[В закладки] Карта законодательства РФ по защите информации и как ей пользоваться
Реальность такова, что безопасникам приходится работать на два фронта: предотвращать угрозы ИБ и в то же время поддерживать юридическую защиту компании. Если с необходимостью первого все понятно, то второе снижает риск привлечения руководства к административной и уголовной ответственности. Проще говоря, спасает от штрафов, закрытия компании и прочих неприятностей. Так что без знания законов не обойтись.
Увы, систему законодательства в области защиты информации нельзя назвать понятной. Это кафкианское чудище, которое с трудом помещается в голове.
Под федеральными законами располагаются сотни постановлений правительства, указов президента, требований ФСТЭК, стандартов, методичек и информационных сообщений. В этом лабиринте сложно ориентироваться без постоянной практики.
Разные виды актов образуют иерархию и связаны между собой, но это только все усложняет
Часто, когда перед вами стоит конкретная задача, непонятно, с чего начать распутывать этот клубок. Конечно, можно читать все подряд, но это верный способ сойти с ума и просто пустая трата времени.
Для себя и наших клиентов мы рисуем карты, которые помогают сориентироваться в ситуации.
Взаимосвязи базовых нормативных актов в области защиты информации. Картинка кликабельная и в большом разрешении, но pdf-версия удобнее. В ней есть прямые ссылки на документы
Во главе карты Федеральный закон «Об информации, информационных технологиях и о защите информации» (от 27.07.2006 N 149-ФЗ).
Здесь изображены далеко не все связанные с ним документы, а только те, что необходимы большинству наших клиентов в повседневной работе. Они касаются ГИС, ИСПДн, вопросов сертификации СЗИ, определения актуальности угроз.
Схема не включает банковскую, налоговую и другие виды тайн, защиту информации в КИИ, АСУ ТП и безопасность информации в финансовых организациях (если вам будет интересно, поговорим об этих направлениях в следующий раз). Но даже с такими ограничениями карта выглядит запутанно, так что будем разбираться на конкретном примере.
Как пользоваться картой
Допустим, в интернет-магазине скоро откроется личный кабинет для клиентов. Там будут поля: имя, фамилия, телефон, адрес и т. д. В такой ситуации штатный безопасник должен разобраться, какие обязательства берет на себя компания, собирая эти данные, чем это грозит, и какие требования закона необходимо выполнить.
Такие исследования начинаются с 149-го Федерального закона. В нем, в статье 9, сказано, что существует информация ограниченного доступа. Ее можно разделить на государственную тайну и конфиденциальную информацию (информацию, не составляющую гостайну).
Вряд ли наш интернет-магазин имеет дело с гостайной, разве что он приторговывает запчастями для оборонки, поэтому идем направо.
Если не знаете, что относится к конфиденциальной информации, задержитесь и загляните в Указ президента «Об утверждении перечня сведений конфиденциального характера» (от 6 марта 1997 г. N 188).
Это справочный документ, никаких особых указаний там нет. Но из перечня ясно, что в конфиденциальную информацию входит целое семейство тайн: коммерческая, служебная, профессиональная и многие другие. Всего порядка 50 разновидностей. Каждой посвящен отдельный нормативный акт, например Федеральные закон «О коммерческой тайне» (от 29.07.2004 № 98-ФЗ).
В случае с личным кабинетом на сайте интернет-магазина не все так просто, ведь мы имеем дело с персональными данными.
О них рассказывает отдельный Федеральный закон «О персональных данных» (от 27.07.2006 N 152-ФЗ). Он перечисляет категории персональных данных, и из его положений вытекают обязательства, связанные с их обработкой. Их можно детально изучить в отдельных нормативно-правовых актах.
Постановление правительства №1119 (от 1 ноября 2012 года) поможет установить тип информационной системы и необходимый уровень защищенности в зависимости от объема данных, а 21 приказ ФСТЭК (от 18 февраля 2013 года) подскажет базовый перечень необходимых защитных мер. Это уже информация, необходимая на практике.
Наш случай не про ГИС, изучать ПП РФ №211 (от 21 марта 2012 года) не придется, биометрические данные мы тоже не обрабатываем, а вот без уведомления регулятора обойтись не получится. Поэтому также стоит прочитать Приказ РКН №94 (от 30 мая 2017 года). А еще не стоит забывать о требованиях ФСБ России.
Кстати, согласно пункту 6 приказа ФСТЭК №21 необходимо как минимум раз в три года проводить оценку эффективности и соответствия закону мер по безопасности персональных данных. В этом акте не уточняется, как именно это делать.
Порядок проведения испытаний можно определить самостоятельно (исключение — аттестация). Однако, если вы совсем растерялись, найдите ГОСТ 34.603. В этом документе описано, что такое программа и методика испытаний, протокол проведения испытаний, и как должны выглядеть завершающие акты.
А вообще, стандартный путь для оценки: ПиМИ — испытания —протокол — устранение недостатков — заключение и акт.
Теперь вернемся назад, к 152-му закону. Чтобы подобрать защиту под конкретную информационную систему, придется также определить, каким угрозам подвергаются персональные данные при обработке.
Это приводит нас к свежей методике оценки безопасности от ФСТЭК и банку угроз БДУ. Там собрано описание более 200 различных угроз с возможными источниками и объектами, которые им подвержены. Документы плохо «бьются» между собой, но регулятор работает над этим, а мы работаем с тем, что имеем.
К сожалению, это еще не конец путешествия, не все документы, которые придется изучить.
Теперь, когда мы выявили актуальные угрозы безопасности и разработали модель угроз, пришло время «обеспечить реализацию мер по обеспечению безопасности персональных данных». Для этого придется разработать техническое задание на систему защиты и проектное решение и найти ответ на вопрос: «Чем защищать ПДн?».
От Федерального закона «О персональных данных» отходит еще одно ответвление. Статья 19 пункт 2.3 этого закона обязывает наш магазин, как оператора персональных данных, использовать средства защиты информации, прошедшие процедуру оценки соответствия.
Требования не такие жесткие, как для государственных информационных систем, но в идеале СрЗИ все равно должны быть сертифицированы.
Придется вернуться к началу пути и пройти по другой ветке схемы.
Чтобы найти списки сертифицированных СЗИ пройдем мимо отдельного положения о сертификации средств защиты информации и приблизимся к спискам сертифицированных СрЗИ/СКЗИ.
Криптографическими средствами защиты информации заведует ФСБ, некриптографическими — ФСТЭК. ФСБ публикует выписку из перечня средств защиты в формате doc.
Реестр ФСТЭК на первый взгляд удобнее, Регулятор ведет его на сайте, но он просто забит аббревиатурами типа: ИТ.САВЗ.Б4.ПЗ, ЗБ, РД МЭ (2), РД НДВ (2) и т. д.
У всех этих сокращений четкая расшифровка, но, само собой, в отдельных документах. Без карты на их поиски уйдет уйма времени.
Только после изучения руководящих документов и информационных сообщений можно понять, какое средство защиты информации из реестров выбрать для конкретной информационной системы с учетом ее класса защищенности.
Чтобы лишний раз не перечитывать эти документы, мы составили таблицу-шпаргалку. В ней указано, с какими средствами защиты информации совместимы различные классы сертификатов ФСТЭК.
Определившись с СЗИ можно будет наконец-то приступить к созданию системы защиты персональных данных.
На этом заканчивается наш маленький квест по поиску документов, необходимых интернет-магазину.
Мы сориентировались среди основных актов в области защиты информации, нашли требования к защите персональных данных, обнаружили сертифицированные СЗИ и, главное, избежали бесплодных поисков необходимых актов и пустой траты времени.
Конечно это только начало. Мы показали вам базовую цепочку актов. 152-ФЗ также указывает на необходимость создания целого пакета локальных нормативных актов по обработке и защите ПДн, предъявляет требования к техническим организационным мерам защиты и регулярно удивляет нововведениями (например, появлением персональных данных, разрешенных к распространению).
Для таких случаев мы готовим отдельные схемы и памятки. Они помогают быстро и четко отвечать на вопросы заказчиков и решать спорные кейсы, а также следить за появлением (а иногда и отменой) новых разъяснений и рекомендаций РКН.
Надеемся, наша карта вам пригодится, особенно в ситуациях типа: «это нужно было еще вчера» и «где же указаны эти требования? Точно где-то видел…». Ее вполне достаточно для обучения на старте в ИБ, быстрого поиска необходимых актов и решения задач в ходе обеспечения защиты информации.
Если же вы столкнулись со сложной проблемой, карта не помогла, и поиски зашли в тупик, пишите на почту: hello@bastion-tech.ru, мы постараемся помочь.
PDF-версия карты законодательства РФ в области защиты информации — ссылка на скачивание.
