Язык:
Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • Cобственные разработки
  • Продукты других производителей
  • Услуги и решения
  • Управление ИБ
  • Разработка и внедрение СОБИ
  • Compliance
  • Консалтинг и поддержка
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
    •

    Комментарии экспертов

    Комментарии С. В. Вихорева к Постановлению Правительства №211 о порядке обработки ПДн в государственных и муниципальных органах

    В данной публикации проводится анализ основных положений Постановления № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

    Читать комментарии.
    Две большие разницы или немного об операторах и обработчиках

    Заместитель Генерального директора ОАО «ЭЛВИС-ПЛЮС» по развитию Сергей Викторович Вихорев в своей статье анализирует отличия понятий «оператор персональных данных» и «обработчик персональных данных».

    Ознакомиться со статьёй.
    Сравнение версий закона «О персональных данных» (внесено 25.08.2011)
    Сравнение положений старой и новой редакций Федерального закона № 152-ФЗ О персональных данных.
    Ознакомиться с документом. 
    О результатах дискуссии по Закону «О персональных данных» (внесено 02.08.2011)
    Открытое письмо С.В. Вихорева подписантам Открытого письма Президенту Российской федерации Д. А. Медведеву от 06.07.2011 года в отношении изменений к Закону о персональных данных вызвало бурные дискуссии в экспертном сообществе.
    Представляем сводный анализ первых результатов дискуссии по поводу письма Президенту РФ о Законе о ПДн, проведенный С. В. Вихоревым.
    Ознакомиться с документом.
    Открытое письмо... (внесено 06.07.2011)
    Открытое письмо С.В. Вихорева подписантам Открытого письма Президенту Российской федерации Д. А. Медведеву от 06.07.2011 года в отношении изменений к Закону о персональных данных.
    Ознакомиться с текстом письма.
    Новый закон «Об электронной подписи» вступает в жизнь. Комментарии старых предрассудков к новому закону.

    В этом году свершилось знаковое событие — президент подписал закон «Об электронной подписи». Событие это не может не радовать, ведь новый закон уже гораздо более практичный, чем старый об ЭЦП. Однако как ни странно, предрассудки к новому закону остались все те же самые. И одним из старых предрассудков является мнение, что, мол, по закону ГОСТированные алгоритмы нельзя вывозить за рубеж, и поэтому человек с такой ЭП, выехав за рубеж, не сможет пользоваться ею на территории другой страны, например, для удаленного общения со своим банком. И соответственно, чтобы нормально применять ЭП, надо не диктовать свои условия, навязывая их зарубежным партнёрам, а разрешать использовать у нас в стране разные алгоритмы шифрования, как, мол, это делается в Европе.

    Опять идет подмена понятий: криптография, используемая для закрытия (шифрации) информации и криптография, используемая для аутентификации и подтверждения подлинности документов — это суть разные вещи. Во-первых, закона, запрещающего вывозить алгоритмы ГОСТ — нет. Есть определенный порядок вывоза криптографических средств заграницу. Он определяется Постановлениями правительства и не противоречит международному Васеаанарскому соглашению по этому вопросу. И сейчас такие средства вывозят, но они должны пройти соответствующую экспертизу и иметь лицензию на вывоз. Во-вторых, никто не запрещает использовать иностранные алгоритмы для электронной подписи. Есть ограничения по применению квалифицированной или неквалифицированной подписи, которые определяются законом. Действительно, не все зарубежные алгоритмы могут претендовать на квалифицированную подпись, но далеко не везде требуется именно квалифицированная подпись. В-третьих, обратимся к ст. 12 законопроекта. Согласно части 4 этой статьи, подтверждение соответствия обязательным требованиям по защите (читай — сертификация) проходят ТОЛЬКО средства ЭП, предназначенные для документов, содержащих гостайну, но этот случай вряд ли касается трансграничной передачи. Для остальных средств такого обязательства законом не предусмотрено, так что можно использовать и зарубежные алгоритмы. Так что проблема, на мой взгляд, надуманная. 

