«Везде есть плюсы и минусы, главное, чтоб не замкнуло…» Эссе о плюсах и минусах нового ГОСТ Р 59407-2021 об архитектуре защиты персональных данных

BIS Journal №4(43)/2021

14 декабря, 2021

«Везде есть плюсы и минусы, главное, чтоб не замкнуло…» Эссе о плюсах и минусах нового ГОСТ Р 59407-2021 об архитектуре защиты персональных данных

В работе много правильного и нового, к сожалению, правильное не ново, а новое – неправильно.

Академик В. Г. Матюхин

 

Не так давно, в мае, копилка документов, определяющих требования по защите персональных данных, пополнилась ещё одним: ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности.

Базовая архитектура защиты персональных данных», который предназначен для использования в качестве технического руководства для разработчиков ИСПДн. Как видим, несмотря на пандемию, «бешеный принтер» продолжает работу. Правда, вводится в действие этот стандарт с ноября 2021 года, так что время разобраться ещё есть. Давайте посмотрим, какова польза или вред от этого документа.

 

«НОЖИК ПЕРОЧИННЫЙ, ПЕРОЧИННЫЙ НОЖИК»

Видимо, согласно русской поговорке «Повторенье – мать ученья», в стандарте почти в каждом разделе указывается, что он предоставляет описания высокоуровневой базовой архитектуры и соответствующих мер защиты персональных данных в информационных системах персональных данных. Да и вообще, в стандарте очень много повторов, одна и та же мысль в разных разделах многократно повторяется с небольшими интерпретациями. Конечно, в этом нет ничего плохого, но читать тяжело. Думаю, это наследие международного стандарта, хотя можно было написать и простым доступным языком. Не будем забывать, что стандарт рассчитан на разработчиков ИСПДн и является техническим руководством, поэтому должен быть понятен с первого прочтения. Но если бы это была единственная претензия к стандарту, то жить было бы можно.

В стандарте очень много тривиальных деклараций типа «персональные данные надо всегда защищать» или «защита персональных данных является целью обеспечения безопасности информации». Эти повторы не привносят ничего нового. И конечно же, стандарт ну никак не вписывается в существующую систему нормативно-правовых актов по вопросам защиты персональных данных. Документ претендует на техническое руководство по построению архитектуры защиты, но сами технические требования, изложенные в приказах и постановлениях регуляторов, никоим образом не увязаны с положениями стандарта. По сути, этот стандарт ничего не стандартизирует. Это, наверное, ближе к тому, что называют «лучшие практики», хотя и это не совсем формат этого стандарта.

Кстати, а почему в стандарте среди технических мер делается упор только на три — идентификацию, аутентификацию и авторизацию? Ведь в требованиях регулятора определяется пятнадцать классов мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных. Так что, остальные меры применять не надо? Неувязочка вышла. Мне кажется, что здесь должна быть прямая ссылка на приказ ФСТЭК России, устанавливающий технические требования.

 

ЧТО НОВОГО?

А нового, как ни странно, много. Не будем останавливаться на мелочах типа введения впервые в российской практике понятия «обработчик», однако лучше бы дать этому понятию более чёткое определение и описать его в разделе «термины и определения», это было бы логично.

Наверное, главное – это применение процессного подхода к построению архитектуры защищённых ИСПДн. Стандарт довольно чётко описывает этапы жизненного цикла обработки персональных данных и процессы, которые происходят, что позволяет правильно построить схемы потоков персональных данных и, как следствие, правильно выбрать элементы архитектуры защиты персональных данных. И это – хорошо!

А вот с другой новинкой не всё так однозначно. В благом порыве всё разложить по полочкам и систематизировать стандарт предлагает рассматривать весь процесс обработки персональных данных как взаимодействие трёх ИСПДн: субъекта ПДн, оператора ПДн и обработчика ПДн. Таким образом, появляется новая сущность: ИСПДн субъекта ПДн. С философской точки зрения – это важно. Появление новой сущности (ИСПДн субъекта ПДн) в какой-то степени противоречит фабуле закона о персональных данных. Действительно, закон определил такие сущности, как субъект ПДн и оператор ПДн (ну, ещё есть и обработчик). Каждая из этих сущностей имеет свои полномочия и обладает определёнными правами и обязанностями. Субъект ПДн – это лицо, которое является обладателем [1] ПДн, так как выступает в роли генератора этих данных и свободно в своей воле предоставляет их оператору ПДн. А оператор ПДн отличается от остальных сущностей тем, что самостоятельно или совместно с другими осуществляет обработку персональных данных и при этом определяет цели их обработки, состав и действия (операции), совершаемые с ними [2]. И исходя из этих полномочий оператор ПДн наделяется обязанностями принимать необходимые правовые, организационные и технические меры для защиты персональных данных [3] и несёт за это ответственность. Именно оператор ПДн, а не субъект ПДн, не обработчик ПДн.

