Краудсорсинг (англ. crowdsourcing, crowd - «толпа» и sourcing - «использование ресурсов») - привлечение к решению тех или иных проблем инновационной производственной деятельности широкого круга лиц для использования их творческих способностей, знаний и опыта по типу субподрядной работы на добровольных началах с применением инфокоммуникационных технологий.
Такое определение предлагает нам Википедия.

Недавно мы писали о таком понятии, как . Сегодня мы подробнее остановимся на краудсорсинге, который имеет определенные схожие черты с краудфандингом, однако основной смысл этих понятий несколько разный.

Если краудфандинг – это объединение финансовых усилий разных людей, то краудсорсинг – это объединение любых других ресурсов, которые нужны для достижения поставленной цели.

Как появился краудсорсинг

Автор самого термина «краудсорсинг» - Джеф Хау, который ввел его в оборот в 2006 году. Тогда он, совместно с издателем Марком Робинсоном, опубликовал статью, в которой описал принцип действия краудсорсинга и привел примеры. В этой статье краудсорсинг в большей степени сравнивался с аутсорсингом, и делался упор на их отличия: аутсорсинг базируется на выполнении определенных заданий специалистами за денежное вознаграждение, а краудсорсинг предполагает выполнение работы преимущественно любителями и без какой-либо денежной оплаты (либо чисто символической).

Впервые краудсорсинг был использован компанией I Stock Photo, которая стала одним из самых успешных фотобанков в истории. Если другие фотобанки предоставляли пользователям фотографии по 100-150 долларов за одно скачивание, то на I Stock Photo можно было скачать фото всего за 1 доллар, да и выбор фотографий был значительно шире. Возникает вопрос «Причем здесь краудсорсинг»? Дело в том, что все эти фотографии загружались на сайт обычными пользователями на чисто добровольной основе.

Далее было опубликовано еще немало материалов о краудсорсинге, один из самых известных – это статья в журнале «Sloan Management Review» в 2011 году. Её авторами являются два профессора (преподающих в Японии и Германии), которые глубинно исследовали то, как использование краудсорсинга может положительно влиять на работу крупных организаций. Свои выводы они представили в виде лаконичного описания деятельности двух компаний, которые с помощью краудсорсинга значительно повысили свою эффективность.

Механизм краудсорсинга

Сам принцип краудсорсинга очень прост: группе заинтересованных лиц дается определенное задание (чаще всего это делается посредством интернета), затем выполнившие это задание предлагают свои варианты его выполнения заказчику, который в свою очередь их рассматривает, выбирает наиболее оптимальные и затем внедряет их в свою деятельность.

Преимущества краудсорсинга

Итак, используя краудсорсинг, вы даете себе возможность:

1) привлекать к своему проекту множество людей со всего мира. Количество сотрудников любой компании всегда ограничено, а с помощью краудсорсинга вы можете привлечь к выполнению нужной задачи огромное количество талантливых людей по всему миру;

2) следить за ходом выполнения задачи. Краудсорсинг позволяет оптимально распределять нагрузку и, в случае необходимости, прибегать к использованию вспомогательных ресурсов;

3) находить и привлекать к работе редких выдающихся специалистов. Часто случается так, что в краудсорсинге участвуют те специалисты, которые при других условиях просто не имели бы возможность принять участие в выполнении конкретной задачи ввиду различных причин. Например, человек работает в экономической сфере, но на самом деле его призвание – это дизайн. Он способен блестяще выполнять задачи, связанные с разработкой дизайна, но по тем или иным причинам не нашел постоянного места работы в этой сфере. Вот он-то и нужен той компании, которая привлекает талантливых дизайнеров (пусть и не совсем профессиональных) для выполнения поставленной задачи;

4) получить множество вариантов выполнения одного задания и выбрать наилучшее. В то время как если бы эту работу выполнял штатный сотрудник вашей компании, вы бы получили только один вариант выполнения (в лучшем случае несколько, но никак не тысячи);

5) получить варианты выполненного задания в четко установленный период времени. Чаще всего краудсорсинг предполагает решение поставленных целей в определенных временных рамках. Это позволяет не задерживать выполнение задачи на неопределенный срок.

Виды краудсорсинга

Краудсорсинг можно разделить по сферам, где он используется, и по видам заданий, которые он выполняет. Сферы, в которых используется краудсорсинг – бизнес, политика, социально-общественная сфера.

1) Бизнес-краудсорсинг. Это, пожалуй, самый распространенный вид краудсорсинга, так как именно в сфере бизнеса чаще всего возникают задачи, при выборе решений которых лучше всего опираться не на единственный вариант, а на их множество, и выбирать оптимальный. Примеры краудсорсинга в бизнесе: разработка слогана для рекламной кампании, разработка дизайна обложки музыкального альбома и т.д.

2) Социально-общественный краудсорсинг. Этот вид краудсорсинга опирается на решение любых задач, связанных с общественно значимыми вопросами и социальной жизнью людей. Проекты, связанные с поиском без вести пропавших людей, строительство детского сада или другого объекта общими усилиями или различные благотворительные проекты – всё это социальный краудсорсинг.

3) Политический краудсорсинг. Под эту категорию попадают проекты, связанные с выяснением мнения о тех или иных действиях государства. Обычно этот вид краудсорсинга осуществляется в режиме голосования.

Задания, которые можно выполнять посредством краудсорсинга:

1. Создание контента или продукта.
2. Поиск оптимального решения в каком-либо вопросе.
3. Поиск пропавших людей.
4. Сбор и обработка информации.
5. Выяснение мнений.

Недоверие к краудсорсингу

Существуют довольно скептические мнения касательно применения краудсорсинга. Причинами такого отношения является следующее. Во-первых, противники краудсорсинга считают, что посредством толпы невозможно создать что-либо по-настоящему качественное. Во-вторых, настоящие профессионалы своего дела никогда не обратят внимания на краудсорсинговые проекты, так как они в своем большинстве является неоплачиваемыми, так сказать, «за идею». А работать «за идею» - это скорее удел любителей, чем профессионалов. В-третьих, возникает большой риск потери важной информации. Когда компания выставляет на краудсорсинг определенный проект, соответственно, она предоставляет некоторую информацию, которая необходима исполнителям для решения задачи. А конкуренты с легкостью могут проследить эту информацию и использовать это знание в своих целях.

Оспаривать все эти мнения или соглашаться с ними – дело каждого. Между тем, краудсорсинг имеет как блестящие примеры своего применения, так и полностью провальные.

21 Приказ ФСТЭК: что делать оператору персональных данных?

28 мая на сайте ФСТЭК был выложен уже утвержденный Приказ №21 от 18 февраля 2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее – Приказ №21).

Этот документ определяет состав и содержание организационно-технических мер по защите персональных данных, заменяя старый документ – Приказ ФСТЭК №58 от 5 февраля 2010 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее – Приказ №58). Без преувеличения можно сказать, что все ИБ-сообщество, затаив дыхание, ожидало выхода Приказа №21, который должен был внести ясность – чего регуляторы ждут от операторов? И вот документ утвержден и обязателен к исполнению, давайте его проанализируем.

Законодательство в сфере защиты персональных данных постоянно меняется, изначально состав организационно-технических мер регламентировался "четверокнижием". Затем в 2010 году был издан Приказ №58, который действовал еще в этом году до утверждения Приказа №21, о котором мы сегодня и поговорим. Почву для отмены Приказа №58 подготовило Постановление Правительства №1119 от 01 ноября 2012 года "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", которое в свою очередь отменило Постановление Правительства №781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" от 17 ноября 2007 г.

В Постановлении Правительства №1119 был введен новый процесс классификации информационных систем, вместо четырех классов (1К, 2К, 3К, 4К) появилось 4 уровня защищенности, тесно связанных с типами актуальных угроз. Операторам пришлось переклассифицировать свои системы, а вот каким образом их защищать было совершенно непонятно, т.к. в Приказе №58 говорилось о мерах защиты применительно к классам, а не уровням. Возникшее противоречие в законодательстве и исправил Приказ №21.

В сферу действия Приказа №21 не попадают защита государственной тайны и защита персональных данных с использованием криптографических средств2. Как и в Приказе №58 оператор может привлекать для защиты персональных данных организацию, имеющую лицензию на деятельность по технической защите конфиденциальной информации, либо выполнять работы самостоятельно. В Приказе №21, как и в его предшественнике, затронут вопрос о применении сертифицированных средств защиты информации.

Меры по обеспечению безопасности персональных данных реализуются, в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Оценка актуальности угроз проводится оператором с учетом оценки возможного вреда субъекту персональных данных. Оценка эффективности применяемых мер проводится не реже, чем раз в три года самостоятельно, либо с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

В данный перечень входят:

Оператору предлагается определить список защитных мер следующим образом:

Этап 1. Определяем базовый набор мер защиты. В приложении к Приказу №21 приведена сводная таблица мер по обеспечению безопасности персональных данных. Рассмотрим работу с таблицей на примере следующей строки:

ИАФ.2 обозначает, что мера относится к классу мер "Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)" и является второй в списке мер этого класса. Во втором столбце дается описание меры – в нашем случае это идентификация и аутентификация устройств. Третий столбец разделен на 4 части, что соответствует 4 уровням защищенности. Знак "+" означает, что мера для данного уровня является базовой. Мера ИАФ.2 является базовой для 1 и 2 уровня. Для уровня 3 и 4 данная мера является необязательной и может применяться только для адаптации базового набора.