    А насчет Европы, не нужно чересчур обольщаться. В свое время проводилось международное исследование законодательства разных стран по криптографии. Были выделены несколько зон: красная, где жёсткое законодательство по криптографии, предполагающее жёсткий контроль со стороны государства, жёлтая — законодательство имеет определенные послабления, и зелёная — лояльное (или вернее либеральное) законодательство. Могу сказать, что некоторые развитые европейские страны попали, наряду, кстати с Китаем, в красную зону.
    Комментарий к вопросу о различиях между Моделью угроз и Моделью нарушителя. (внесено 14.01.11)
    В последнее время не редко задают вопрос: зачем нужна Модель нарушителя и чем она отличается от Модели угроз? Внесём некоторую ясность в этот вопрос.   

    Согласно действующим в настоящее время нормативным документам по защите персональных данных устанавливаются следующие требования:
    • Разработка Модели угроз в целях определения актуальных угроз безопасности защищаемой информации и принятия обоснованных мер защиты информации (регламентируется нормативными документами ФСТЭК России)
    • Разработка Модели нарушителя в целях определения необходимого уровня её криптографической защиты в случае, если для защиты информации необходимо применение средств криптозащиты (регламентируется нормативными документами ФСБ России).
    При разработке этих моделей есть некоторое недопонимание сути каждой модели в целом и модели нарушителя в частности. Попробуем объяснить.

    ФСБ России подходит к проблеме защиты информации достаточно утилитарно: если есть возможность скомпрометировать криптосредства (СКЗИ), то информация не защищена, так как может быть раскрыта, а следовательно скомпрометирована. Если же криптосредства не могут быть скомпрометированы, то в этом случае ФСБ России считает, что и сама информация, которая была зашифрована не может быть раскрыта и, следовательно скомпрометирована. В зависимости от складывающейся ситуации, ФСБ России предлагает 6 классов защиты самих СКЗИ (классы от КС1 до КА1).

    Исходя из этой логики, в соответствии с нормативными документами ФСБ России при построении модели нарушителя исследуется только проблема: может кто-либо (нарушитель) или не может взломать их СКЗИ, а не проблема возможности получения защищаемой информации тем или иным лицом (в том числе и внутренним нарушителем). Поэтому требуемая Модель нарушителя, разрабатываемая по методике ФСБ России, («Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн) с использованием средств автоматизации», № 149/54-144, 2008 г. ФСБ России), направлена на выявление субъектов (нарушителей) именно способных скомпрометировать СКЗИ, а не способных получить доступ к информации. Можно сказать, что данная модель предназначена для решения очень узкого круга задач: определения класса защиты самих СКЗИ, которые будут использоваться в той или иной враждебной среде. Других предназначений данная модель не имеет. То есть, она влияет на выбор СКЗИ, а не на защиту самой информации как таковой. Данная Модель нарушителя не претендует и не должна претендовать на роль всеобъемлющего описания действий возможных внутренних нарушителей. 

    Вместе с тем, без такой Модели, к сожалению, обойтись нельзя, так как иначе невозможно определить требуемый класс защиты самих СКЗИ и, следовательно, возникают проблемы их установки и использования. Эта Модель нужна на этапе выбора проектных решений, а не на этапе определения технических требований к механизмам защиты, реализуемых системой обеспечения безопасности информации (СОБИ). 

    Часто же у заказчика возникает необходимость акцентировать внимание на роли внутреннего нарушителя, который может иметь доступ к защищаемой информации и совершить с ней неправомочные деяния. Этот, безусловно, правильный подход может быть реализован при построении не Модели нарушителя, а Модели угроз информационной безопасности, которая разрабатывается в соответствии с рекомендациями ФСТЭК России, а не ФСБ. 

