утечка данных миллиона пользователей создает больший ущерб, чем утечка данных тысячи.
Актуальность угроз безопасности. Высокий, средний или низкий уровень. Определяется через анализ возможностей потенциальных нарушителей, используемых технологий, условий эксплуатации системы.
Интернет-магазин с базой клиентов. Обрабатывает ФИО, адреса доставки, телефоны, email. Пятьдесят тысяч клиентов. Система доступна через интернет, данные хранятся на арендованных серверах. Угрозы среднего уровня. Категория третья.
Медицинская клиника с электронными картами пациентов. Обрабатывает результаты анализов, диагнозы, назначения врачей. Двадцать тысяч пациентов. Специальные категории персональных данных о состоянии здоровья. Угрозы среднего уровня. Категория вторая, требования выше.
Банк с розничными услугами. Обрабатывает паспортные данные, ИНН, СНИЛС, сведения о счетах и транзакциях. Три миллиона клиентов. Система критична для бизнеса, подвергается целенаправленным атакам. Угрозы высокого уровня. Категория первая, максимальные требования.
Категория определяет класс защищенности информационной системы. Четыре класса от первого до четвертого. Первый класс самые жесткие требования. Четвертый класс минимальные требования.
Класс привязан к категории по формализованным правилам. Специальные категории данных или биометрия плюс объем более ста тысяч субъектов плюс высокий уровень угроз дают первый класс. Те же данные с объемом менее ста тысяч или средним уровнем угроз дают второй класс. Общие персональные данные без специальных категорий с любым объемом дают третий класс. Обезличенные или общедоступные данные дают четвертый класс.
Ошибка в определении класса ведет к проблемам. Завысили класс покупаете избыточные средства защиты, тратите деньги без необходимости. Занизили класс нарушаете требования законодательства, рискуете штрафами при проверке, оставляете систему уязвимой.
Расчет класса требует внимания к деталям. Система обрабатывает данные разных категорий. HR-система содержит общие данные сотрудников и специальные данные о судимостях для определенных должностей. Класс определяется по наиболее чувствительным данным. Наличие специальных категорий повышает класс независимо от их доли в общем объеме.
Модель угроз безопасности персональных данных строится после определения класса системы. Модель описывает конкретные риски для конкретной информационной системы. Шаблонные модели не подходят. Угрозы для интернет-магазина отличаются от угроз для медицинской клиники, угрозы для банка отличаются от обоих.
Построение модели начинается с описания информационной системы. Где размещены серверы. Как организован доступ пользователей. Какие технологии используются для обработки данных. Какие каналы связи задействованы. Сколько сотрудников имеет доступ к персональным данным. Какие подрядчики участвуют в обработке.
Потенциальные нарушители классифицируются на внешних и внутренних.
Внешние нарушители находятся за пределами организации. Мотивация различается. Финансовая выгода от продажи украденных баз данных. Конкурентная разведка для получения преимуществ. Хактивизм для политических или идеологических целей. Ресурсы варьируются от любителей с базовыми навыками до профессиональных групп с серьезным финансированием и временем на подготовку атаки.
Внутренние нарушители это сотрудники организации или подрядчики с легитимным доступом. Мотивация тоже различается. Месть после конфликта с руководством. Финансовая выгода от продажи данных конкурентам. Халатность без злого умысла. Возможности ограничены должностными правами, но расширяются за счет знания внутренней инфраструктуры, процессов, слабых мест защиты.
Каналы несанкционированного доступа определяются архитектурой системы.
Для систем с веб-интерфейсом основной канал интернет. Атаки через уязвимости веб-приложений. SQL-инъекции для извлечения данных из базы. Межсайтовый скриптинг для кражи сессий пользователей. Подбор паролей через незащищенные формы входа.
Для корпоративных систем без прямого доступа из интернета канал внутренняя сеть. Несанкционированное подключение устройств к локальной сети. Перехват трафика между рабочими станциями и серверами. Эксплуатация уязвимостей в сетевых протоколах.
Для мобильных сценариев каналы множатся. Беспроводные сети Wi-Fi без шифрования. Съемные носители с автозапуском вредоносного ПО. Удаленный доступ через VPN с слабой аутентификацией.
Уязвимости фиксируются максимально конкретно. Не "слабая защита", а "использование пароля admin/admin для доступа к панели управления базой данных". Не "недостаточный контроль доступа", а "все сотрудники отдела продаж имеют права чтения и записи ко всей клиентской базе вместо доступа только к своим клиентам".