Итак, оператор на первом этапе должен выделить все меры, напротив которых стоит знак "+" в нужном ему столбце с номером уровня защищенности.

Этап 2. Адаптируем базовый набор мер под свою систему с учетом особенностей ее функционирования, исключаем те меры, которые связаны с информационными технологиями, не используемыми в информационной системе, или структурно­-функциональными характеристиками, не свойственными информационной системе. Например, для меры ИАФ.2 можно исключить идентификацию и аутентификацию портативных устройств, т.к. они не используются в информационной системе.

Этап 3. Уточняем список мер с учетом не выбранных ранее мер для нейтрализации актуальных угроз. На этом этапе мы можем включить меру ИАФ.2 в список мер для 3 и 4 уровня защищенности.

Этап 4. Добавляем меры, обеспечивающие выполнение требований к защите персональных данных, установленных иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации. Например, добавляем перечень мер, связанных с защитой криптографическими средствами.

Этап 5 (необязательный). Выбираем компенсирующие меры. Очень важным для оператора является оговоренная в документе возможность замены приведенного перечня мер на иные, если предлагаемые меры по техническим причинам невыполнимы, либо экономически нецелесообразны. Такая замена должна проводиться с обязательным обоснованием необходимости применения компенсирующих мер. При использовании новых технологий, для которых характерны угрозы, не рассмотренные в рамках Приказа №21, применение компенсирующих мер обязательно.

Проанализировав Приказ №21 можно сказать, что документ действительно вносит ясность в неразрешенные вопросы защиты персональных данных, некоторые его положения, в первую очередь самостоятельная оценка эффективности и применение компенсирующих мер, значительно облегчают жизнь операторам.

Все меры противодействия компьютерным преступлениям можно условно подразделить на технические, организационные и правовые .

Возможна и другая классификация, при которой все меры подразделяются на правовые, организационно-технические и экономические 14 .

К экономическим мерам защиты компьютерной информации относится разработка программ обеспечения информационной безопасности России и определение порядка их финансирования, а также совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических мер защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

11.3.1. Организационные меры защиты

Организационные меры защиты информации и информационных систем включают в себя совокупность организационных мероприятий по подбору, проверке и инструктажу персонала, осуществлению режима секретности, обеспечению физической охраны объектов . Кроме вышеперечисленных к организационным мерам относятся:

исключение случаев ведения особо важных работ только одним человеком;

наличие плана восстановления работоспособности центра после выхода его из строя;

организация обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра;

универсальность средств защиты от всех пользователей (включая высшее руководство);

возложение ответственности на лицо, которое должно обеспечить безопасность центра;

выбор места расположения центра и т.п.

Организационные мероприятия рассматриваются многими специалистами, занимающимися вопросами безопасности компьютерных систем, как наиболее важные и эффективные из всех средств защиты. Это связано с тем, что ониявляются фундаментом, на котором строится вся система защиты 15 .

Применяемые в отдельных предприятиях, организациях и учреждениях, фирмах, компаниях организационные меры защиты информации включают использование паролей и других средств, исключающих доступ к программным и информационным файлам, а также другие меры, которые в массовом масштабе не реализуются. В целях исключения неправомерного доступа к компьютерной информации предприятий, организаций и учреждений, фирм, компаний необходимо периодически реализовывать следующие организационные мероприятия :

просматривать всю документацию соответствующего учреждения, организации, фирмы, компании;

знакомиться с должностными инструкциями каждого сотрудника;

определять возможные каналы утечки информации;

намечать реальные мероприятия по ликвидации слабых звеньев в защите информации.

11.3.2. Технические меры защиты

К техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и т.д .

Все технические методы подразделяются на аппаратные, программные и комплексные. Аппаратные методы предназначены для защиты от неправомерного доступа аппаратных средств и средств связи.Аппаратные средства и методы защиты реализуются путем применения различных технических устройств специального назначения. К ним относятся:

источники бесперебойного питания аппаратуры, а также различные устройства стабилизации, предохраняющие от резких скачкообразных перепадов напряжения и пиковых нагрузок в сети электропитания;

устройства экранирования аппаратуры, линий проводной связи и помещений, в которых находится компьютерная техника;

устройства определения и фиксации номера вызывающего абонента, работающие по принципу обычного телефонного автоматического определителя номера (АОН);

устройства, обеспечивающие только санкционированный физический доступ пользователя на охраняемые объекты средств компьютерной техники (шифрозамки, устройства идентификации личности и т.п.);

устройства идентификации и фиксации терминалов пользователей при попытках несанкционированного доступа к компьютерной сети;

средства охранно-пожарной сигнализации;

средства защиты портов компьютерной техники.

