Рекомендации ФСТЭК по защите персональных данных

Персональные данные граждан, доверенные юридическим лицам и индивидуальным предпринимателям, имеют специальный режим защиты. Он определяется федеральными законами и подзаконными актами. Технические аспекты охраны, определяющие требования к методам и техническим средствам, используемым для их обработки, устанавливаются приказами ФСТЭК РФ.

Нормативно-правовое регулирование

Федеральный закон «О персональных данных» предполагает, что сведения о гражданах, их личной жизни, имущественном статусе и здоровье, хранящиеся и обрабатываемые в информационных сетях, не могут неправомерно попадать в распоряжение третьих лиц. Несовершенство систем обработки информации часто приводит к утечкам важных сведений, в том числе персональных данных. Утечки могут быть и случайными, и преднамеренными. Чтобы избежать таких ситуаций, способных причинить ущерб гражданам, разрабатываются специальные требования к информационным системам. Для организаций, признанных в установленном законом порядке операторами персональных данных, технические требования к системам их обработки устанавливаются приказами ФСТЭК РФ.

Сейчас действует приказ № 21, вступивший в силу в 2013 году, определяющий технические и организационные меры по защите персональных данных. Он неоднократно дополнялся и изменялся, ориентируясь на требования момента. Последняя редакция была принята в 2017 году. В структуре документа, в приложении, определяющем состав мер, содержатся рекомендации, регулирующие:

• идентификацию и аутентификацию лиц, которых операторы допускают к обработке персональных данных;
• управление системой доступа к ним;
• программную среду и ее ограничения;
• физическую защиту компьютеров, содержащих информацию, относящуюся к персональным данным;
• порядок регистрации инцидентов безопасности;
• порядок организации антивирусной защиты;
• способы фиксации проникновения в защищенный информационный периметр;
• контроль защищенности персональных данных;
• защиту технических средств.

Выбор мер организационной и технической защиты персональных данных зависит от класса защищенности информационной системы, определяемого по правилам, установленным Постановлением Правительства № 1119.

Применение приказа ФСТЭК РФ

Выход документа в 2013 году был одобрен операторами персональных данных. До конкретизации требуемых мер операторы существовали в условиях неопределенности, не зная, насколько применяемые ими технические меры и средства защиты соответствуют предъявляемым требованиям. Документ полностью соответствовал требованиям момента и учитывал такие изменения в информационной среде, связанные с появлением новых технических средств, как:

• виртуализация персональных данных;
• облачное хранение;
• мобильные платформы.

Но приказу были свойственны и недостатки. Он не требовал потратить определенные средства на защиту персональных данных в обязательном порядке, допуская выбор из существующего перечня, но некоторые нормы сообществом операторов были сочтены избыточными. Приказ ФСТЭК РФ ввел 15 групп технических и организационных мер по защите персональных данных, в каждой из групп указано от 2 до 20 отдельных решений. Для каждой меры устанавливалось, является ли она базовой или обязательной для применения или компенсирующей, необязательной, однако усиливающей уровень защиты. Существуют только компенсирующие меры, которые не будут базовыми ни для одного из четырех уровней защищенности.

Действия оператора

После вступления в силу приказа ФСТЭК действия оператора стали более конкретными, чем до этого момента. Теперь без дополнительных консультаций, настраивая свою информационную систему защиты персональных данных, он вправе действовать по следующему алгоритму:

• изучает Постановление Правительства Российской Федерации № 1119 и определение, под какой уровень защищенности попадает его система по защите персональных данных. Уровень зависит от количества человек, чьи данные обрабатываются, и их категории;
• выбирает из редакций ФСТЭК России все те меры, которые для этого уровня защищенности отмечены плюсом (так называемые базовые меры, формально обязательные для применения);
• исключает те меры, которые не могут быть применены в связи с отсутствием в распоряжении оператора соответствующих технологий (например, средств виртуализации);
• изучает оставшиеся базовые меры и накладывает их на ранее разработанную модель актуальных угроз безопасности персональных данных. Если все угрозы базовыми мерами не охватываются, добавляет к ним некоторые из рекомендуемых компенсирующих;
• формирует итоговый список мер;
• составляет план-график их внедрения и приступает к его реализации.

Своими силами эта стратегия не всегда реализуема, и операторам приходится обращаться за приобретением услуг по настройке системы защиты персональных данных к профессиональным участникам рынка создания информационных систем.

Сложности при реализации рекомендаций ФСТЭК по защите персональных данных

Несмотря на четкость и ясность рекомендаций, при их реализации возникают некоторые сложные моменты, отмечаемые операторами и программистами. Среди них:

• формулировки приказа № 21 часто неясны и размыты, написаны непрофессиональными программистами. Они допускают двойное толкование и часто не имеют необходимых пояснений;
• неясно, может ли организация сама выполнять работы по настройке системы в отсутствие лицензии ФСТЭК или обязана привлекать для всех работ лицензированную организацию. Практика пошла по пути, разрешающему самостоятельную настройку системы защиты персональных данных даже при отсутствии лицензии;
• необходимость проведения оценки системы защиты персональных данных раз в три года и отсутствие методики проведения такой оценки. Проверки ФСТЭК РФ по сути оценкой не являются.

Несмотря на некоторые недостатки, рекомендации ФСТЭК РФ по организации информационной системы защиты персональных данных способствовали наведению порядка на рынке и помогли в борьбе с наиболее актуальными угрозами безопасности.