Типичные уязвимости повторяются в разных организациях.
Устаревшее программное обеспечение без установленных обновлений безопасности. Известные уязвимости закрыты патчами месяцы или годы назад, но патчи не установлены. Публичные эксплойты доступны в интернете, атака не требует высокой квалификации.
Слабые пароли или пароли по умолчанию. Пользователи выбирают простые комбинации. Администраторы не меняют заводские настройки оборудования. Подбор паролей занимает минуты при автоматизированной атаке.
Открытые сетевые порты и сервисы. Сканирование сети показывает доступные службы. Устаревшие версии серверного ПО с известными уязвимостями. Отсутствие сегментации сети позволяет атакующему перемещаться между системами после первичного проникновения.
Отсутствие шифрования при передаче данных. Пароли и персональные данные передаются открытым текстом. Перехват трафика в локальной сети или на общедоступном Wi-Fi дает доступ к информации.
Недостаточное разграничение прав доступа. Принцип минимальных привилегий не соблюдается. Сотрудники имеют избыточные права. Бывшие сотрудники сохраняют доступ после увольнения из-за отсутствия процедуры отзыва учетных записей.
Отсутствие журналирования или недостаточная детализация журналов. События доступа к персональным данным не фиксируются. Невозможно отследить действия пользователей при расследовании инцидента. Журналы не защищены, могут быть изменены или удалены нарушителем.
Сценарии реализации угроз описывают цепочку действий нарушителя от начала до достижения цели.
Сценарий внешней атаки на интернет-магазин. Нарушитель сканирует веб-приложение автоматизированными инструментами. Обнаруживает SQL-инъекцию в форме поиска товаров. Эксплуатирует уязвимость, извлекая данные из базы порциями. Получает таблицу пользователей с хешами паролей, ФИО, адресами, телефонами. Расшифровывает слабые хеши офлайн. Продает базу в теневом сегменте интернета.
Сценарий внутренней угрозы в HR-отделе. Сотрудник отдела кадров имеет доступ к базе данных всех работников. После конфликта с руководством решает уволиться и забрать данные. Экспортирует таблицу с персональными данными, зарплатами, контактами в файл. Копирует файл на личный USB-накопитель. После увольнения передает данные конкурирующей компании за вознаграждение.
Сценарий кражи устройства. Врач медицинской клиники работает с ноутбуком, на котором хранятся электронные медицинские карты пациентов. Ноутбук не зашифрован. Врач оставляет ноутбук в автомобиле во время обеденного перерыва. Злоумышленник крадет ноутбук. Извлекает жесткий диск, подключает к другому компьютеру. Получает доступ ко всем файлам, включая персональные данные тысяч пациентов.
Вероятность реализации угрозы оценивается по трем уровням: высокая, средняя, низкая. Оценка основана на доступности средств атаки, требуемой квалификации нарушителя, наличии защитных мер.
SQL-инъекции в публично доступном веб-приложении без фильтрации входных данных высокая вероятность. Атака проста, инструменты доступны, тысячи сканеров постоянно ищут уязвимости.
Кража устройств с персональными данными средняя вероятность. Зависит от физической безопасности, частоты перемещения устройств, наличия шифрования.
Целенаправленная атака на внутреннюю сеть организации с проникновением через многоуровневую защиту низкая вероятность для небольших компаний. Требует значительных ресурсов, квалификации, времени. Актуально для крупных организаций или стратегически важных систем.
Потенциальный ущерб оценивается по масштабу последствий. Минимальный ущерб затрагивает нескольких субъектов, не влечет серьезных репутационных потерь. Средний ущерб затрагивает сотни или тысячи субъектов, требует расследования, может привести к штрафам. Критический ущерб затрагивает десятки или сотни тысяч субъектов, разрушает репутацию, ведет к массовым искам, значительным штрафам, возможному уголовному преследованию руководителей.
Результаты анализа угроз фиксируются в двух документах.
Модель угроз безопасности персональных данных. Содержит описание информационной системы, перечень потенциальных нарушителей с характеристиками возможностей и мотивации, список каналов несанкционированного доступа, детализацию уязвимостей, сценарии реализации угроз с оценкой вероятности и ущерба.
Акт определения актуальных угроз. Краткий документ, перечисляющий угрозы, признанные актуальными для данной информационной системы. Служит основанием для выбора мер защиты.
Оба документа утверждает руководитель организации или уполномоченное им лицо. Дата утверждения фиксируется. Документы хранятся в защищенном месте, доступ ограничен ответственными лицами.
