"Пода-а-а-айте жалобную книгу" или еще раз о требованиях к ИСПДн

В очередной раз столкнувшись с фактическими требованиями законодательства по защите ИСПДн, автор не смог сдержаться и провел небольшой экспресс-анализ, чтобы продемонстрировать несоответствие желаемого и действительного в современной науке защиты информации на уровне оценки соответствия в России. Иными словами, есть возможность еще раз взглянуть на источники разночтений и заблуждений в таком благодатном в современной России деле, как защита персональных данных.

Немного истории новейшего времени

Речь сегодня пойдет о методах и способах обеспечения безопасности персональных данных при их обработке в ИСПДн. Слово "требования" старательно избегается, и вот почему. Как известно, изначально нормативная база по защите персональных данных состояла из следующих документов:

• Собственно, сам закон "О персональных данных";
• Положение о защите персональных данных в ИСПДн;
• "Приказ трех", он же порядок классификации ИСПДн (где вводятся знаменитые и до конца не понятые до сих пор понятия "типовой" и "специальной" ИСПДн);
• Знаменитое "четырехкнижье", которое являлось документом с грифом "ДСП", и выдавалось только лицензиатам ФСТЭК для организации работ по обеспечению информационной безопасности.

Стоит отметить специфический характер данных документов. Если первые три прошли утверждение в МинЮсте и формально были приняты в качестве легитимных документов, имеющих юридическую силу в правовом поле (например, при рассмотрении дел в суде), то "четырехкнижье" такое утверждение не прошли. Особо въедливые специалисты поспешили окрестить эти документы "необязательными и вообще незаконными", хотя сомнений в добровольно-принудительном характере "рекомендаций" регуляторов вопросов ни у кого не возникало. Впоследствии "четырехкнижье" было частично отменено, остались только Базовая модель угроз и Методика определения актуальных угроз, с которых был снят гриф "ДСП", а вместо Рекомендаций было введено знаменитое "Положение о методах и способах защиты...", известное в среде специалистов как Приказ №58. Стоит заметить, что данный документ был зарегистрирован в МинЮсте, что отмело в дальнейшем все вопросы к его правоприменимости. Данный документ включил в себя большую часть положений предыдущих документов ФСТЭК и ФСБ по защите ПДн, поэтому формально ничего нового не произошло. На самом же деле произошло следующее.
Изначально ИСПДн целиком и полностью позиционировалась как АС. Классификация ИСПДн и классификация АС, границы которой совпадают с границами ИСПДн, - два самостоятельных (хоть и взаимосвязанных) мероприятия, а требования по защите к ИСПДн совпадают с требования к АС. Требования к АС, если кто забыл, находятся в руководящем документе ГТК "Автоматизированные системы. Защита от НСД. Классификация АС и требования по защите информации". Требования по защите информации к АС являются именно требованиями, то есть обязательны для выполнения в защищаемых АС и оцениваются при аттестации. Тут кроется еще одна "красивая легенда" защиты персональны данных - аттестация. Аттестации ИСПДн в природе никогда не существовало, а существовал и существует аттестация АС. Для ИСПДн классов К1 и К2 аттестация АС была обязательной. Требования, опять же, определялись актом классификации АС, тогда как классификация ИСПДн была призвана не столько определить требования по защите (вернее, не только это), сколько определить характеристики ИСПДн через понятные интуитивно категории, позволяющие явно указать, кому, когда и сколько чего грозит, в случае нарушений и реализации рисков.
С введением приказа №58 стало очевидно, что защита ИСПДн пошла своим, если можно так сказать, уникальным путем развития. Фактически, состоялся переход от системы оценки соответствия (как это называлось на западе - комплаенса) к системе защиты с полным перекрытием, то есть защиты была не в соответствии каким-то ранее установленным характеристикам (впрочем, весьма правдивым в большинстве случаев), а в соответствии с требованиями ситуации (фактически, ранний риск-менеджмент). Требования к АС по прежнему составляют основу для защиты ИСПДн соответствующего класса. Однако, следуя формулировки нового нормативного документа, он предоставляет не обязательный к реализации набором требований к ИСПДн различных классов, а комплекс мер, судя по всему, достаточных для защиты этих ИСПДн. В документе нет ни слова об обязательности этих комплексов, а само понятие "требования" тщательно вычищено из него и заменено на политкорректное "методы и способы защиты..", предполагая, что этим можно воспользоваться, а вот нужно ли - решать вроде как вам.
Со своей точки зрения автор хочет напомнить, что данная формулировка создает обманчивую иллюзию возможности трактовать этот документ как набор рекомендаций. При этом не стоит забывать, что обязательность рекомендаций высших регуляторов никогда не была под сомнением. Если даже Стандарт Банка России, являясь необязательным просто по факту своего происхождения (обязательность применения ГОСТов была отменена в 2004 году), является фактически обязательным для финансовых и кредитных организаций в зоне ответственности этого самого Банка, то что говорить о "рекомендация" регулятора, гораздо более властного, чем ЦБ РФ?

Проблемы и несоответствия

Следует отметить, что с вводом приказа №58 и применением его в качестве авторитетного источника фактических требований к ИСПДн различных классов, выявился ряд проблем, большинство из которых не решено до сих пор, или имеет исключительно локальное решение, основанное на опыте наиболее крупного интегратора или авторитетного регулятора. Далее приводятся некоторые наиболее явные несоответствия с практикой и "объективной реальностью".

