Министерство цифрового развития, связи и массовых коммуникаций РФ разработало проект приказа "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности".
Проект приказа определяет актуальные угрозы безопасности персональных данных, а также устанавливает единый подход к определению угроз безопасности персональных данных, актуальных при их обработке в конкретных информационных системах (ИС), и к разработке на их основе частных моделей угроз безопасности персональных данных для этих ИС.
Как отмечено в документе, адаптация актуальных угроз направлена на уточнение (уменьшение) перечня угроз безопасности персональных данных, актуальных при обработке персональных данных в ИС, и осуществляется с учетом их структурно-функциональных характеристик, применяемых информационных технологий и особенностей функционирования (в том числе исключение угроз, которые непосредственно связаны с информационными технологиями, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС).
Принятие проекта приказа дополнительного финансирования из федерального бюджета не потребует.
В пресс-службе Минцифры рассказали, что принятие проекта приказа позволит установить единый подход к определению угроз безопасности персональных данных, актуальных при их обработке в конкретных информационных системах, эксплуатируемых в сферах, регулирование которых осуществляет Минцифры.
"После принятия ведомственного акта, содержащийся в нем перечень угроз будет учитываться операторами при разработке частных моделей угроз безопасности персональных данных для конкретных информационных систем путем адаптации в ходе определения актуальных угроз безопасности персональных данных. Принятие соответствующего нормативного правового акта предусмотрено частью 5 статьи 19 152-ФЗ от 27.07.2006 "О персональных данных" (в редакции от 25.07.2011 № 261-ФЗ) ", - объяснили в пресс-службе Минцифра.
По словам представителя пресс-службы Минцифры, данный проект приказа разработан для актуализации изданного в 2010 году в Минкомсвязью документа, определяющего угрозы безопасности персональных данных, обрабатываемых в специальных информационных системах персональных данных отрасли. Тот приказ был согласован в установленном порядке с уполномоченными федеральными органами власти и одобрен решением Научно-технического совета Минкомсвязи России.
Директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов отметил, что нормативные документы в области ИБ позволяют операторам персональных данных самостоятельно определять, какие угрозы актуальны для обрабатываемых данных. "Если защита от какой-то угрозы, например, от APT-атаки (сложная целенаправленная атака) на систему со стороны серьезной хакерской группировки требует серьезных затрат, то у оператора есть возможность заявить, что он считает эту угрозу неактуальной. При этом у регуляторов нет правовых оснований по данному решению, что дает оператору возможность легально не выполнять свои обязанности по защите данных от таких угроз. Проект приказа призван такие правовые основания создать: в сферах деятельности, поднадзорных Минцифре, все классы угроз, указанные в приказе, априори считаются актуальными. К сожалению, это изменение затронет лишь отдельные сферы деятельности: связь, средства массовой информации, государственные услуги и т.п., поэтому какого-то серьезного влияния на ситуацию с защитой персональных данных в целом этот приказ оказать не может", - рассказал Дмитрий Кузнецов.
Директор департамента информационной безопасности компании Oberon Евгений Суханов подчеркнул, что документ подготовлен для определения модели угроз в информационных системах, за которые отвечает Минцифры РФ. По его словам, ранее использовалась "базовая модель угроз персональных данных в системах персональных данных", утвержденная ФСТЭК России от 15 февраля 2008 г. "Минцифры РФ продолжило обновление модели — это хорошая практика, поскольку угрозы меняются" - считает Евгений Суханов.
"Для формирования организационно-технических мер защиты персональных данных (да и вообще любой информации) традиционно создаются два документа — модель угроз и модель нарушителя. Актуализированная базовая модель нарушителя будет обновлена следующей. Когда законодательная база меняется вместе с развитием отрасли кибербезопасности — это всегда хорошо. Сложно выстраивать современные системы защиты информации, не имея актуальных регулирующих документов под рукой. На мой взгляд, данная инициатива Минцифры РФ поможет бизнесу выстраивать актуальные ИБ-системы с высоким уровнем защищенности от атак", - объяснил Евгений Суханов.
Руководитель отдела консалтинга департамента аудита и консалтинга Group-IB Андрей Алябьев напоминает, что по данным ЦБ, в 2019 году в даркнете были обнаружены 13 тыс. объявлений о продаже и покупке персональных данных россиян. По мнению Андрея Алябьева, организации, которые работают с личными сведениями, зачастую не способны предотвратить утечки: они экономят на средствах защиты и зарплатах сотрудников, что может побудить последних вступить в сговор со злоумышленниками. Чаще всего различные базы оказываются в открытом доступе именно по вине инсайдеров.
"Сфера обработки и хранения персональных данных нуждается в серьезных изменениях. Это комплексная задача, она не сводится исключительно к разработке новых документов с более строгими требованиями. И рассматриваемый проект нормативного акта не способен решить все проблемы. Необходимо создание механизмов и условий для реального соблюдения принципов приватности и безопасности данных со стороны всех игроков рынка. Например, нужно минимизировать объем собираемых данных и ограничить сроки их хранения. Граждане должны иметь возможность контролировать распространение своих персональных данных. Должна быть сформирована единая правоприменительная практика в случае выявления нарушений со стороны операторов. Усиление контроля и надзора за организациями может стать еще одним шагом на пути к цели. В вопросе определения актуальных угроз перспективно выглядит подход ФСТЭК, изложенный в проекте методики моделирования угроз. В соответствии с ним, организациям предлагается выстраивать цепочки разных сценариев потенциальных атак, что позволит более эффективно им противодействовать на разных этапах реализации", - сообщает Андрей Алябьев.
Управляющий партнер юридической фирмы Axis Pravo Алексей Сулин подчеркивает, что в условиях, когда сбор персональных данных граждан и их обработка приобретает повсеместный характер, любые разумные меры, направленные на повышение безопасности хранения и обработки персональных данных являются уместными. "Приказ Минцифры находится в общем векторе законодательного регулирования, основы которого заложены федеральным законом "О персональных данных". Пункт 5 статьи 19 данного закона возлагает на федеральные органы исполнительной власти обязанность по принятию нормативных актов в пределах своих полномочий, устанавливающих угрозы безопасности персональных данных. Подобный дифференцированный подход, в зависимости от степени угрозы и вероятности утечки персональных данных, безусловно, следует считать конструктивным", - отмечает Алексей Сулин.
Владелец IT-legal компании "Катков и партнеры" Павел Катков считает, что проект данного приказа - шаг в верном направлении. "Чем более осознанным будет подход к угрозам безопасности в отношении персональных данных, чем более проработанным будет противодействие этим угрозам, тем, соответственно, выше шансы на успех. Думаю, можно ожидать, что этот приказ станет частью большой системы управления этими угрозами - во всяком случае, исходя из нашего опыта, это было бы правильно", - рассказал Павел Катков.
Анна Сапрыкина