Модель угроз не статична. Пересмотр требуется при любых значимых изменениях.
Внедрение нового программного обеспечения добавляет компоненты в систему. Новые уязвимости, новые каналы атак. Перед запуском в эксплуатацию модель обновляется.
Изменение состава обрабатываемых персональных данных влияет на класс системы и актуальность угроз. Начали собирать биометрию для входа в систему класс повышается, требования ужесточаются.
Расширение инфраструктуры создает новые точки входа. Открыли удаленный доступ для сотрудников канал через VPN появляется в модели. Подключили мобильное приложение для клиентов анализ защиты мобильной платформы добавляется.
Выявление новых типов атак в отрасли требует актуализации. Конкуренты столкнулись с атакой определенного типа вероятность для вашей системы возрастает, модель корректируется.
Регулярный пересмотр проводится минимум раз в три года одновременно с оценкой эффективности мер защиты. Чаще при динамичной среде.
ФСТЭК России публикует базовые модели угроз для типовых систем. Модель для информационных систем общего назначения без специальных требований. Модель для систем с доступом из интернета. Модель для автоматизированных систем управления. Эти модели служат отправной точкой, но требуют адаптации под конкретную конфигурацию организации.
Самостоятельная разработка модели угроз возможна при наличии в штате специалиста с компетенциями в области информационной безопасности. Специалист должен понимать архитектуру информационных систем, методы атак, средства защиты. Обучение по программам защиты персональных данных обязательно.
Для сложных систем или при отсутствии компетенций привлекаются внешние организации. Лицензия ФСТЭК России на техническую защиту конфиденциальной информации обязательна для таких работ. Подрядчик проводит обследование информационной системы, интервьюирует ответственных лиц, анализирует технические настройки, составляет модель угроз.
Стоимость разработки модели угроз внешним подрядчиком зависит от сложности системы. Для небольшой организации с простой инфраструктурой затраты начинаются от нескольких десятков тысяч рублей. Для крупной организации с распределенной инфраструктурой, множеством систем, территориально разнесенными площадками затраты достигают сотен тысяч или миллионов.
Экономия на разработке модели угроз ведет к неэффективной защите. Меры выбираются наугад без привязки к реальным рискам. Избыточные меры в одних местах, пробелы в других. Деньги тратятся, защиты нет.
Контролирующие органы при проверках запрашивают модель угроз и акт определения актуальных угроз. Отсутствие документов рассматривается как нарушение требований законодательства. Предписание об устранении нарушения выдается немедленно. Штраф по статье 19.7 КоАП РФ за непредставление сведений применяется при отказе предоставить документы.
Формальная модель угроз без анализа реальной системы тоже выявляется при проверке. Инспектор задает вопросы о конкретных элементах инфраструктуры. Почему не учтена угроза через мобильные устройства сотрудников, если в системе есть удаленный доступ. Почему не описан канал через подрядчиков, если техническое обслуживание передано на аутсорсинг. Несоответствие документа реальности приравнивается к отсутствию модели.
При инциденте с утечкой персональных данных отсутствие актуальной модели угроз считается отягчающим обстоятельством. Оператор не провел анализ, не выявил уязвимости, не применил соответствующие меры защиты. Размер штрафа увеличивается. Вероятность приостановления обработки данных возрастает.
Модель угроз служит инструментом управления рисками. Выявляет слабые места до того, как их эксплуатируют. Позволяет приоритизировать инвестиции в защиту. Критичные угрозы с высокой вероятностью и большим ущербом закрываются первыми. Менее значимые откладываются при ограниченном бюджете.
Без модели угроз система защиты строится вслепую. С моделью решения осознанны и обоснованы.
Пункт 4. Выбор и применение средств защиты информации в системе защиты персональных данных
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством
применения в информационной системе средств защиты информации, прошедших в установленном порядке
процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации
актуальных угроз безопасности персональных данных.
Модель угроз готова, актуальные риски выявлены. Оператор переходит к выбору средств защиты для их нейтрализации. Выбор не произвольный. Требования к средствам защиты информации определяются классом информационной системы и конкретными угрозами из модели.
Сертификация средств защиты информации подтверждает их соответствие заявленным характеристикам безопасности. Сертификат выдается после испытаний в аккредитованной лаборатории. Испытания проверяют функции защиты, устойчивость к атакам, отсутствие не декларированных возможностей.
