В работе много правильного и нового, к сожалению, правильное не ново, а новое – неправильно
Академик В. Г. Матюхин
Не так давно, в мае, копилка документов, определяющих требования по защите персональных данных, пополнилась еще одним: ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных», который предназначен для использования в качестве технического руководства для разработчиков ИСПДн. Как видим, несмотря на пандемию, «бешеный принтер» продолжает свою работу. Правда, вводится в действие этот стандарт с ноября 2021 года, так что время разобраться еще есть. Насколько этот стандарт поможет в защите персональных данных – надо будет посмотреть. Автор не зря вынес в эпиграф слова Владимира Георгиевича Матюхина, они довольно четко отражают первые впечатления от прочтения стандарта. Однако, давайте посмотрим какова польза или вред от этого документа.
«Ножик перочинный, перочинный ножик»
Видимо, памятуя русскую поговорку – «повторенье мать ученья» – в стандарте почти в каждом разделе указывается, что он предоставляет описания высокоуровневой базовой архитектуры и соответствующих мер защиты персональных данных в информационных системах персональных данных. Да и вообще, в стандарте очень много повторов, одна и та же мысль в разных разделах многократно повторяется с небольшими интерпретациями. Конечно, в этом нет ничего плохого, но читать стандарт тяжело. Ну, да это дело разработчиков. Думаю, что это наследие международного стандарта, хотя можно было бы и написать простым доступным языком. Не будем забывать, что стандарт рассчитан на разработчиков ИСПДн и является техническим руководством, поэтому он должен быть понятен с первого прочтения. И если бы это была единственная претензия к стандарту, то жить было бы можно.
В стандарте очень много тривиальных деклараций типа «персональные данные надо всегда защищать» или «защита персональных данных является целью обеспечения безопасности информации». Это повторы дефиниций закона и других нормативных актов, которые не приносят чего-то нового. И, конечно же стандарт ну никак не вписывается в существующую систему нормативно-правовых актов по вопросам защиты перональных данных. Документ претендует на техническое руководство по построению архитектуры защиты, но сами технические требования, изложенные в приказах и постановлениях регуляторов, никоим образом не увязаны с положениями самого стандарта. По сути, этот стандарт ничего не стандартизирует. Это, наверное ближе к тому, что называют «лучшие практики», хотя и это не совсем формат этого стандарта. Кстати, а почему в стандарте среди технических мер делается упор только на три технические меры: идентификацию, аутентификацию и авторизацию? Ведь в требованиях регулятора определяется пятнадцать классов мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных. Так что, остальные меры применять не надо? Неувязочка вышла. Мне кажется, что здесь должна быть прямая ссылка на приказ ФСТЭК России, устанавливающий технические требования.
Что нового?
А нового, как ни странно – много. Не будем останавливаться на мелочах типа введения впервые в российской практике понятия «обработчик», однако, лучше бы дать этому понятию более четкое определение и описать его в разделе «термины и определения», это было бы логично.
Наверное главное – это применение процессного подхода к построению архитектуры защищенных ИСПДн. Стандарт довольно четко описывает этапы жизненного цикла обработки персональных данных и процессы, которые происходят, что позволяет правильно построить схемы потоков персональных данных и, как следствие, правильно выбрать элементы архитектуры защиты персональных данных. И это – хорошо!
А вот с другой новинкой не все так однозначно. В благом порыве все разложить по полочкам и систематизировать, стандарт предлагает рассматривать весь процесс обработки персональных данных как взаимодействие трех ИСПДн: субъекта ПДн, оператора ПДн и обработчика ПДн. Таким образом, появляется новая сущность: ИСПДн субъекта ПДн. С философской точки зрения – это важно. Появление новой сущности (ИСПДн субъекта ПДн) в какой-то степени противоречит фабуле закона о персональных данных. Действительно, закон определил такие сущности как субъект ПДн и оператор ПДн (ну, еще есть и обработчик). Каждая из этих сущностей имеет свои полномочия и обладает определенными правами и обязанностями. Субъект ПДн – это лицо, которое является обладателем[1] ПДн, так как выступает в роли генератора этих данных и свободно в своей воле предоставляет их оператору ПДн. А оператор ПДн отличается от остальных сущностей тем, что самостоятельно или совместно с другими осуществляет обработку персональных данных, и при этом определяет цели их обработки, состав и действия (операции), совершаемые с ними[2]. И, исходя из этих полномочий, оператор ПДн наделяется обязанностями принимать необходимые правовые, организационные и технические меры для защиты персональных данных[3] и несет за это ответственность. Именно оператор ПДн, а не субъект ПДн, не обработчик ПДн.
Теперь посмотрим на новую сущность ИСПДн субъекта ПДн. По идее, если есть некая ИС, то у нее должен быть хозяин – оператор. Но, тогда он должен и отвечать за защиту персональных данных в своей зоне ответственности (что и предполагает стандарт). Получается, что ответственность за защиту персональных данных размывается между тремя сущностями. А это не способствует целостной системе защиты. Логика же закона немного иная. Давайте посмотрим, может ли субъект ПДн выступать в роли оператора? Наверное, нет. Прежде всего, он не определяет цель обработки ПДн, состав и действия с ними и, исходя из определения, уже не может быть оператором ПДн. Закон очень четко и однозначно определяет, что за весь процесс защиты персональных данных отвечает именно оператор ПДн. Субъект передает свои персональные данные оператору для обработки и контролирует саму обработку[4]. Оператор получает персональные данные от субъекта, оценивает угрозы, формирует требования по защите, доводит их до обработчика и контролирует их выполнение[5] . Но при этом именно оператор ПДн, а не обработчик получает согласие на обработку персональных данных и несет ответственность перед субъектом о соблюдении правил их обработки и защиты[6]. Так что введение новой сущности в стандарт может привести к очередному когнитивному диссонансу в головах тех, кто организует защиту персональных данных.
Опять «обязаловка»?
Вообще-то, закон говорит о том, что стандарты у нас применются добровольно. Однако, в отношении стандартов, определяющих требования в целях защиты сведений, относимых к охраняемой в соответствии с законодательством информации (каковыми и являются персональные данные), закон устанавливает обязательность их применения[7]. То есть, другими словами, каждая дефиниция стандарта является обязательной для исполнения. Обратимся к первоисточнику, точнее к п.6.2 стандарта: «Подтверждение реализации мер защиты следует обеспечивать путем надлежащего документального оформления существующих мер защиты и предоставления заключения стороны, подтверждающей наличие таких мер, их правильную реализацию и надлежащее функционирование». Ключевым здесь будет «предоставления заключения стороны, подтверждающей наличие таких мер». Переведем с казенного на русский. Получается, что все меры должны быть подтверждены каким-то документом от компетентной организации, то есть аттестатом от лицензиата ФСТЭК России. Но в требованиях ФСТЭК России нет таких жестких мер[8], там есть альтернатива, которую этот стандарт рубит на корню. И мы опять вернулись к «обязаловке», что, наверное, не совсем правильно.
***
Вот весьма беглый взгляд на новый стандарт. Не сомневаюсь, что другие эксперты, внимательно изучая текст стандарта, найдут еще много разных разностей. Наверное, и с моим мнением не все согласятся. Но оттачивать документ надо было не после его утверждения, а на этапе его подготовки. Много уже говорили, что для разработки таких концептуальных документов надо привлекать «коллективный разум». Жалко, что и в этот раз не получилось…
Автор,
С. Вихорев,
Советник Генерального директора
ООО «ИТ-Экспертиза»
[1] Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам (Федеральный закон № 149-ФЗ, ст. 2)
[2] Федеральный закон № 152-ФЗ, ст.3)
[3] Федеральный закон № 152-ФЗ, ст. 19
[4] Федеральный закон № 152-ФЗ, ст. 14, ст. 16, ст.17
[5] Федеральный закон № 152-ФЗ, ст. 6
[6] Федеральный закон № 152, ст. 18, ст. 18.1
[7] Федеральный закон № 162-ФЗ ст. 4
[8] Приказ ФСТЭК России № 21, п.6. «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию».