Опубликованы проекты постановлений Правительства РФ об установлении уровней защищенности персональных данных при их обработке в информационных системах

Ю«Пепеляев Групп» сообщает, что 25 апреля 2012 года на Интернет-сайте ФСБ России(http://www.fsb.ru/fsb/npd/prna.htm) были опубликованы тексты проектов постановлений Правительства РФ
«Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» (далее – «Проект по УЗ») и «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных» (далее – «Проект по ТЗ») (совместно – «Проекты» или «Постановления»). Указанные Постановления должны быть приняты во исполнение статьи 19 новой редакции Закона «О персональных данных» («Закон о ПДн»). Даная статья устанавливает требования к обеспечению безопасности персональных данных («ПДн»).

Обращаем Ваше внимание на то, что скоро истекает срок для проведения независимой антикоррупционной экспертизы Проектов (направить заключения по результатам проверки на антикоррупционность желающие могут по адресу: 107031, г. Москва, ул. Большая Лубянка, дом № 2, НТС ФСБ России, и на адрес электронной почты: fsb@ fsb.ru).

Исходя из первоначального анализа Проектов, можно отметить следующие основные моменты.

Проект по УЗ:

1. Высокий уровень – это не предел

Вводятся 4 уровня защищенности ПДн (максимальный, высокий, средний и низкий).

Процедура определения уровня защищенности осуществляется в 4 этапа:

a) сбор и анализ исходных данных (категорий и объема обрабатываемых ПДн);
b) классификация информационной системы на основе вышеуказанных исходных данных;
с) формирование модели угроз и на ее основе – модели нарушителя;
d) установление уровня защищенности и его документальное оформление в виде акта.

2. Все новое – еще не забытое старое

Таким образом, классификация информационных систем фактически становится этапом определения уровня защищенности. Однако по сравнению с действующим порядком классификации [1] новый порядок предлагается упростить: больше нет разделения информационных систем на типовые и специальные; как указано выше, все системы предлагается классифицировать только по двум критериям – a) объема и b) содержания обрабатываемых данных.

При этом если с критерием объема все более или менее ясно (остались прежние три уровня и пороговые значения в 1 000 и 100 000 субъектов ПДн), то новая градация по содержанию данных вызывает много вопросов, в частности:

• Куда относить общедоступные ПДн (например, данные пользователей социальной сети)?
• Что понимается под «возможностью получения оператором дополнительной информации»[2], на
  основе которой можно определить принадлежность обезличенных ПДн конкретному субъекту? В
  частности, может ли такая возможность быть чисто гипотетической?
• К какому типу ПДн относятся ФИО и адрес субъекта, если эти данные не позволяют однозначно
  определить субъекта ПДн, и др.

3. Понятийный аппарат

Проект по УЗ вводит или проясняет целый ряд понятий.

В качестве основного момента необходимо отметить, что четко определяется круг ПДн, по мнению регулятора, позволяющих однозначно определить субъекта ПДн – это любая совокупность таких данных как ФИО, адрес субъекта, номер, дата выдачи паспорта [3] и выдавший орган.

Проблемным моментом новой редакции Закона о ПДн является то, что она содержит понятие «обезличивания ПДн», однако не дает понятия «обезличенных ПДн». Проект по УЗ вводит термин «обезличенные ПДн», однако юридико-технически этот термин определен, на наш взгляд, плохо. Тем не менее формулировка Проекта по УЗ позволяет прийти к выводу, что, например, данные «Иванов Иван Иванович» будут считаться обезличенными в том случае, если изначально оператор знал также адрес и паспортные данные этого лица, а потом адрес и паспортные данные стер – а вот если оператор изначально получил только данные «Иванов Иван Иванович», то такие данные обезличенными не признаются.

Также вводятся понятия внешнего и внутреннего нарушителя, а также понятие контролируемой зоны.

Определения этих понятий, на наш взгляд, оставляют желать лучшего. Сама классификация нарушителей тоже вызывает массу вопросов.

4. «Дедка за репку…»

В соответствии с Проектом по УЗ должны быть приняты (или опубликованы уже принятые)нормативные правовые акты ФСБ и/или ФСТЭК в отношении требований к модели угроз и анализу актуальности угроз ПДн.

Таким образом, компании не смогут завершить процедуру определения уровня защищенности до момента, пока не будут приняты соответствующие нормативные правовые акты ФСБ и ФСТЭК.

В соответствии с последним абзацем Проекта по УЗ возможно определение оператором для своей информационной системы уровня защищенности ПДн ниже требуемого с письменного разрешения ФСТЭК и ФСБ.

В соответствии с п. 3 Приказа ФСБ России № 606 от 24.11.2009 [4] коррупциогенными факторами являются положения проектов нормативных правовых актов, устанавливающие для правоприменителя необоснованно широкие пределы усмотрения или возможность необоснованного применения исключений из общих правил…

Остается только надеяться, что этот пункт Проекта по УЗ не пройдет соответствующую экспертизу.

Проект по ТЗ:

1. Не «изобретаем велосипед»

По сути Проект по ТЗ представляет из себя «выжимку» из Постановления Правительства РФ от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (далее – «Постановление № 781»). При этом в Проект по ТЗ не входит конкретный перечень задач и мер по обеспечению безопасности ПДн в информационных системах [5], а также некоторые иные положения, которые в настоящее время присутствуют в Постановлении № 781.

