Новые нормативы по безопасности при обработке персональных данных противоречат федеральному законодательству, вводят неоднозначную терминологию, и в целом невыполнимы, уверены эксперты.

Эксперты по информационной безопасности без энтузиазма встретили подписание Дмитрием Медведевым новых нормативов обработки персональных данных, содержащихся в постановлении главы правительства носит №1119.

Управляющий партнер агентства «Емельянников, Попова и партнеры» Михаил Емельянников напоминает, что постановление №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» содержит «характерные для последних регламентирующих документов в области информационной безопасности вообще и персональных данных в частности проблемы и недостатки».

Оно активно критиковалось специалистами-практиками еще на этапах подготовки документа, обсуждения и оценки регулирующего воздействия, однако, мнение профессионалов так и не было услышано, сожалеет эксперт.

Напомним, что постановление №1119 было подписано Дмитрием Медведевым 1 ноября 2012 г.

«Содержание постановления не соответствует требованиям ФЗ «О персональных данных», - говорит эксперт. Этот закон поручал правительству установить уровни защищенности персональных данных при их обработке в информационных системах и требования, исполнение которых обеспечивает установленные уровни защищенности, в том числе с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которой обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Однако, в постановлении не указаны способы и порядок учета возможного вреда субъекту и вида деятельности оператора при реализации защитных мер. Эта работа перекладывается на самого оператора, у которого, как правило, для этого нет ни специалистов, ни должного понимания вопроса.

Массу вопросов вызывает используемая в «Требованиях» классификация возможных типов угроз безопасности в зависимости от наличия недекларированных возможностей (НДВ) в системном и прикладном программном обеспечении. При этом никаких требований к сертификации операционных систем и приложений, обрабатывающих персональные данные, ни в постановлении, ни в других нормативных актах не выдвигается, а средства защиты информации, даже и прошедшие оценку соответствия в форме обязательной сертификации, угрозы использования злоумышленником недекларированных возможностей (НДВ) никак не нейтрализуют и нейтрализовать не могут. В чем тогда смысл выделения именно этих типов угроз и как с ними бороться, остается непонятным, удивляется Емельянников.

Само понятие недекларированных возможностей для абсолютного большинства операторов является непонятным, и совершенно неясно, как они будут самостоятельно оценивать актуальность для себя подобных угроз. Сомнительным представляется радикальное влияние на безопасность персональных данных таких предлагаемых постановлением мер, как назначение должностного лица или создание структурного подразделения, ответственных за обеспечение безопасности персональных данных в информационной системе. Как это скажется на возможности нейтрализации угроз использования недекларированных возможностей операционных систем и приложений, по мнению эксперта, совершенно не ясно.

«Требования оперируют терминами, определения которых отсутствуют. Так, непонятно, что подразумевается под электронным журналом сообщений (п.15 требований) и электронным журналом безопасности (п.16 требований). Это одни и те же журналы или разные? Если речь идет о логах, то о каких – операционной системы, приложений, средств защиты информации? Всех или части из них? Ответов на эти вопросы в документе нет», - продолжает Емельянников.

Не используется в российском законодательстве, в том числе в трудовом, термин «сотрудники оператора», Постановлением это понятие вводится, но не дается его определение.

Постановление вводит отсутствующее в законе 152-ФЗ понятие «общедоступные персональные данные», к тому же сводящие их только к указанным в ст.8 (общедоступные источники). Сведения, подлежащие опубликованию и обязательному раскрытию, под эту категорию не подпадают, как и сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Как быть с ними, опять остается неясным.

Ранее ИБ-эксперт Алексей Лукацкий в своем блоге выражал тревогу, что при соблюдении буквы постановления становится незаконным использование мобильных устройств для персональных данных: даже для минимального уровня защищенности постановление устанавливает режим безопасности, при котором планшет с персональными данными должен находиться в помещении, куда посторонние не имеют доступа.

Таким образом, становится невозможным использование планшетов и других мобильных устройств сотрудниками ГИБДД, таможенниками или врачами, работающими вне особых особо охраняемых помещений. Кроме того, под вопросом оказывается возможность организации точек продаж в торговых или дилерских центрах, то есть вне офиса организации, где она могла бы обеспечить предписываемый законом уровень защищенности персональных данных.

«Не могу не согласиться с Алексеем Лукацким в том, что «Требования» фактически запрещают использовать для обработки персональных данных мобильные устройства вне контролируемой оператором территории», - говорит Михаил Емельянников.

Документ содержит обязательное для всех уровней защищенности требование о таком режиме безопасности помещений, в которых размещена информационная система, при котором невозможно проникновение или пребывание в них посторонних лиц. Между тем любой современный мобильный телефон или коммуникатор – это уже информационная система персональных данных, не говоря уже о планшетах и ноутбуках, замечает эксперт.

Наконец, говорит эксперт, постановление сможет заработать в полном объеме только после принятия соответствующих актов ФСБ, ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты.

До принятия дополнительных актов оператору персональных данных практически невозможно выполнить требования, установленные постановлением №1119, резюмирует эксперт.