Говоря о мерах защиты персональных компьютеров, необходимо назвать ключи блокировки, применяемые для опознания пользователей. Заметим, что эффективность защиты возрастает при использовании совокупности технических методов опознания пользователей и паролей доступа. Своеобразным ключом блокировки может являться специальное внешнее устройство, находящееся непосредственно у пользователя, приемная часть которого монтируется непосредственно в персональный компьютер и за счет блокировки обеспечивает доступ к ресурсам персонального компьютера. Ключевым блокирующим устройством должно быть как средство идентификации личности по физическим параметрам, так и средство аутентификации.

Незаконное копирование данных с машинных носителей или непосредственно из оперативного запоминающего устройства предотвращается с помощью специального кодирования хранящейся и обрабатываемой информации. Кодирование может производиться с помощью соответствующих подпрограмм и дополнительного кодирующего оборудования. Кодирование в этом случае используется как мера защиты и безопасности данных не только при хранении и обработке информации в персональном компьютере, но и при передаче данных от одного вычислительного комплекса к другому.

Практическое использование технических мер по защите данных показало, что одна треть предлагаемого производителями программного обеспечения для персональных компьютеров не имеет защиты информации. В остальных же случаях эти меры в основном ограничиваются программным контролем подлинности пользователя.

Программные методы защиты предназначены, для непосредственной защиты машинной информации, программных средств, компьютерной техники от несанкционированного ознакомления с ней пользователей, не имеющих допуска. Кроме того, программные средства защиты должны обеспечивать контроль за правильностью осуществления процессов ввода, вывода, обработки, записи, стирания, чтения и передачи информации по каналам связи. Все программные методы защиты подразделяются на следующие виды:

пароли доступа;

защита массивов информации;

защита от вирусов;

защита программ;

защита баз данных;

криптографические методы защиты.

Обеспечение защиты компьютерной информации должно представлять совокупность различных мероприятий, осуществляемых как во время разработки, так и на всех этапах эксплуатации системы автоматизированной обработки данных .

Для защиты информации при ее передаче обычно используют различные способы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой, в том числе криптографические. Как показывает практика, такие способы шифрования позволяют достаточно надежно скрыть смысл сообщения.

Для ограничения доступа к информационным ресурсам используются средства регистрации и средства контроля. Средства контроля доступа предназначены непосредственно для защиты, а задача средств регистрации заключается в обнаружении и фиксации уже совершенных действий преступника или попыток их совершения.

Возможна идентификация пользователя по электронной подписи, что регламентировано федеральным законом 16 . Электронная подпись дает возможность не только гарантировать аутентичность документа в части его авторства, но и установить неискаженность (целостность) содержащейся в нем информации, а также зафиксировать попытки подобного искажения. Переданный получателю подписанный документ состоит из текста, электронной подписи и сертификата пользователя. Последний содержит в себе гарантированно подлинные данные пользователя, в том числе его отличительное имя и открытый ключ расшифрования для проверки подписи получателем либо третьим лицом, осуществившим регистрацию сертификата.

К программным методам защиты относится и защита базы данных,которая включает в себя защиту от любого несанкционированного или случайного их изменения или уничтожения. Дополнительной целью является защита от несанкционированного снятия информации внутри базы данных.

Следует отметить, что надежная защита компьютерной информации может быть обеспечена только при применении комплексных мер защиты. Комплексность состоит в использовании аппаратных и программных мер защиты. Только в этом случае удается достигнуть требуемого уровня защищенности как самой компьютерной техники, так и информации, находящейся в ней.

В целом организационные и технические меры защиты компьютерной информации должны составлять единый комплекс. Данным вопросам уделено довольно много внимания в специальной технической литературе и посвящено большое количество научных исследований и технических изысканий нашей стране и мире.

15 мая 2013 года Минюст наконец-то зарегистрировал приказ ФСТЭК № 21 от 18 февраля 2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Почему же «долгожданный»? Да потому, что с момента выхода постановления Правительства РФ № 1119 (1 ноября 2012 года) любые вопросы по технической защите персональных данных оказались в неопределенно-подвешенном состоянии. Получилось так: новым постановлением отменены старые классы информационных систем персональных данных (ИСПДн) и введено понятие «Уровни защищенности ИСПДн», но как и чем защищаться в каждом конкретном случае как раз и должен был нам рассказать новый приказ ФСТЭК, который мы ждали «каких-то» полгода.

Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных. В какой-то мере это действительно так (учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем - мобильные платформы, виртуализация и тд), но, лично у меня к новому документу есть масса претензий.

В этой статье я постараюсь простым языком проанализировать новый документ ФСТЭК России, взвесить его плюсы и минусы, а также постараться ответить на вопрос «что же теперь делать операторам персональных данных?».

Что из себя представляет документ в целом

В целом, это действительно шаг вперед в плане законотворчества в сфере защиты персональных данных. Наконец-то в списке мер мы увидели упоминание мобильных устройств и средств виртуализации, чего раньше законодатели тщательно старались избегать. Наконец-то нет обязаловки как в прошлом приказе: «Если у тебя ИСПДн 1 класса, тебе нужно потратить n денег на средства защиты информации, если 2 класса, то n-m денег, а если 3 класса, то n-m-k денег.».

Сейчас ситуация такая: у нас есть 15 групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой (я буду их называть далее условно обязательными) для определенного уровня защищенности (если стоит плюс, то мера базовая, если нет - компенсирующая). Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности.

Оператор персональных данных действует по следующему алгоритму:
- определяет уровень защищенности своей ИСПДн согласно ПП 1119;
- выбирает все меры, которые отмечены плюсом для выбранного уровня защищенности (базовые меры);
- убирает из полученного списка меры, которые связаны с технологиями, не используемыми в ИСПДн (например, убираем меры для защиты виртуальной инфраструктуры, если средства виртуализации не используются);
- смотрит на полученный список мер и сравнивает с актуальными угрозами в модели угроз, если выбранными мерами нейтрализуются не все актуальные угрозы, добавляет в список компенсирующие меры, необходимые для нейтрализации всех оставшихся угроз;
- добавляет к полученному списку меры, определенные в других нормативных актах (например в ПП № 1119 есть небольшое количестве мер, а также есть общие требования в ФЗ-152), после чего получает итоговый список мер, которые нужно выполнить;
- выполняет меры из окончательного списка…

Вроде бы все просто: определяем уровень защищенности, рисуем модель угроз, выбираем и уточняем меры из нового приказа ФСТЭК, выполняем эти меры и у нас комар носа не подточит. Но…

Ложка дегтя

Собственно здесь начинается критика как нового документа, так и остального законодательства в целом.

Проблемы у 21 приказа ФСТЭК в целом такие же как и у многих других законодательных документов - использование размытых формулировок, возможность двоякого толкования текста, отсутствие пояснений там, где они жизненно необходимы.

Понять как тщательно готовился документ и сколько раз его перечитывали и редактировали за эти полгода можно уже по тому факту, что после четвертого пункта в приказе сразу идет шестой… Ну ладно, это придирки, а что есть по существу?

Непонятки начинаются с классики жанра, которая тянется с незапамятных времен. Пункт 2 документа гласит, что для выполнения работ по защите ПДн могут привлекаться организации, имеющие лицензию на техническую защиту конфиденциальной информации (ТЗКИ).
Эта фраза кочует из документа в документ ФСТЭК уже давно, но что значит «могут» однозначного ответа так и нет. Естественно, ушлые интеграторы будут трактовать это как «могут привлекать сторонние организации, если сами не имеют лицензию на ТЗКИ». Формально, они будут правы, потому что если копнуть другие нормативные акты, выясняется, что под ТЗКИ попадает даже банальная установка антивируса, а в положении о лицензировании касаемо ТЗКИ нет оговорки о том, что лицензия не нужна если работы проводятся для личных нужд. Но операторы не любят выкидывать деньги на ветер и, к несчастью ушлых интеграторов, включают здравый смысл и трактуют это предложение как «могут привлекать, а могут и сами сделать». Это первое место, где не помешало бы более конкретно описать условия привлечения сторонних организаций.

Едем дальше. Пункт 3 говорит нам о том, что меры по обеспечению безопасности ПДн должны быть направлены на нейтрализацию актуальных угроз безопасности. С другой стороны ФЗ-152 говорит нам о том, что организационные и технические меры применяются для выполнения требований по защите ПДн. Так все-таки, есть у нас свобода или очередная обязаловка? Опять необходимо разъяснение.