Из принципиально новых требований в Проекте по ТЗ можно отметить обязанность операторов проводить периодические проверки выполнения положений Постановления не реже 1 раза в 2 года. При этом отмечается, что такую проверку могут проводить на договорной основе юридические лица, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации.

При этом остается непонятным, каким образом исполнение требований, содержащихся в Проекте по ТЗ, может обеспечить уровни защищенности (что является целью данного постановления), когда в Проекте по ТЗ ссылка на «уровни защищенности» дается только в названии и в первом пункте, цитирующем название.

В целом Проект по ТЗ, скорее, устанавливает общие принципы и регулирует общие организационные вопросы применительно к защите ПДн при их обработке в информационной системе, чем является инструкцией к применению.

2. «Дедка за репку…»?

В соответствии с Проектом по ТЗ Постановление № 781 подлежит отмене.

При этом «подзаконными» к Постановлению № 781 являются Приказ ФСТЭК РФ от 05.02.2010 № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13.02.2008 "Об утверждении Порядка проведения классификации информационных систем персональных данных". Логично предположить, что эти акты также должны быть отменены. Однако если этого не произойдет, то мы полагаем, что эти акты в любом случае не должны применяться.

Проект по ТЗ не предусматривает принятия подзаконного акта, аналогичного Положению о методах и способах защиты информации в информационных системах персональных данных.

Приказ "Об утверждении Инструкции о порядке проведения антикоррупционной экспертизы проектов нормативных правовых актов ФСБ России и нормативных правовых актов ФСБ России в органах федеральной службы безопасности".

3. Существенное условие договора с обработчиком!

Нельзя не отметить, что в соответствии с Проектом по ТЗ существенным условием договора, предметом которого является обработка персональных данных, между оператором и лицом, осуществляющим обработку по поручению оператора (обработчика), является обязанность обработчика обеспечить безопасность ПДн при их обработке в информационной системе. Аналогичное, но более широкое условие содержалось в Постановлении № 781.

В этом контексте хотелось бы напомнить, что отсутствие в договоре хотя бы одного существенного условия влечет признание такого договора незаключенным.

4. Криптография теперь будет обязательна?

В соответствии с абз. 2 п. 2 Проекта по ТЗ безопасность ПДн при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, включающей использование средств защиты информации (в том числе, шифровальных (криптографических) средств). Означает ли это, что использование криптографических средств должно стать обязательным элементом защиты

Как известно, выполнение работ в области шифрования может подлежать лицензированию.

Складывается впечатление, что регуляторы планомерно хотят возложить на операторов ПДн обязанность получать все существующие лицензии в сфере защиты информации, что, конечно, не соответствует смыслу лицензирования.

Общие выводы

По результатам анализа Проектов можно сделать общий вывод о том, что, безусловно, Проекты требуют серьезной доработки.

Остается только дождаться финальных редакций Постановлений. Мы сообщим Вам о принятии Постановлений в отдельном алерте.

О чем подумать, что сделать

Проекты могут претерпеть серьезные изменения. Однако еще до принятия их в окончательной редакции рекомендуется оценить организационную и финансовую готовность Вашей компании к выполнению требований соответствующих Постановлений (как если бы Проекты были приняты в текущей редакции). Проекты не предусматривают отложенной даты вступления Постановлений в силу, поэтому, скорее всего, соответствующие Постановления вступят в силу по истечении 7 дней после их официального опубликования. Ожидается, что Постановления будут приняты уже в этом году (ориентировочно в третьем квартале).

* * * * *

Специалисты компании «Пепеляев Групп» [6] обладают значительным опытом консультирования по вопросам соблюдения законодательства о персональных данных и могут оказать любую необходимую помощь по организационным, правовым и техническим вопросам приведении деятельности компаний-операторов в соответствие с требованиями законодательства о персональных данных.

[1] См. Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13.02.2008 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

[2] В случае наличия такой возможности системе не может быть присвоен самый низкий класс.

[3] Или, соответственно, иного основного документа, удостоверяющего личность.

[4] Приказ "Об утверждении Инструкции о порядке проведения антикоррупционной экспертизы проектов нормативных правовых актов ФСБ России и нормативных правовых актов ФСБ России в органах федеральной службы безопасности".

[5] Сейчас они указаны в пп. 11 и 12 Постановления № 781.

[6] ООО «Пепеляев Групп» является обладателем лицензии на осуществление деятельности по технической защите конфиденциальной информации и еще 4 лицензий ФСТЭК и ФСБ в области защиты информации.

Для получения дополнительной информации обращайтесь, пожалуйста:

В Москве - Андрею Слепову, Руководителю группы по защите информации, по тел.: (495) 967-00-07 либо по e-mail; к Елене Овчаровой, Руководителю группы Административно-правовой защиты бизнеса, по тел.: (495) 967-00-07 либо по e-mail; Дмитрию Фадееву, Руководителю отдела информационных технологий, по тел.: (495) 967-00-07 либо по e-mail

в Санкт-Петербурге - к Сергею Спасеннову, Партнеру, по тел.: (812) 640-60-10 либо по e-mail