Два ведомства выдают сертификаты на средства защиты информации. ФСТЭК России сертифицирует средства защиты от несанкционированного доступа, межсетевые экраны, системы обнаружения вторжений, антивирусное программное обеспечение, средства контроля съемных носителей. ФСБ России сертифицирует криптографические средства защиты информации для шифрования данных и электронной подписи.
Обязательность применения сертифицированных средств зависит от класса системы и результатов анализа угроз.
Для первого и второго классов информационных систем применение сертифицированных средств обязательно всегда. Без исключений. Все технические меры защиты реализуются через продукты с действующими сертификатами ФСТЭК или ФСБ.
Для третьего и четвертого классов обязательность избирательна. Сертифицированные средства применяются только когда модель угроз выявляет необходимость конкретных функций защиты, которые не могут быть реализованы встроенными механизмами операционных систем и приложений.
Разберем логику избирательности. Четвертый класс это система с минимальными рисками. Обрабатываются общедоступные данные, объем небольшой, угрозы низкого уровня. Модель угроз показывает актуальность базовых рисков вирусное заражение через электронную почту, несанкционированный локальный доступ при физическом присутствии. Встроенный антивирус операционной системы нейтрализует первую угрозу. Разграничение доступа средствами ОС нейтрализует вторую. Сертифицированные продукты не требуются.
Третий класс это корпоративная система. CRM с базой клиентов, HR-система с данными сотрудников. Модель угроз выявляет внешние атаки через интернет, внутренние угрозы от сотрудников с избыточными правами, риск кражи резервных копий. Встроенные механизмы не справляются. Нужен сертифицированный межсетевой экран для защиты от внешних атак. Нужна сертифицированная система управления доступом для детального разграничения прав. Нужно сертифицированное средство шифрования для защиты резервных копий.
Проверка наличия действующего сертификата проводится перед закупкой средства защиты. Последовательность простая, выполняется за несколько минут.
Откройте официальный сайт ФСТЭК России по адресу fstec.ru. Перейдите в раздел "Документы и НМД", затем в подраздел "Реестры". Найдите "Реестр сертифицированных средств защиты информации". Введите название продукта или производителя в форму поиска.
Результат поиска покажет карточку средства защиты. Проверьте несколько критических параметров.
Статус сертификата. Должен быть "Действующий". Статусы "Приостановлен", "Аннулирован", "Истек срок действия" означают, что средство нельзя применять для защиты персональных данных.
Срок действия сертификата. Указана дата окончания. Если срок истекает в течение года, уточните у производителя планы по продлению. Закупать средство с истекающим сертификатом рискованно. Останетесь без поддержки и нарушите требования законодательства.
Версия продукта. Сертификат часто действует только для конкретных версий. Сертифицирована версия 5.2, а производитель продает версию 6.0. Новая версия не имеет сертификата, применять ее нельзя. Либо покупайте старую сертифицированную версию, либо ждите сертификации новой.
Область применения. В примечаниях к сертификату могут быть ограничения. Средство сертифицировано только для использования в государственных информационных системах. Коммерческая организация не может его применять. Средство сертифицировано для систем определенного класса защищенности. Применение в системах других классов недопустимо.
Класс защиты средства. Средства защиты информации классифицируются по уровням доверия. Классы от первого до шестого, где первый наивысший. Класс средства должен соответствовать требованиям для уровня защищенности информационной системы. Для первого уровня защищенности системы требуются средства не ниже четвертого класса. Для второго уровня не ниже пятого класса. Для третьего уровня не ниже шестого класса.
Производитель может заявлять о сертификации, но не предоставлять номер сертификата или ссылку на реестр. Проверяйте самостоятельно. Отсутствие средства в реестре означает отсутствие сертификата, несмотря на заявления продавца.
Тестирование средства защиты перед внедрением в промышленную эксплуатацию обязательно. Сертификат подтверждает соответствие заявленным функциям в лабораторных условиях. Работа в вашей конкретной инфраструктуре может отличаться. Совместимость с существующим программным обеспечением, влияние на производительность, удобство администрирования проверяются на практике.
Разверните тестовую среду, максимально похожую на продуктивную. Те же операционные системы, те же версии баз данных, те же бизнес-приложения. Установите средство защиты согласно инструкциям производителя. Настройте базовую конфигурацию для нейтрализации выявленных в модели угроз.
Проверьте заявленные функции защиты. Межсетевой экран должен фильтровать трафик по заданным правилам. Создайте правила, запрещающие доступ с определенных IP-адресов. Попробуйте подключиться с этих адресов. Убедитесь, что соединение блокируется. Система обнаружения вторжений должна выявлять аномальную активность. Сымитируйте сканирование портов, попытку SQL-инъекции, перебор паролей. Проверьте, генерируются ли оповещения о подозрительной активности.
Измерьте влияние на производительность. Запустите типичные операции с персональными данными: открытие записей в CRM, выполнение отчетов, резервное копирование базы данных. Зафиксируйте время выполнения без средства защиты. Установите средство, повторите операции. Сравните результаты.
Падение производительности до десяти процентов приемлемо для большинства систем. Пользователи не заметят замедления. Падение на двадцать-тридцать процентов создает дискомфорт, но допустимо для систем с некритичными требованиями к скорости. Падение более чем на треть делает решение непригодным. Пользователи будут жаловаться, работа замедлится, появятся попытки обойти защиту ради удобства.
Проверьте совместимость с ключевыми приложениями. CRM-система, ERP, специализированное отраслевое ПО должны работать корректно после установки средства защиты. Откройте приложение. Выполните типичные операции: создание записи, редактирование, удаление, генерация отчета. Убедитесь в отсутствии ошибок, зависаний, некорректного отображения данных.
Если критичное приложение перестает работать или работает некорректно, ищите причину. Средство защиты блокирует сетевые порты, необходимые приложению. Откорректируйте правила. Средство защиты конфликтует на уровне драйверов операционной системы. Обратитесь к производителю за обновлением или выберите альтернативное решение.
Тестирование занимает от нескольких дней до нескольких недель в зависимости от сложности инфраструктуры. Спешка на этапе тестирования ведет к проблемам после внедрения. Бизнес-процессы останавливаются, пользователи не могут работать, средство защиты приходится экстренно отключать. Время и деньги потрачены впустую, защита не работает.
Разные уровни защищенности систем требуют разных наборов средств защиты.
Первый уровень защищенности это максимальные требования. Системы обрабатывают специальные категории или биометрические персональные данные в больших объемах при высоком уровне угроз. Банковские системы, федеральные медицинские регистры, крупные государственные порталы.
Обязательный комплекс средств защиты для первого уровня включает несколько компонентов.
Сертифицированный межсетевой экран класса не ниже четвертого. Фильтрует входящий и исходящий сетевой трафик по заданным правилам. Блокирует несанкционированные соединения. Типичные продукты: Secret Net Studio, Континент, UserGate.
Сертифицированная система обнаружения и предотвращения вторжений класса не ниже четвертого. Анализирует сетевой трафик и системные события в реальном времени. Выявляет аномалии, характерные для атак. Блокирует подозрительную активность автоматически или по команде администратора. Продукты: PT Network Attack Discovery, Kaspersky Anti Targeted Attack Platform.
Сертифицированное средство защиты от несанкционированного доступа класса не ниже четвертого. Управляет доступом пользователей к ресурсам системы. Реализует разграничение прав на детальном уровне: кто, к каким данным, в какое время, с каких устройств может получить доступ. Контролирует целостность системных файлов. Регистрирует все действия пользователей. Продукты: Astra Linux Special Edition, Secret Net Studio, Dallas Lock.
Сертифицированное антивирусное программное обеспечение класса не ниже четвертого. Обнаруживает и нейтрализует вредоносное ПО. Сканирует файлы при их открытии, загрузке из интернета, получении по электронной почте. Обновляет базы сигнатур вирусов ежедневно. Продукты: Kaspersky Endpoint Security, Dr.Web Enterprise Security Suite.
Сертифицированные средства криптографической защиты информации. Шифруют персональные данные при хранении и передаче. Обеспечивают электронную подпись для подтверждения авторства и целостности документов. Продукты: КриптоПро CSP, ViPNet Coordinator, Signal-COM.
Система предотвращения утечек данных DLP. Контролирует передачу информации за пределы защищенного периметра. Блокирует отправку персональных данных через электронную почту, мессенджеры, облачные хранилища без авторизации. Анализирует содержимое файлов и сообщений. Продукты: InfoWatch Traffic Monitor, Secret Net Studio, SearchInform.
Средства контроля съемных носителей. Ограничивают использование USB-накопителей, внешних жестких дисков, SD-карт. Запрещают подключение неавторизованных устройств. Шифруют данные на разрешенных носителях. Регистрируют все операции копирования.