    При разработке Модели угроз, согласно действующих методик ФСТЭК России, вводится понятие внутренние и внешние антропогенные источники угроз. В этом случае внутренний нарушитель, который может иметь доступ к защищаемой информации и совершить с ней неправомочные деяния (например, сисадмин или администратор базы данных, или электрик, который меняет лампочки в серверной) будут относиться к разным классам внутренних антропогенных источников угроз информационной безопасности и их действия будут оцениваться с точки зрения возможности совершения деструктивных воздействий на саму информацию. При этом, согласно действующих методик, будут оцениваться не только сами источники, но и их возможности (имеющиеся уязвимости) по реализации возможных угроз. Именно эта модель лежит в основе определения требований по выбору класса защищенности ИСПДн и технических требований к компонентам СиЗИ, устраняющим (или существенно ослабляющим) выявленные угрозы, в том числе и со стороны внутренних антропогенных источников угроз. Кстати, именно в этой модели и рассматриваются открытые каналы передачи защищаемой информации, как возможная уязвимость и делается вывод о необходимости или нецелесообразности применения СКЗИ. А далее вступает в силу Модель нарушителя (по версии ФСБ России) и определяется требуемый класс защиты применяемых СКЗИ. 

    Только правильно поняв назначение того или иного документа, мы сможем правильно и грамотно построить эффективную систему обеспечения безопасности информации.
    Комментарий к вопросу о необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации при организации защиты персональных данных. (внесено 16.07.10)
    В последнее время достаточно часто задается вопрос о необходимости получения операторами персональных данных лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (Лицензия ТЗКИ) при организации защиты персональных данных. Особенно этот вопрос актуален когда речь заходит о выполнении комплекса мероприятий по защите для собственных нужд или в организациях холдингового типа, когда имеется разветвленная периферийная сеть подотчетных организаций. Попробуем разобраться в этой проблеме.

    По букве закона.
    Статья 17 Федерального Закона № 128-ФЗ «О лицензировании отдельных видов деятельности», который по своему предназначению регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности, относит деятельность по технической защите конфиденциальной информации к лицензируемым видам деятельности. Это аксиома, которая не обсуждается.
    Порядок получения такой лицензии определяется Постановлением Правительства Российской Федерации от 15.08.2006 года № 504 «Положение о лицензировании деятельности по технической защите конфиденциальной информации». Это Постановление, в частности дает определение, что такое техническая защита конфиденциальной информации: комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
    Статья 7 Федерального Закона № 152-ФЗ «О персональных данных» возлагает на операторов персональных данных и третьих лиц, получающих доступ к персональным данным, обязанность обеспечения их конфиденциальности, за исключением случаев обработки обезличенных или общедоступных персональных данных. Кроме того, в соответствии со статьей 19 этого же Закона, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
    Таким образом получается, что ВСЕ операторы связи, при обработке персональных данных ОБЯЗАНЫ реализовывать комплекс мероприятий по защите персональных данных, то есть осуществлять ЛИЦЕНЗИРУЕМЫЙ ВИД ДЕЯТЕЛЬНОСТИ. Получается, что по букве закона действительно каждый оператор персональных данных должен иметь Лицензию на техническую защиту конфиденциальной информации (Лицензия ТЗКИ).

    По духу закона.
    Рассуждения, приведенные выше – правильные. Но, попробуем обратиться к п. 1.3 «Положения о методах и способах защиты информации в информационных системах персональных данных» (Приказ директора ФСТЭК России от 05.02.2010 года № 58). Согласно этому пункту для выбора и реализации методов и способов защиты информации в информационной системе оператором может назначаться структурное подразделение или должностное лицо, ответственные за обеспечение безопасности персональных данных, а может привлекаться организация, имеющая оформленную в установленном порядке Лицензию ТЗКИ. Видно, что данное Положение считает равнозначным и наличие специального структурного подразделения в составе оператора персональных данных (выбор и реализацию защиты собственными силами и для собственных нужд), и наличие внешней, привлекаемой организации с Лицензией ТЗКИ, которая, действуя в интересах оператора персональных данных, выбирает и реализует методы и способы защиты. Такая альтернатива, если подходить по духу закона, предполагает, что специальное структурное подразделение в составе оператора персональных данных, которое отвечает за выбор и реализацию (и это, наверное ключевое слово) защиты ДОЛЖНО иметь Лицензию ТЗКИ. Следовательно. Исходя из духа и буквы закона, Лицензия ТЗКИ требуется тому, кто отвечает за выбор и реализацию защиты персональных данных. А когда такая защита уже реализована и только эксплуатируется по выбранным и утвержденным правилам, лицензия не требуется. То есть, Лицензия ТЗКИ — это гарантия того, что специалист, который отвечает за правильный выбор и построение защиты знаком с нормативными требованиями, грамотно и правильно умеет их применять, имеет требуемую квалификацию и удовлетворяет условиям лицензирования данного вида деятельности.