Далее. Шестой пункт гласит о том, что раз в 3 года оператор самостоятельно или с привлечением сторонних организаций должен проводить оценку эффективности реализованных мер защиты ПДн. Тут получилось как с оценкой вреда субъекту персональных данных в 152-ФЗ. Получается, что оценку провести нужно, а какой-либо методики проведения такой оценки нет. А может быть оценка эффективности является заменой аттестации информационной системы? Тогда почему оператор может проводить ее самостоятельно, не имея лицензии на ТЗКИ?

Десятый пункт документа на первый взгляд очень многообещающий, в нем сказано "При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных ".

Казалось бы, вот оно - ссылаемся на экономическую нецелесообразность и не покупаем никаких сертифицированных средств защиты. Ну тут же нас выводит из состояния эйфории следующий абзац: «В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных» .

То есть вот как, просто сказать проверяющему «Мы тут с мужиками прикинули и решили, что внедрять сертифицированные СЗИ это слишком дорого и поставили бесплатный китайский антивирус» не получится. Нужно показывать какие-то бумажки, обосновывающие применение иных мер, а не базовых. Как обосновать? Мне пока на ум приходит только проведение процедуры анализа рисков по ISO 27001, что, в случае найма для этих целей сторонней организации, само по себе может влететь в копеечку. К тому же, еще не факт, что анализ рисков покажет, что внедрять сертифицированные СЗИ экономически нецелесообразно…

Собственно тут мы и дошли до основной части документа - приложение с перечнем мер. Тут тоже не все так просто как хотелось бы. Вроде бы и меры разбиты на группы и удобно пронумерованы, вроде бы и удобные столбики с плюсиками показывают является ли в нашем случае та или иная мера условно обязательной или нет. Но, все равно, после изучения таблицы с мерами остается чувство неопределенности. Вот, например, пункт четвертый основного текста приказа уже не обязывает, вроде как, применять только сертифицированные СЗИ. Это хорошо. Но этот же пункт и не говорит прямым текстом, что можно применять несертифицированные СЗИ или не применять СЗИ вообще. Вот как он звучит дословно:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

В то же время, первая же мера, условно обязательная для всех уровней защищенности, звучит так: «Идентификация и аутентификация пользователей, являющихся работниками оператора». Понятно, что эта мера может быть реализована и штатными средствами любой ОС. И вроде как четвертый пункт не обязывает применять тот же Secret Net или Dallas Lock, но где гарантия, что не придет проверяющий и не скажет «Вы все не так поняли, тут должно стоять сертифицированное СЗИ, вот вам предписание»? Кто и как определяет - для нейтрализации конкретной угрозы необходимо ли сертифицированное СЗИ или можно обойтись без него? Почему нельзя написать прямым текстом, что применение сертифицированных СЗИ не обязательно, или обязательно в каких-то конкретных случаях?

Ну и формулировка самих мер иногда очень интересна. Вот например условно-обязательная мера защиты сред виртуализации для уровней защищенности от третьего и выше:
«Разбиение виртуальной инфраструктуры на сегменты для обработки персональных данных отдельным пользователем и/или группой пользователей».

По какому принципу сегментировать-то? И в чем такая необходимость? Конечно, мы можем при уточнении или адаптации набора мер выкинуть эту меру из списка, но опять же, а если проверяющий скажет «Вы все не так поняли...»?

Я очень надеюсь, что когда-нибудь представители ФСТЭК все же дадут официальные разъяснения по поводу спорных вопросов.

Вместо резюме

В общем и целом заметны попытки ФСТЭК дать бо льшую свободу действия операторам при выборе стратегии защиты персональных данных, но размытости и неопределенности в формулировках в сочетании с неясностью позиции самого регулятора в спорных моментах, заставляют насторожиться.

Что же делать операторам сейчас?

Тем, кто уже защитил свои ИСПДн по «старому стилю», немного подредактировать свою документацию, приведя ее в соответствие действующему законодательству. В любом случае, скорее всего, ваша система защиты в техническом плане будет соответствовать и новому документу, так как раньше требования были жестче.

Остальным - классифицировать свои ИСПДн, построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

III. Требования к организационным и техническим мерам,

принимаемым для обеспечения безопасности значимых объектов

15. Целью обеспечения безопасности значимого объекта является обеспечение его устойчивого функционирования в проектных режимах работы в условиях реализации в отношении значимого объекта угроз безопасности информации.

16. Задачами обеспечения безопасности значимого объекта являются:

А) предотвращение неправомерного доступа к информации, обрабатываемой значимым объектом, уничтожения такой информации, ее модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

Б) недопущение информационного воздействия на программные и программно-аппаратные средства, в результате которого может быть нарушено и (или) прекращено функционирование значимого объекта;

В) обеспечение функционирования значимого объекта в проектных режимах его работы в условиях воздействия угроз безопасности информации;

Г) обеспечение возможности восстановления функционирования значимого объекта критической информационной инфраструктуры.