Система управления информационной безопасностью и событиями безопасности SIEM. Собирает логи со всех средств защиты и сетевого оборудования в единую базу. Коррелирует события для выявления сложных атак, состоящих из нескольких этапов. Визуализирует картину безопасности в реальном времени. Продукты: MaxPatrol SIEM, Kaspersky Unified Monitoring and Analysis Platform.
Стоимость комплексного решения для первого уровня защищенности начинается от нескольких миллионов рублей. Лицензии на средства защиты, услуги по внедрению, настройке, обучению администраторов, ежегодная техническая поддержка и обновления складываются в значительные суммы. Для крупных систем с распределенной инфраструктурой затраты достигают десятков миллионов.
Второй уровень защищенности требования чуть ниже, но все еще серьезные. Системы обрабатывают специальные категории или биометрию в меньших объемах или при среднем уровне угроз. Региональные медицинские информационные системы, HR-системы крупных компаний с данными о судимостях сотрудников, системы биометрического контроля доступа.
Набор средств защиты для второго уровня похож на первый, но класс средств может быть пятым вместо четвертого. Некоторые компоненты упрощаются или исключаются при отсутствии соответствующих угроз в модели.
SIEM-система может не требоваться, если объем событий безопасности невелик и администратор способен анализировать логи вручную. DLP-система может не нужна, если персональные данные не передаются за периметр организации или передача жестко контролируется организационными мерами.
Стоимость решения для второго уровня варьируется от нескольких сотен тысяч до нескольких миллионов рублей в зависимости от масштаба системы и выбранных продуктов.
Третий уровень защищенности это типичный случай для коммерческих организаций. Системы обрабатывают общие персональные данные без специальных категорий. Интернет-магазины, CRM-системы, корпоративные базы клиентов.
Требования к средствам защиты определяются моделью угроз. Обязательны только те средства, которые нейтрализуют выявленные актуальные угрозы.
Для системы с веб-интерфейсом, доступной из интернета, актуальны внешние атаки. Нужен межсетевой экран для фильтрации трафика. Класс средства шестой, требования к сертификации снижены по сравнению с первым уровнем. Нужна система обнаружения вторжений для выявления попыток эксплуатации уязвимостей веб-приложения.
Для корпоративной системы без доступа из интернета актуальны внутренние угрозы. Нужно средство контроля доступа для разграничения прав сотрудников. Нужен антивирус для защиты от вредоносного ПО, принесенного на съемных носителях или через электронную почту.
Встроенные механизмы операционных систем и приложений используются активно на третьем уровне. Windows Server имеет систему разграничения прав через Active Directory. Достаточно правильно настроить группы безопасности и политики доступа. PostgreSQL или MySQL имеют встроенное управление правами на уровне базы данных. Настройте роли и права на таблицы, представления, процедуры.
Сертифицированные средства добавляются только когда встроенных механизмов недостаточно. Модель угроз выявила риск кражи резервных копий базы данных. Встроенное резервное копирование не шифрует данные. Требуется сертифицированное средство шифрования для защиты резервных копий на съемных носителях или облачных хранилищах.
Стоимость решения для третьего уровня начинается от нескольких десятков тысяч рублей для небольших систем. Один-два сертифицированных продукта плюс грамотная настройка встроенных механизмов закрывают большинство угроз. Для более сложных систем затраты доходят до нескольких сотен тысяч.
Четвертый уровень защищенности минимальные требования. Системы обрабатывают общедоступные или обезличенные данные. Угрозы низкого уровня.
Достаточно базовых средств защиты без сертификации. Антивирус, встроенный в операционную систему или бесплатный продукт с регулярными обновлениями. Политика сложных паролей, настроенная средствами домена. Разграничение доступа через стандартные механизмы ОС. Регулярные обновления безопасности операционной системы и приложений.
Затраты на защиту четвертого уровня минимальны. Несколько тысяч рублей на коммерческий антивирус, если бесплатные варианты не устраивают. Время администратора на настройку встроенных механизмов.
Отсутствие сертифицированных средств при наличии требований к ним ведет к нарушению законодательства. Роскомнадзор при проверке запрашивает перечень применяемых средств защиты информации с копиями сертификатов. Сверяет перечень с требованиями для класса системы и актуальными угрозами из модели.
Средство не имеет сертификата, хотя требуется по классу системы. Нарушение зафиксировано. Предписание об устранении в течение тридцати дней. Штраф по статье 13.11 КоАП РФ. При повторной проверке средство все еще без сертификата повторный штраф в увеличенном размере.