    О холдингах и филиалах.
    В настоящее время существует две основные схемы организации сложных структур операторов персональных данных: головной офис с несколькими филиалами (представительствами) или управляющая компания с несколькими подотчетными (дочерними, зависимыми) организациями.
    В первом случае, согласно статье 55 ГК РФ филиалы (представительства) являются обособленными подразделениями одного юридического лица и сами по себе не являются обособленными юридическим лицами. Поэтому, требования, в том числе и по защите информации. Которые разрабатываются в головном офисе юридического лица, являются обязательными и для его обособленных подразделений (филиалов, представительств). Сами филиалы не могут вести самостоятельную хозяйственную деятельность и, следовательно, не могут самостоятельно осуществлять выбор и реализацию методов и способов защиты информации или привлекать для этих целей стороннюю организацию. В этом случае, как отмечалось выше, само юридическое лицо должно решить будет ли оно делать защиту самостоятельно (в том числе и в своих обособленных подразделениях - филиалах, представительствах) и иметь Лицензию ТЗКИ, либо оно будет привлекать для этих целей стороннюю организацию-лицензиата (или несколько, для каждого филиала) и не будет иметь Лицензию ТЗКИ.
    Во втором случае, подотчетные (дочерние, зависимые) организации, согласно раздела 7 ГК РФ, являются самостоятельными юридическими лицами и, по ГК РФ могут вести самостоятельную хозяйственную деятельность. Следовательно они сами вольны решать вопрос: привлекать ли им для защиты стороннюю организацию или все делать своими силами и, следовательно, получать или не получать Лицензию ТЗКИ. В этом случае очень важно определить кто является оператором персональных данных: управляющая компания или подотчетное юридическое лицо – ведь именно на операторе лежит ответственность за организацию защиты и выдвигает требования, а все остальные организации, участвующие в этом процессе являются по отношению к нему третьими лицами и обязаны выполнять установленные требования. Как правило, именно управляющая компания является оператором персональных данных и передает их для обработки подотчетным юридическим лицам. В этом случае, управляющая компания либо сам, либо с привлечением организации-лицензиата, вырабатывает требования по защите персональных данных, которые распространяются в том числе и на подотчетные организации и вопрос о необходимости наличия у нее лицензии решается от того, какой путь она выберет. Подотчетные организации так же имеют альтернативу при реализации выбранных управляющей компанией методов и способов защиты: либо самостоятельно и с Лицензией ТЗКИ, либо с привлечением организации-лицензиата.

