В ноябре 2012 года вступило в силу Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Согласно его требованиям, оператору предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы. В постановлении приведены три типа угроз, два из которых связаны с наличием недокументированных возможностей в ПО. Прокомментировать изменения и реакцию на них со стороны российского бизнеса мы попросили Михаила Емельянникова, управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры».
Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры" |
Что нового привнесло Постановление № 1119 в правовой ландшафт РФ?
Постановление привнесло, к сожалению, очень много неожиданного. Во-первых, оно показало, что ответственным структурам можно не выполнять требования федерального закона и не разрабатывать в соответствии с ним подзаконные акты, а перекладывать решение проблем на бизнес. Как известно, именно государственные органы и обязаны создать правила, выполняя которые, следует соблюдать закон.
Кроме того, обнаружилось, что каждый заведующий детсадом, главврач или директор магазина должны отлично понимать, что такое недекларированные возможности системного и прикладного программного обеспечения. В зависимости от этого понимания и оценки уровня возможностей потенциального взломщика компьютеров им предлагается принимать решения, порождающие для вверенной организации юридические последствия.
Что еще печальнее, был написан документ, определяющий порядок защиты от придуманных регуляторами угроз, но не назван ни один способ защиты от них, что опять-таки перекладывает проблему на того, кто должен документ исполнять.
Как связано Постановление № 1119 с Федеральным законом
№ 152-ФЗ «О персональных данных»? И как его выполнение отразится на тех предприятиях, которые уже постарались привести свои информационные системы в соответствие с существовавшими ранее требованиями?
Закон и постановление связаны очень четко: постановление разработано в соответствии с требованиями части 3 ст.19 закона. Вот только предусмотренный законом учет возможного вреда субъекту персональных данных, а также вида деятельности, при осуществлении которого обрабатываются персональные данные, в постановлении отражения никак не нашел. Требования же к защите персональных данных, которые указаны в постановлении, никак не могут нейтрализовать, снизить или компенсировать угрозы, связанные с наличием недекларированных возможностей при признании актуальными угроз первого и второго типа.
Если оператор выполнил меры по технической защите в соответствии с утратившим силу Постановлением
№ 781 от 2007 года, Приказом ФСТЭК № 58 и методическими документами ФСБ, признав для себя актуальными угрозы только третьего типа, делать ему практически ничего не придется. Речь будет идти лишь о доработке нормативной документации, замене акта классификации информационных систем персональных данных на акт выбора типа актуальных угроз и оценку уровня защищенности. Возможно, потребуется подправить частную модель актуальных угроз в соответствии с ожидаемыми документами ФСБ и ФСТЭК. Принятых мер защиты в абсолютном большинстве случаев окажется вполне достаточно.
А вот если актуальными будут признаны угрозы первого и второго типа, что делать, сегодня не знает, наверное, никто, включая авторов постановления правительства.
В целом постановление облегчило или усложнило жизнь компаний — операторов персональных данных? Какие у него плюсы и минусы с точки зрения компаний, вынужденных ему следовать?
Этого пока нельзя сказать даже предположительно. Структура постановления предполагает обязательное принятие для его исполнения федеральными и региональными органами исполнительной власти, Банком России, ФСБ и ФСТЭК целого пакета документов. Без этих документов постановление, содержащее массу отсылочных норм, работать не сможет.
Сомнений нет, что ФСБ и ФСТЭК такие документы примут. А вот что может заставить это сделать федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию, — ни закон, ни постановление ответов не содержат. Непонятно и что делать тем операторам, у которых нет органов, регулирующих деятельность «в установленной сфере».
Модели поведения операторов на сегодняшний день примерно одни и те же — признать актуальными угрозы только третьего типа (не связанные с использованием злоумышленником недекларированных возможностей) и защищаться по минимуму. Существующие документы никак такому пути не препятствуют.