1. "Отмена" аттестации
   Факт отмены был зафиксирован исключительно через отсутствие соответствующего требования в составе документа. Действительно, регуляторы и крупные интеграторы признают, что необходимость аттестации АС для ИСПДн больше не регламентируется. Однако, былинный документ ГТК "Специальные требования и рекомендации по технической защите конфиденциальной информации", известный больше как СТР-К, вполне явно говорит в статье 2.17, что "объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации...". Согласно Положению об аттестации, на основе которого до сих пор и осуществляется эта пресловутая оценка соответствия, под объектом информатизации в том числе понимается АС. Если сложить это с тем фактом, что СТР-К обязателен для применения в государственных учреждениях, становится понятно, почему подавляющее большинство государственных заказчиков считают аттестацию по прежнему обязательным "знаком соответствия" разрабатываемых систем. ФСТЭК с ними вполне соглашается.
2. Требования к антивирусной защите, системе обнаружения вторжений и анализу защищенности
   Данные системы защиты от НСД начисто отсутствуют в РД 1992 года, поэтому их использование - исключительная прерогатива ИСПДн. Большинством специалистов применение этих систем считается обязательным. Логика этого, впрочем, понятна. Необходимость развертывания этих систем, это как минимум - дополнительный "кусок хлеба". Однако, приказ №58 дает весьма расплывчатые объяснения по этому поводу.
   Применение антивирусной защиты регламентируется пунктом 2.3 приказа, гласящим, что "в информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена..., или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты". Хотя формулировка "используются" наводит на мысль, что это не совсем то же самое, что "необходимо использовать" или "требуется использование", с этой подсистемой вопросов возникает меньше всего.
   Применение системы обнаружения вторжений и систем анализа защищенности регламентируется пунктом 2.4 приказа, где сказано: "при взаимодействии информационных систем с информационно-телекоммуникационными сетями международного обмена...методами и способами защиты информации от несанкционированного доступа являются: ...-обнаружение вторжений в информационную систему... - анализа защищенности информационных систем...". В целом, претензии к формулировке в части обязательности те же, что и раньше, но появляется новая проблема - пункт 2.2. того же приказа гласит: "...методы и способы защиты информации от несанкционированного доступа...в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению". А в приложении расписаны требования к основным подсистемам ИБ для каждого класса в пунктах 2-4. Об этих системах - ни слова. Все становится более-менее ясно в пунктах 5 и 6, где упоминаются эти две системы. Однако, структура документа и непрозрачные формулировки опять не дают понять, к чему именно и насколько необходимо применять эти средства защиты.
3. Формулировка требований к ИСПДн в зависимости от класса и характеристик, заданных оператором (типовые и специальные ИСПДн)
   Вдаваться в воспоминания "трехголового" приказа нет смысла, стоит лишь отметить, что он сформулирован таким образом, что классы К1-К4 применяются ко всем ИСПДн, однако признаки классификации есть в явном виде только для типовых ИСПДн. Эту проблему до сих (то есть до ввода положения об уровнях защищенности, которое уничтожит старую систему классификации) пытаются решить технические специалисты. Большинство приняло позицию, что для специальных ИСПДн класс определяется на основе модели угроз в соответствии с вербальным описанием класса, данным в пункте 14 этого приказа (там  же, где употребляется противоречивая формулировка "По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов), тем более, что на основе этих классов определяются требования к защите. Согласно пункту 15 "приказа Трех", класс специальной ИСПДн определяется на основе актуальных угроз безопасности. То есть фактически, для типовой ИСПДн для классификации достаточно классификационных признаков, а для специальной необходим перечень актуальных угроз. Однако, некоторые специалисты, по мнению автора, путают причину и следствие.
   Данный пример автором был почерпнут при анализе околотехнической брошюры одного известного российского производителя средств защиты. В ней говорится, что для ИСПДн К1 и К2 применение АПМДЗ является обязательным на основе существования актуальной угрозы загрузки с внешнего носителя. Авторы брошюры, то есть производители АПМДЗ, рассматривают необходимость применения средства защиты для защиты от актуальной угрозы, что совершенно верно. Однако, они утверждают, что актуальность угрозы определяется классом ИСПДн. Так, например "в системах К1 все оцениваемые угрозы являются актуальными по причине высокого уровня показателя опасности...". Эта фраза справедлива отчасти, однако, согласно документации, определить, является ли система К1 или нет, возможно только после определения актуальных угроз. А значит, могут быть угроз, неактуальные даже с учетом класса системы К1.
   Следует отметить, что угроза загрузки с внешнего носителя (приведенная в документе "Базовая модель угроз..." для ИСПДн практически каждого из возможных типов) будет актуальна в большинстве случаев, это объективный факт. На основе результата анализа угроз будет принято вполне закономерное решение нейтрализовать эту угрозу применением АПМДЗ, о чем и говорят авторы брошюры. Однако, нейтрализация актуальных угроз, согласно действующим нормативным документам, применяется настолько гибко только в отношении специальных ИСПДн, где определяющим является модель угроз, а не требования к классу из приказа №58. Если рассматриваемая ИСПДн - типовая, то применяются "методы и способы", описанные в приказе №58, а там про те же АПМДЗ - ни слова.

Вывод

На самом деле, стоит сказать, что подходы к защите ИСПДн разных типов, классов и характеристик определяются на сегодняшний момент скорее практикой, чем нормативными документами. Однако, такое состояние нормативных документов дает слишком большую свободу для толкований, которая недопустима в условиях текущего законодательства и осознанности гражданами (субъектами ПДн) и организациями (операторами ПДн) важности этого процесса.