    ВЫВОДЫ.
    Если оператор персональных данных решил самостоятельно произвести выбор методов защиты и их реализовать, то ему ТРЕБУЕТСЯ Лицензия ТЗКИ. При этом, он обязан будет удовлетворять лицензионным требованиям и условиям, изложенным в п. 4 «Положения о лицензировании деятельности по технической защите конфиденциальной информации»: иметь в штате специалистов с высшим профессиональным образованием в области технической защиты информации, соответствующие техническим нормам и требованиям и принадлежащие на праве собственности помещения для осуществления лицензируемой деятельности, необходимое производственное, испытательное и контрольно-измерительное оборудование, а так же необходимые правовые, нормативно-методические и методические документы.
    Если же оператор персональных данных решил для выбора методов защиты и их реализации, привлечь организацию, которая имеет оформленную в установленном порядке Лицензию ТЗКИ, то ему самому такая лицензия НЕ ТРЕБУЕТСЯ, так как он в данном случае получает уже реализованный комплекс мер защиты информации и в дальнейшем его только эксплуатирует.
    Если оператор персональных данных имеет филиальную сеть (представительства) или является сложной холдинговой структурой, объединяющей несколько подотчетных организаций, то вопрос о наличии у него Лицензии ТЗКИ решается в зависимости от того, какой путь по выбору и реализации методов и способов защиты информации он выберет. Это же справедливо и для подотчетных организаций, которые являются самостоятельными юридическими лицами.

    Об ответственности.
    В заключении несколько слов об ответственности за получение или не получение лицензии. Надо помнить, что ответственность за организацию защиты информации всегда лежит на Операторе. И еще, надо учитывать то, что лицензирование деятельности по технической защите информации носит заявительный, а не разрешительный характер. Поэтому, именно оператору персональных данных решать по какому пути идти, будет ли он сам осуществлять выбор и реализацию методов и способов защиты информации или доверит это нелегкое дело специалиста от организации-лицензиата. От этого будет зависеть: надо или не надо ему получать Лицензию ТЗКИ.
    Комментарий к вопросам о взаимосвязи биометрии и персональных данных. (внесено 21.04.10)
    В связи с многочисленными вопросами, поступающими нашим экспертам, хотели бы несколько прояснить текущую ситуацию с биометрическими данными, чтобы избежать неясностей и неверных трактовок.

    Первое. Закон о персональных данных гласит: Биометрические персональные данные – сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность»… Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность».
    Пример. По отпечатку пальца можно установить личность только в том случае, если где-то существует база данных, в которой этот отпечаток сопоставляется с идентификационными данными субъекта. Если кто-то нашел на улице некий предмет с отпечатком пальца – единственное, что можно сказать, что этот предмет держал человек, но кто конкретно, невозможно сказать до тех пор, пока найденный отпечаток не будет сверен в дактилоскопической базе данных с хранящимся там образцом и сопоставимыми идентификационными данными субъекта. Только после этого можно утверждать, что предмет был потерян Ивановым Иваном Ивановичем. Данный пример применим и к фотографии.
    Таким образом, как видно из примера, найденный отпечаток пальца действительно помог идентифицировать субъекта, но именно на основе отпечатка пальца. То есть в данном случае отпечаток пальца послужил дополнительным идентификатором субъекта, но сам по себе не определил субъекта, так как для этого пришлось лезть в дактилоскопическую базу и уточнять, кому конкретно принадлежит этот идентификатор. Фактически налицо два процесса:
      1. идентификация — сопоставление идентификатора субъекту; 
      2. аутентификация — определение, кому принадлежит идентификатор, и сопоставление идентификатора некоей базе данных.
    Вывод: сами по себе биометрические данные не могут установить личность, но на их основе (как жесткого идентификатора и как об этом говорит Закон) можно установить личность. То есть биометрические данные являются не идентифицирующими данными, а идентификаторами, а это суть разные понятия.
     Кроме того, исходя из вышесказанного, биометрические данные не могут считаться заменой идентификационного набора, включающего ФИО, пол, дату рождения, адрес и пр., поскольку для идентификации субъекта в таком случае однозначно потребуется аутентифицировать и сам идентификатор (биометрические данные) — сопоставить с идентификационными персональными данными. Следовательно, биометрические персональные данные сами по себе не только не входят в список идентифицирующих, но и, тем более, не подменяют его.  

    Второе. Организованные (упорядоченные) биометрические данные (фотография, отпечаток пальца) являются биометрическими персональными данными. В общем смысле такие понятия, как персональные данные, биометрические персональные данные, персональные данные, позволяющие идентифицировать субъекта — это все объективные понятия, не зависящие ни от субъективных факторов, ни от способа их обработки, ни от целей их обработки. Это важно для понимания.
     Если в какой-либо информационной системе хранится фотография и не используется непосредственно для идентификации, она не перестает быть биометрическими персональными данными, так как она объективно отражает физиологические особенности человека и ее можно использовать для идентификации. При этом Закон не дает никаких изъятий относительно формы ее представления, в цифре, картинке или как-то иначе. То есть система, в которой есть фотография, независимо от того для чего эта фотография используется, будет информационной системой, обрабатывающей биометрические персональные данные. Не может быть так, что в одном случае — это биометрические персональные данные, а если сдали в архив и не используем для идентификации, то это уже и не биометрические персональные данные. 
    Пример. Имеем на служебном пропуске фотографию сотрудника. Она предназначена именно для идентификации личности, так как на ее основе охрана принимает решение о пропуске сотрудника, сверяя его фотографию с образцом, хранимым в компьютере (БД СКУД) и лицом самого сотрудника. Значит существует некий носитель (бумажный или электронный), на котором имеется изображение лица субъекта и которое отражает его физиологические особенности («черты лица»), которые и позволяют принять решение об идентичности его личности той, которая занесена в базу данных СКУД. Следовательно, фотография является биометрическими персональными данными.
    Важно учесть, что фактическое непризнание организацией фотографии сотрудника в качестве его биометрических персональных данных не освобождает данную организацию от ответственности в рамках существующего законодательства.
    В то же время, если фотография не нужна для целей идентификации или каких-либо иных целей, то она является избыточной информацией, что, в принципе, является нарушением ст.5 п.3 Закона: соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.

    Третье. Неверно полагать, что биометрическими персональными данными являются только те, которые участвуют в процессе машинного распознавания. Закон такого ограничения не предусматривает, а в ст.11 Закона говорится только о том, что биометрические персональные данные «могут обрабатываться», но нигде не сказано, что такая обработка может быть только автоматизированной. Более того, ст.1 Закона как раз говорит, что обработка может быть как автоматизированная, так и без использования средств автоматизации.
    Само понятие «обработка» совершенно не зависит от того, какими методами она ведется, а зависит от действий, совершаемых с персональными данными: сбор, хранение, систематизация, накопление, уточнение, использование, распространение, обезличивание, блокирование, уничтожение. Это императивная норма ст.3 Закона и список этих действий конечен.

    Четвёртое. Биометрические данные отличаются тем, что они уникальны, то есть присущи только конкретному субъекту, и измеримы. Например, процедура сличения субъекта с эталоном (фото на пропуске) это и есть измерение. Однако, измерения (сравнения) могут проводиться с разной степенью доверия. В то же время, степень доверия к биометрическим данным не меняет их объективной сущности и даже при малой степени доверия они все равно остаются биометрическими данными.
     К примеру, зная только часть идентификационных данных (имя) можно попытаться идентифицировать личность, но существует вероятность ошибки — возможно есть тёзка. В определенных условиях и этого достаточно, в других — надо иметь большую уверенность и потребуется полный набор идентификационных данных. В равной степени это относится и к биометрическим данным. Степень же необходимого доверия, по всей вероятности, должен определить сам пользователь данной информации исходя из тех бизнес-процессов, которые он реализует и для которых необходима эта информация. 
    Необходимо также отметить, что биометрические данные обладают некоторым дуализмом. С одной стороны, они содержат в себе информацию о субъекте, с другой стороны, являются неотъемлемой его частью и, как следствие, могут выступать в качестве идентификатора субъекта. Получается, что особенности лица (например, шрам), присущие субъекту, отражаются на его фотографии. И эта черта может послужить для установления личности. К примеру, можно ли отнести к биометрическим данным словесный потрет без фотографии, описывающий особенности лица? Можно, потому что он описывает уникальные черты субъекта. Но, в то же время, словесный портрет может и не описывать шрам и при этом не перестает быть портретом.