среда, 8 августа 2012 г.

Многабукав и ничего


На прошлой неделе на сайте ФСБ был опубликован проект очередного постановления Правительства РФ, регламентирующий порядок "согласования решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов  деятельности членами таких ассоциаций, союзов и иных объединений операторов, с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации". Как вы, дорогие читатели, понимаете - документ этот разработан в соответствии с п. 6 и 7 ст. 19 152-ФЗ, и по своему содержанию не менее фееричен, чем его старшие братья.

Несомненно, знаковым является очередное подтверждение того факта, что теперь ФСБ определяет правила игры на поле ПДн - это мы видели в "уровнях и требованиях", наблюдаем аналогичное и сейчас. Видимо, ФСТЭК, за свои игры с "четверокнижием" и поголовным лицензированием и сертификацией, получила "двойку" за поведение, так как толком не смогла "продавить" эти вещи, и сейчас за дело взялся куда более крутой pusher. Получится это или нет - покажет время, но что-то подсказывает мне, что результат будет положительным.

Ключевой момент кроется в слове "ДОПОЛНИТЕЛЬНЫХ", имеющего место находиться в названии этого документа. Если могут быть дополнительные, то логично предположить, что, для начала, должны быть и основные. И такое предположение абсолютно верно, так как, согласно п. 3 ст. 19 152-ФЗ:

Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных...

Это и есть те самые, "основные" угрозы. Откуда они берутся - написано в пункте 5 той же статьи:

Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

В свое время, многие эксперты радовались по поводу 5 пункта - дескать, вот она, отраслевая модель. Однако так ли это на самом деле? За угрозы в проекте Постановления, устанавливающего уровни защищенности, отвечает пункт под счастливым номером 13, в котором сказано буквально следующее:

Оператор на основе угроз безопасности персональных данных формирует модель угроз, включающую модель нарушителя. Модель угроз формируется в соответствии с нормативными правовыми актами ФСТЭК России и ФСБ России. В случаях, предусмотренных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, а также соглашениями между ФСТЭК России и ФСБ России модель угроз формируется только в соответствии с нормативными правовыми актами ФСБ России. При формировании модели угроз проводится анализ актуальности угроз безопасности персональных данных в соответствии с нормативными правовыми актами ФСТЭК России. При этом все угрозы, определенные в модели нарушителя, считаются актуальными.

И все - ни слова, ни намека про отраслевую модель - только ФСТЭК и ФСБ, причем ФСБ опять находится в главенствующем положении. Если мы продолжим чтение проекта Постановления об уровнях, то увидим, что угрозы ФСТЭК не оказывают никакого влияния на результирующий показатель УЗ, потому как второй переменной является категория нарушителя. Ну хорошо, пусть не так, пусть угрозы из п. 3 ст. 19 и из п. 5 ст. 19 - разные вещи. Но я, со своей небогатой фантазией, не могу придумать ни одного основания для того, чтобы какая-нибудь ассоциация, союз или иное объединение операторов взяли на себя добровольные дополнительные обязательства, повышающие требования к защите их информационных систем.

Очевидно, у авторов проекта с фантазией дела обстоят куда лучше, ибо они заранее предусмотрели "пути отхода". Взглянем на пункт 8, определяющий три основания для отказа в решении: первое - процедурное

несоблюдение требований к проекту решения и материалам к нему, предусмотренных пунктами 2 и 3 настоящего Порядка

а также второе и третье - даже не знаю, какое слово подобрать, кроме словосочетания "гарантированное основание для отказа" мне лично в голову ничего не приходит:

- наличие в проекте решения дополнительных угроз, которые реализуются в составе других дополнительных угроз безопасности персональных данных, не отраженных в проекте решения
- наличие в проекте решения дополнительных угроз, которые влекут за собой возникновение других дополнительных угроз безопасности персональных данных, не отраженных в проекте решения

Резюмируя сказанное, можно сделать однозначный вывод: труды, изложенные на 7 страницах проекта, пропали зря, и даже если документ будет принят в несколько измененном виде, операторам вряд ли стоит на него обращать внимание.

Комментариев нет :

Отправить комментарий