Как соответствовать требованиям 152-ФЗ, экономя при этом на ИТ

Практически в любой компании до сих пор возникают вопросы, как выполнить требования Закона № 152-ФЗ и при этом не допустить нарушений при организации процессов обработки и обеспечения безопасности персональных данных сотрудников и клиентов. В идеальном сценарии им хочется обеспечить хранение и обработку таких данных на заранее подготовленном кластере, возможно даже публичном, на территории страны.

Эксперты Softline – специалист по развитию продуктовой экспертизы Павел Караваев и руководитель направления «Комплаенс» и «Аудит» департамента информационной безопасности Илья Тихонов рассказывают о тонкостях Законодательства и особенностях его применения к хранению личной информации в соответствии с ФЗ-152.

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами, государственными и бюджетными организациями. Любая организация, выполняющая обработку и хранение данных физических лиц, становится операторам персональных данных. Согласно 152-ФЗ все операторы обязаны обрабатывать и защищать эти данные в соответствии с законодательными требованиями. В России действуют три основных регулятора в данной сфере: Роскомнадзор, ФСТЭК РФ, ФСБ РФ.

Как правильно определить уровень защищенности?

Как правило, точно определить тип данных, обрабатываемых в системах, могут только специалисты по технической безопасности, поэтому в большинстве случаев компании привлекают к этому процессу предметно-ориентированных консультантов в области защиты информации.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

Стоит пояснить, что существует классификация типов угроз:

• 1 тип — наиболее серьезные угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном ПО, используемом в ИСПДн.
• 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, используемом в ИСПДн.
• 3 тип — угрозы, не связанные с ПО, например, уязвимости в оборудовании.

Недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Уже запутались? Давайте теперь по порядку:

Сперва важно определиться, являетесь ли вы пользователем государственных информационных систем (ГИС) или нет, возможно, ваша информация никакую государственную тайне не скрывает и модель угроз строится только вокруг потери репутации и финансовых убытков компании. Тогда давайте попробуем отталкиваться от принципа достаточности.

Если вы размещаете ГИС, то важно определить класс её защищённости. Соответственно и IaaS провайдер, если вы ищете такового для размещения ГИС, должен обеспечивать соответствующий уровень и класс защищённости данных.

И вот тут есть неразрывная связь между уровнем и масштабом системы.

Если вы госструктура, то вы должны определиться с классом защищённости. Всего их 3:

• Федеральный – если ваша система действует на всей территории Российской Федерации и имеет сегменты в каждом из её регионов;

• Региональный – ГИС функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

• Объектовый ГИС – функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

Класс защищенности информационной системы определяется в соответствии с таблицей:

Как только определен тип данных, вы сможете понять, система какого уровня значимости необходима.

Всё дальнейшее в большей степени касается коммерческих организаций.

Для обеспечения хранения персональных данных существует классификация информационных систем по четырем уровням значимости: УЗ 1/2/3/4 где УЗ 4 — подойдёт для общедоступных данных, публикация которых не приводит хоть к каким-либо существенным последствиям, а вот с тремя другими стоит разобраться поподробнее.

УЗ = конфиденциальность + целостность + доступность

Градация уровней значимости зависит от степени возможного ущерба, причиняемого нарушением одного из компонентов УЗ. Как правило, степень возможного ущерба определяется обладателем информации (заказчиком) и/или оператором самостоятельно экспертным или иными методами и может быть:

• Высокой, если нарушение одного из компонентов безопасности приводит к существенным последствиям, когда информационная система и/или оператор (обладатель информации) не в состоянии продолжать выполнение возложенных на него обязанностей.

• Средней, если нарушение одного из компонентов безопасности приводит к умеренным последствиям, когда информационная система и/или оператор не в состоянии продолжать выполнение хотя бы одной из возложенных на него обязанностей.
  
• Низкой, если нарушение одного из компонентов безопасности приводит к незначительным последствиям, когда информационная система и/или оператор могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
  

Если представить предметно, какие конкретно данные могут соответствовать тому или иному уровню значимости, то мы сможем вывести следующий рейтинг:

• 3 УЗ – кроме общедоступных и иных данных позволяет хранить специальные данные, работать при 2 и 3 типе угроз. Именно этот уровень подходит для большинства коммерческих организаций.

• 2 УЗ – устанавливается для хранения практически любых данных, для некоторых данных допускает даже 1 тип угроз.

• 1 УЗ – технически самый сложный уровень защиты, работает:

- со специальными и биометрическими данными и при 1 типе угроз;

- со специальными категориями данных свыше 100 тыс.чел. и при 2 типе угроз.

Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК.

По мере роста уровня от четвертого к первому возрастают требования к используемым средствам защиты информации. Чем сложнее уровень защиты, тем суммарно выше будут расходы на приведение инфраструктуры в соответствие с требованиями законодательства.

Государственные и коммерческие организации, в чем разница?

Один из часто задаваемых вопросов клиентами нашей компании: «Возможно, нам следует обеспечить уровень защиты, как у государственных структур?». Формально требования закона 152-ФЗ одинаковы для всех. Однако разница в организации защиты ПДн в государственном и коммерческом секторе все же есть. Существенным различием является требование к составу средств защиты информации (СЗИ). Таким образом, можно сэкономить достаточное количество средств и нервных клеток на поиске подходящей именно вам системы, зная основные принципы.

При создании ИСПДн в госорганизациях используемые СЗИ подлежат обязательной аттестации в системе сертификации ФСТЭК на соответствия требованиям, установленным регулятором. Обязательной аттестации также подлежат автоматизированные рабочие места (АМР) – оценке соответствия системы защиты информации, реализованной в составе АРМ.

Для коммерческих предприятий допускается использование решений, не аттестованных ФСТЭК, в том числе и решений иностранных вендоров. Но стоит учитывать, что защита каналов передачи данных должна быть выстроена на отечественных решениях.  В данном случае либо само предприятие, либо сторонняя организация проводят аттестационные испытания внедряемого СЗИ на соответствие требованиям закона 152-ФЗ. Проведение аттестации определяет способность СЗИ решать основные задачи по обеспечению информационной безопасности, что в случае успешных испытаний подтверждается декларацией (актом) соответствия используемой ИСПДн.

Важно помнить, что каждое аттестованное решение применительно только к конкретно испытуемому случаю, к каждой конкретной компании, а это значит, что полученный акт соответствия в другой организации или на другую информационную систему действовать не будет.

Состав СЗИ, предъявляемый к государственным и коммерческим организациям, может различаться: в первом случае при аттестации упор в большей степени делается на технические меры, во втором – на организационные. Поэтому для компаний коммерческого сектора более приоритетной является оценка Роскомнадзора, который проверяет правильность обработки персональных данных и соответствующей документации.

Пройти аттестацию СЗИ можно разными способами. Самый сложный – сделать это в регулирующем органе, самый оптимальный – обратиться за помощью к ИТ-консультантам по информационной безопасности, которые помогут в сертификации комплекса технических и программных средств и построении системы защиты данных по требованиям ФСТЭК.

Итак, мы с вами уже поняли, что можно предварительно отнести к тому или иному владельцу информации (оператору ИСПДн) – коммерческой организации или госорганизации, можем также самостоятельно представить, какой уровень значимости у нашей информации.

Теперь перейдем к другому не менее важному вопросу: развертывание собственной инфраструктуры комплексной защиты персональных данных, конечно, дорогого стоит, и лишний раз подтверждает ценность департамента ИТ, однако настройка виртуализации, средств криптозащиты и сетевой безопасности, резервного копирования, требующая от компаний больших финансовых, трудовых и временных затрат, может оказаться совсем не кстати, если бюджет не безграничный.

К счастью, согласно 152-ФЗ информационные системы, в которых обрабатываются персональные данные, можно передавать на аутсорсинг – в облако. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России.

Использование готового облачного решения может стать отличной возможностью сократить расходы на внедрение системы защиты персональных данных: клиенту не придется тратить деньги на создание и обслуживание соответствующей инфраструктуры – приобретать оборудование или лицензии на программное обеспечение, амортизацию.

При размещении ИСПДн в облаке оператором персональных данных остается организация, однако часть требований по защите данных передаётся на сторону сервис-провайдера. Он берет на себя всю техническую часть обработки персональных данных и разделяет юридическую ответственность оператора.

Как результат, вы получаете кусочек дата-центра, где данные хранятся на удалённом сервере в зашифрованном виде. Доступ к дата-центрам ограничен и надёжно контролируется различными СЗИ.

В последние годы ощущается огромный запрос на специализированные облачные сервисы, соответствующие 152-ФЗ. Потому крупнейшие сервис-провайдеры всегда следят за тем, чтобы используемые ими CPB обеспечивали соответствующий уровень защищённости. В данном случае - У3-3. Отличным примером здесь является сервис корпоративной почты Виртуальный Офис.

Для компаний, занимающихся оказанием медицинских услуг с базами данных более 100 тыс. чел., актуален вопрос о том, как хранить и обрабатывать данные уровня УЗ 1 и УЗ 2.  Самым подходящим решением становится формат частного облака на выделенном оборудовании, которое включает в себя расширенный перечень средств защиты на изолированном гипервизоре. К сожалению, или к счастью, но ни один из гипервизоров, используемых в составе облачных платформ российских сервис-провайдеров, на данный момент не может использоваться для размещения персональных данных 1 и 2 уровня.

Как показывает наша практика, будь вы коммерческой организацией, радеющей за использование максимально надежных информационных систем, или организацией из госсектора, где каждая мельчайшая щель должна быть законопачена соответствующим СЗИ (потому что ответственным может быть только государство), важно руководствоваться принципом достаточности и не пытаться добиться высокого уровеня защиты там, где он не требуется.