17. В значимых объектах объектами, подлежащими защите от угроз безопасности информации (объектами защиты), являются:

А) в информационных системах:

Информация, обрабатываемая в информационной системе;

Программно-аппаратные средства (в том числе машинные носители информации, автоматизированные рабочие места, серверы, телекоммуникационное оборудование, линии связи, средства обработки буквенно-цифровой, графической, видео- и речевой информации);

Средства защиты информации;

Архитектура и конфигурация информационной системы;

Б) в информационно-телекоммуникационных сетях:

Информация, передаваемая по линиям связи;

Телекоммуникационное оборудование (в том числе программное обеспечение, система управления);

Средства защиты информации;

Архитектура и конфигурация информационно-телекоммуникационной сети;

В) в автоматизированных системах управления:

Информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (в том числе входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);

Программно-аппаратные средства (в том числе автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, линии связи, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства);

Программные средства (в том числе микропрограммное, общесистемное, прикладное программное обеспечение);

Средства защиты информации;

Архитектура и конфигурация автоматизированной системы управления.

18. Обеспечение безопасности значимого объекта достигается путем принятия в рамках подсистемы безопасности значимого объекта совокупности организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, реализация которых может привести к прекращению или нарушению функционирования значимого объекта и обеспечивающего (управляемого, контролируемого) им процесса, а также нарушению безопасности обрабатываемой информации (нарушению доступности, целостности, конфиденциальности информации).

Организационные и технические меры по обеспечению безопасности значимого объекта принимаются субъектом критической информационной инфраструктуры совместно с лицом, эксплуатирующим значимый объект (при его наличии). При этом между субъектом критической информационной инфраструктуры и лицом, эксплуатирующим значимый объект, должно быть проведено разграничение функций по обеспечению безопасности значимого объекта в ходе его эксплуатации.

19. Меры по обеспечению безопасности выбираются и реализуются в значимом объекте с учетом угроз безопасности информации применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации.

20. Меры по обеспечению безопасности значимого объекта принимаются субъектом критической информационной инфраструктуры самостоятельно или при необходимости с привлечением в соответствии с законодательством Российской Федерации организаций, имеющих в зависимости от информации, обрабатываемой значимым объектом, лицензию на деятельность по технической защите информации, составляющей государственную тайну, и (или) на деятельность по технической защите конфиденциальной информации

21. Принимаемые организационные и технические меры по обеспечению безопасности значимого объекта должны соотноситься с мерами по промышленной, функциональной безопасности, иными мерами по обеспечению безопасности значимого объекта и обеспечивающего (управляемого, контролируемого) объекта или процесса. При этом меры по обеспечению безопасности значимого объекта не должны оказывать отрицательного влияния на функционирование значимого объекта в проектных режимах его работы.

22. В значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы следующие организационные и технические меры:

Идентификация и аутентификация (ИАФ);

Управление доступом (УПД);

Ограничение программной среды (ОПС);

Защита машинных носителей информации (ЗНИ);

Аудит безопасности (АУД);

Антивирусная защита (АВЗ);

Предотвращение вторжений (компьютерных атак) (СОВ);

Обеспечение целостности (ОЦЛ);

Обеспечение доступности (ОДТ);

Защита технических средств и систем (ЗТС);

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС);

Планирование мероприятий по обеспечению безопасности (ПЛН);

Управление конфигурацией (УКФ);

Управление обновлениями программного обеспечения (ОПО);

Реагирование на инциденты информационной безопасности (ИНЦ);

Обеспечение действий в нештатных ситуациях (ДНС);

Информирование и обучение персонала (ИПО).

Состав мер по обеспечению безопасности значимых объектов в зависимости от категории значимости приведен в приложении к настоящим Требованиям.

При реализации мер по обеспечению безопасности значимых объектов применяются методические документы, разработанные ФСТЭК России в соответствии с подпунктом 4 пункта 8

23. Выбор мер по обеспечению безопасности значимых объектов для их реализации включает:

А) определение базового набора мер по обеспечению безопасности значимого объекта;

Б) адаптацию базового набора мер по обеспечению безопасности значимого объекта;

В) дополнение адаптированного набора мер по обеспечению безопасности значимого объекта мерами, установленными иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации и защиты информации.

Базовый набор мер по обеспечению безопасности значимого объекта определяется на основе установленной категории значимости значимого объекта в соответствии с приложением к настоящим Требованиям.

Базовый набор мер по обеспечению безопасности значимого объекта подлежит адаптации в соответствии с угрозами безопасности информации, применяемыми информационными технологиями и особенностями функционирования значимого объекта. При этом из базового набора могут быть исключены меры, непосредственно связанные с информационными технологиями, не используемыми в значимом объекте, или характеристиками, не свойственными значимому объекту. При адаптации базового набора мер по обеспечению безопасности значимого объекта для каждой угрозы безопасности информации, включенной в модель угроз, сопоставляется мера или группа мер, обеспечивающие блокирование одной или нескольких угроз безопасности или снижающие возможность ее реализации исходя из условий функционирования значимого объекта. В случае если базовый набор мер не позволяет обеспечить блокирование (нейтрализацию) всех угроз безопасности информации, в него дополнительно включаются меры, приведенные в приложении к настоящим Требованиям.

Дополнение адаптированного набора мер по обеспечению безопасности значимого объекта осуществляется с целью выполнения требований, установленных иными нормативными правовыми актами в области обеспечения безопасности критической информационной инфраструктуры и защиты информации. Дополнение адаптированного набора мер проводится в случае, если в отношении значимого объекта в соответствии с законодательством Российской Федерации также установлены требования о защите информации, содержащейся в государственных информационных системах, требования к защите персональных данных при их обработке в информационных системах персональных данных, требования к криптографической защите информации или иные требования в области защиты информации и обеспечения безопасности критической информационной инфраструктуры.

24. В случае если значимый объект является государственной информационной системой или информационной системой персональных данных, меры по обеспечению безопасности значимого объекта и меры защиты информации (по обеспечению персональных данных) принимаются в соответствии с более высокой категорией значимости, классом защищенности или уровнем защищенности персональных данных.

25. Если принятые в значимом объекте меры по обеспечению промышленной, функциональной безопасности и (или) физической безопасности достаточны для блокирования (нейтрализации) отдельных угроз безопасности информации, дополнительные меры, выбранные в соответствии с пунктами 22 и настоящих Требований, могут не применяться. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должна быть обоснована достаточность применения мер по обеспечению промышленной безопасности или физической безопасности для блокирования (нейтрализации) соответствующих угроз безопасности информации.

26. При отсутствии возможности реализации отдельных мер по обеспечению безопасности и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе вследствие их негативного влияния на функционирование значимого объекта в проектных режимах значимого объекта, должны быть разработаны и внедрены компенсирующие меры, обеспечивающие блокирование (нейтрализацию) угроз безопасности информации с необходимым уровнем защищенности значимого объекта. При этом в ходе разработки организационных и технических мер по обеспечению безопасности значимого объекта должно быть обосновано применение компенсирующих мер, а при приемочных испытаниях (аттестации) оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.

В качестве компенсирующих мер могут быть рассмотрены меры по обеспечению промышленной, функциональной и (или) физической безопасности значимого объекта, поддерживающие необходимый уровень его защищенности.

27. Технические меры по обеспечению безопасности в значимом объекте реализуются посредством использования программных и программно-аппаратных средств, применяемых для обеспечения безопасности значимых объектов - средств защиты информации (в том числе встроенных в общесистемное, прикладное программное обеспечение).

При этом в приоритетном порядке подлежат применению средства защиты информации, встроенные в программное обеспечение и (или) программно-аппаратные средства значимых объектов (при их наличии).

28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.

Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

Испытания (приемка) средств защиты информации проводятся отдельно или в составе значимого объекта критической информационной инфраструктуры в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом критической информационной инфраструктуры.

29. В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации:

А) в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса;

Б) в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса;

В) в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса.

При этом в значимых объектах 1 и 2 категорий значимости применяются сертифицированные средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей. Субъектом критической информационной инфраструктуры может быть принято решение о повышении уровня контроля отсутствия недекларированных возможностей средств защиты информации.

Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

При использовании в значимом объекте средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности).

Функции безопасности средств защиты информации должны обеспечивать выполнение настоящих Требований.

30. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны эксплуатироваться в соответствии с инструкциями (правилами) по эксплуатации, разработанными разработчиками (производителями) этих средств, и иной эксплуатационной документацией.

31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.

При выборе программных и программно-аппаратных средств, в том числе средств защиты информации, необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц.

В значимом объекте не допускаются:

Наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;

Наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;

Передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе средств защиты информации, или иным лицам без контроля со стороны субъекта критической информационной инфраструктуры.

32. При использовании в значимых объектах новых информационных технологий и выявлении дополнительных угроз безопасности информации, для которых не определены меры по обеспечению безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 26 настоящих Требований.