Средство имеет сертификат, но класс защиты ниже требуемого. Для второго уровня защищенности требуется пятый класс средства, применяется шестой. Формально средство сертифицировано, но не соответствует требованиям. Нарушение, предписание, штраф.
Срок действия сертификата истек, а средство продолжает использоваться. Юридически это равносильно отсутствию сертификации. Оператор обязан либо обновить средство до версии с действующим сертификатом, либо заменить его другим продуктом.
При утечке персональных данных отсутствие требуемых сертифицированных средств рассматривается как грубое нарушение. Суды учитывают это при определении размера компенсации морального вреда пострадавшим. Контролирующие органы учитывают при принятии решения о приостановлении обработки персональных данных.
Обновление средств защиты требует внимания. Производители выпускают новые версии продуктов. Старые версии теряют поддержку, перестают получать обновления безопасности, становятся уязвимыми.
Следите за жизненным циклом применяемых средств. Подпишитесь на рассылку производителя о новых версиях и обновлениях. Планируйте миграцию на новые версии до истечения поддержки старых. Проверяйте сертификацию новых версий перед внедрением. Иногда новая версия выходит раньше, чем получает сертификат. Обновление на несертифицированную версию нарушает требования.
Сертифицированные средства защиты информации это инструмент нейтрализации угроз, выявленных в модели. Обязательность их применения определяется классом системы и актуальностью конкретных угроз. Проверка сертификатов, тестирование перед внедрением, своевременное обновление обязательны. Отсутствие требуемых средств ведет к штрафам, предписаниям, повышенной ответственности при инцидентах.
Пункт 5. Нумерация пунктов в приказе ФСТЭК №21
Официальная редакция приказа сохраняет нумерацию с пропуском. После пункта 4 следует пункт 6. Пятый пункт отсутствует. Пропуск не влияет на применение требований. Все меры остаются обязательными в соответствии с уровнями защищенности.
Пункт 6. Оценка эффективности принимаемых мер защиты персональных данных
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по
обеспечению безопасности персональных данных проводится оператором самостоятельно или с
привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих
лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Указанная оценка проводится не реже одного раза в 3 года.
Требование проводить оценку эффективности мер защиты раз в три года, прописанное в Приказе ФСТЭК России №21, на практике часто вырождается в формальность. Создается очередной акт, который кладут в папку до следующей проверки Роскомнадзора. Главная проблема такого подхода полное игнорирование организационного контекста. Настоящая оценка должна стать не инспекцией, а механизмом глубокой диагностики и улучшений, преодолевающим главное препятствие сопротивление персонала и структурную инерцию.
Это сопротивление закономерно. Для технических специалистов оценка выглядит как отвлечение от текущих аварийных работ и создание кипы никому не нужных бумаг. Для руководителей отделов дополнительная нагрузка на сотрудников, которая не приносит видимой пользы их операционным целям. Для рядовых сотрудников — это непонятные вопросы от службы безопасности, которые воспринимаются как недоверие или слежка. Если инициатор оценки не учитывает эти настроения, его ждет молчаливое саботаж или формальное участие, при котором реальное положение дел останется скрытым.
Следовательно, первый и самый важный шаг оценки переформулирование её цели для всех участников. Цель не «поймать» кого-то на нарушении и составить список замечаний. Истинная цель обнаружить разрывы между написанными правилами и реальными рабочими практиками, чтобы затем адаптировать эти правила под нужды бизнеса, сделав безопасность не врагом, а союзником эффективности. Без этого предварительного разъяснения, без вовлечения ключевых лиц на этапе планирования, вся последующая работа обречена.
Сама проверка тогда меняет фокус. Она начинается не с изучения настроек межсетевого экрана, а с серии диалогов. Интервью с руководителем отдела продаж о том, как клиентская база реально используется и передается, выявит больше уязвимостей, чем автоматическое сканирование. Разговор с главным бухгалтером о том, почему для срочного отчета используется личная почта, покажет пробел в регламентах, а не злой умысел. Этот этап анализ бизнес-процессов под углом зрения защиты данных является фундаментом. Технические средства (антивирусы, системы контроля доступа) проверяются затем не на факт их наличия, а на то, как они поддерживают или, наоборот, мешают выявленным процессам. Работает ли разграничение прав так, чтобы новый менеджер мог быстро начать работать с клиентами, но не имел доступа к финансовой отчетности? Или ради скорости все сидят под одной учетной записью?
Ключевой элемент, который отличает глубокую оценку от поверхностной, это проверка через моделирование. Вместо абстрактных вопросов о «действиях при инциденте» проводится контролируемое учебное событие. Например, отправка тестового фишингового письма.
Сколько человек перешло по ссылке?
Кто сообщил в службу безопасности?
Это даёт не оценку «знает/не знает», а точную карту зрелости культуры безопасности. Обсуждение результатов затем строится не на поиске виноватых, а на совместном поиске решения: «Почему это письмо выглядело убедительно? Как нам улучшить обучение?».
Физическая безопасность проверяется с той же логикой. Вопрос не в том, висит ли замок на серверной, а в том, соответствует ли журнал учета посещений реальной необходимости доступа. Если в серверную ежедневно заходят десять человек, но её обслуживанием занимается один внешний подрядчик, это указывает на системную проблему управления доступом, а не на исправность двери.
Итогом такой оценки становится не просто Акт с перечнем недостатков. Это Стратегический план интеграции безопасности, адресованный руководству. В нём технические замечания («обновить сигнатуры СОВ») увязываются с организационными выводами («пересмотреть регламент обмена данными между отделами продаж и поддержки»). Каждая рекомендация сопровождается обоснованием не только с точки зрения закона, но и бизнес-риска: что случится, если это не сделать, и как улучшение повысит операционную надёжность.
Эффективная оценка представляет собой непрерывный управленческий цикл, который проходит этапы диагностики, диалога и принятия решений. Её истинный успех измеряется не формальным отсутствием замечаний в отчётном акте, а тем, насколько её итоги приводят к реальным изменениям: оптимизации рабочих процессов, повышению осознанности сотрудников и, как следствие, к снижению конкретных, а не гипотетических, рисков для персональных данных. В этом своём качестве оценка выполняет системообразующую функцию, интегрируя разрозненные защитные меры в целостную и понятную для всей организации структуру, где для каждого участника определены своя роль и зона ответственности.
Пункт 7. Особенности защиты в государственных информационных системах
Меры по обеспечению безопасности персональных данных при их обработке в государственных
информационных системах принимаются в соответствии с требованиями о защите информации,
содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах
своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об
информации, информационных технологиях и о защите информации"
Приказ ФСТЭК России №21 устанавливает приоритет отдельных требований для государственных информационных систем. Общие положения приказа применяются, но дополняются или заменяются нормами по защите информации в ГИС.
Государственные информационные системы создаются для выполнения функций органов власти, предоставления услуг гражданам, обработки данных в государственных интересах. Статус системы подтверждается владельцем, источниками финансирования, нормативными актами. При неясностях оператор запрашивает разъяснения в ФСТЭК России.
Основной документ здесь Приказ ФСТЭК России №17 от 11 февраля 2013 года с изменениями. Он определяет меры защиты информации ограниченного доступа, не составляющей гостайну. Требования включают аттестацию системы, использование сертифицированных средств, организационные меры.
Когда в ГИС обрабатываются персональные данные, требования №17 применяются совместно с Постановлением Правительства РФ №1119 и Приказом №21. Модель угроз, уровни защищенности учитывают оба документа. Выбор средств защиты ориентируется на класс системы по №17.
Дополнительные меры в ГИС строже коммерческих систем. Обязательны сертифицированные средства российского происхождения. Сегментация сети с изоляцией критических компонентов. Многофакторная аутентификация для доступа. Шифрование при хранении и передаче данных. Аттестация системы на соответствие требованиям с участием лицензированных организаций.
Типичные ГИС порталы госуслуг, системы миграционного учета, пенсионные реестры, медицинские информационные системы федерального уровня. В них сочетаются меры по защите конфиденциальной информации и персональных данных.
Руководитель системы проверяет соответствие. Запрашивает документы на средства защиты, подтверждения сегментации, отчеты по аттестации, шифрованию. Несоответствия устраняются до ввода в эксплуатацию или при плановых проверках.
Нарушения в ГИС влекут повышенную ответственность. Административные штрафы по общим статьям КоАП РФ. Дисциплинарные меры для должностных лиц. При утечках возможна уголовная ответственность по статьям о неправомерном доступе к информации или нарушении неприкосновенности частной жизни.
Защита персональных данных в ГИС строится на специализированных требованиях ФСТЭК. Приказ №21 отсылает к ним для обеспечения приоритета. Оператор сочетает общие и специальные меры, проводит аттестацию, использует сертифицированные решения.