А теперь посмотрим на новую сущность ИСПДн субъекта ПДн. По идее, если есть некая ИС, то у неё должен быть хозяин – оператор. Но тогда он должен и отвечать за защиту персональных данных в своей зоне ответственности (что и предполагает стандарт). Получается, что ответственность за защиту персональных данных размывается между тремя сущностями. А это не способствует целостной системе защиты. Логика же закона немного иная. Давайте посмотрим, может ли субъект ПДн выступать в роли оператора? Наверное, нет. Прежде всего, он не определяет цель обработки ПДн, состав и действие с ними и, исходя из определения, уже не может быть оператором ПДн. Закон очень чётко и однозначно определяет, что за весь процесс защиты персональных данных отвечает именно оператор ПДн. Субъект передаёт свои персональные данные оператору для обработки и контролирует саму обработку [4]. Оператор получает персональные данные от субъекта, оценивает угрозы, формирует требования по защите, доводит их до обработчика и контролирует их выполнение [5]. Но при этом именно оператор ПДн, а необработчик получает согласие на обработку персональных данных и несёт ответственность перед субъектом о соблюдении правил их обработки и защиты [6]. Так что введение новой сущности в стандарт может привести к очередному когнитивному диссонансу в головах тех, кто организует защиту персональных данных.

 

Опять «обязаловка»?

А теперь вот о чём. Вообще-то, закон говорит о том, что стандарты у нас применяются добровольно. Однако в отношении стандартов, определяющих требования в целях защиты сведений, относимых к охраняемой в соответствии с законодательством информации (каковыми и являются персональные данные), закон устанавливает обязательность их применения [7]. То есть, другими словами, каждая дефиниция стандарта является обязательной для исполнения. Обратимся к первоисточнику, точнее к п. 6.2 стандарта: «Подтверждение реализации мер защиты следует обеспечивать путём надлежащего документального оформления существующих мер защиты и предоставления заключения стороны, подтверждающей наличие таких мер, их правильную реализацию и надлежащее функционирование». Ключевым здесь будет «предоставления заключения стороны, подтверждающей наличие таких мер». Переведём с казённого на русский. Получается, что все меры должны быть подтверждены каким-то документом от компетентной организации, то есть аттестатом от лицензиата ФСТЭК России. Но в требованиях ФСТЭК России нет таких жёстких мер [8], там есть альтернатива, которую этот стандарт рубит на корню. И мы опять вернулись к «обязаловке», что, наверное, не совсем правильно.

Вот весьма беглый взгляд на новый стандарт. Не сомневаюсь, что другие эксперты, внимательно изучая текст стандарта, найдут ещё много разных разностей. Наверное, и с моим мнением не все согласятся. Но оттачивать документ надо было не после его утверждения, а на этапе его подготовки. Много уже говорили, что для разработки таких концептуальных документов надо привлекать «коллективный разум». Жалко, что и в этот раз не получилось…

 

[1] Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам (Федеральный закон № 149-ФЗ, ст. 2).

[2] Федеральный закон № 152-ФЗ, ст. 3.

[3] Федеральный закон № 152-ФЗ, ст. 19.

[4] Федеральный закон № 152-ФЗ, ст. 14, ст. 16, ст.17.

[5] Федеральный закон № 152-ФЗ, ст. 6.

[6] Федеральный закон № 152, ст. 18, ст. 18.1.

[7] Федеральный закон № 162-ФЗ ст. 4.

[8] Приказ ФСТЭК России № 21, п.6. «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

25.11.2022
Кибердружинники получат юридический статус?
25.11.2022
Стилеры атакуют пользователей Steam, Amazon и PayPal
25.11.2022
Минцифры хочет ввести систему компенсаций для жертв утечек
25.11.2022
Китайские геймеры укладываются в три часа
24.11.2022
Минцифры наметило перестановки в номенклатуре ПО
24.11.2022
Банк России привёл цифры третьего квартала: сколько скамеров заблокировано, сколько похищенных средств возвращено
24.11.2022
Жуки и альтруизм. Российские вендоры обсуждают с властями «госбагбаунти»
24.11.2022
ИТ-компании, не раскрывшие налоговую тайну, лишатся аккредитации
23.11.2022
Глубоководный горизонт 2.0? Американский нефтегаз — на прицеле у хакеров
23.11.2022
Bloomberg: «Мир» не стал заменой Visa и Mastercard за пределами России

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных