Приказ ФСТЭК №21: что это меняет в практической защите персональных данных

В 2013 году ФСТЭК России утвердил Приказ №21, который установил состав и содержание мер по обеспечению безопасности персональных данных при их обработке в информационных системах. Это не первый нормативный акт в этой области, но он принципиально отличается от предыдущих подходов конкретностью языка.

Если раньше требования формулировались в терминах "обеспечить защиту" без детализации как именно - новый документ вводит четыре уровня защищённости и для каждого определяет конкретный набор мер. Это меняет разговор с регулятором и меняет то, как компании должны проектировать защиту.

Для большинства компаний это означает необходимость пересмотреть, к какому уровню защищённости относятся их информационные системы и достаточен ли текущий набор мер.

Что изменилось по существу

До приказа №21 основным документом для негосударственных организаций были требования ФСТЭК из более ранних документов, сформулированные в значительной мере через классы информационных систем. Классификация была жёсткой и не всегда соответствовала реальному характеру обрабатываемых данных и угроз.

Новый приказ вводит понятие уровня защищённости персональных данных - от УЗ-4 (базовый) до УЗ-1 (наиболее высокий). Уровень определяется по трём параметрам: тип персональных данных, количество субъектов, чьи данные обрабатываются, и тип угроз актуальных для системы.

Это более гибкий и более реалистичный подход. Компания, обрабатывающая контактные данные клиентов в закрытой системе без подключения к интернету, и компания, обрабатывающая медицинские данные в онлайн-сервисе - получают разные требования. Логика замещает формальную классификацию.

Уровни защищённости на практике

Большинство небольших и средних компаний, обрабатывающих типовые персональные данные сотрудников или клиентов (ФИО, контакты, данные для договоров), попадают в УЗ-3 или УЗ-4 при стандартных условиях обработки. Это относительно реалистичные требования.

УЗ-2 и УЗ-1 возникают при обработке специальных категорий данных - медицинских, биометрических, данных о судимостях - или при обработке данных большого числа субъектов в системах с повышенным уровнем актуальных угроз.

Ключевое понятие здесь - "актуальные угрозы". Приказ вводит три типа угроз: угрозы первого типа связаны с наличием недекларированных возможностей в системном программном обеспечении, второго - с прикладным ПО, третьего - с иными угрозами. Для большинства коммерческих организаций, которые используют стандартное сертифицированное ПО и не имеют специфических рисков, актуальны угрозы третьего типа - это понижает требуемый уровень защищённости.

Что нужно сделать компаниям

Первый шаг - инвентаризация. Необходимо понять, какие персональные данные обрабатывает компания, в каких информационных системах, и какие угрозы актуальны для каждой из них. Без этой картины невозможно правильно определить уровень защищённости, поэтому начинать нужно с того, чтобы составить карту потоков данных до любых мер защиты.

Второй шаг - определение уровня защищённости для каждой системы. Это должно быть зафиксировано в документах: модель угроз и нарушителя, акт классификации.

Третий шаг - сопоставление текущих мер с требованиями приказа для определённого уровня. Приложение к приказу содержит список мер - от организационных (политики, регламенты, обучение) до технических (управление доступом, аудит, защита среды виртуализации и так далее). Часть мер обязательна, часть - компенсирующие или дополнительные.

Четвёртый шаг - устранение расхождений. Не всё нужно делать немедленно. Приоритизация по риску и выстраивание плана - разумный подход.

На что обратить внимание

Документация - не формальность. Регулятор при проверке смотрит не только на технические меры, но и на то, зафиксированы ли принятые решения. Модель угроз, классификационные акты, политики - это не бумага ради бумаги, это доказательство того, что компания осознанно подходит к защите.

Сертифицированные средства защиты. Приказ содержит требование использовать сертифицированные ФСТЭК средства защиты информации для ряда мер. Это влияет на выбор конкретных продуктов и требует проверки актуальности сертификатов.

Периодический пересмотр. Уровень защищённости и набор мер - это не разовое решение. При изменении характера обработки, расширении перечня данных или изменении инфраструктуры анализ нужно повторять.

Несколько вопросов для первичной самооценки:

1. Составлен ли перечень информационных систем, обрабатывающих персональные данные?
2. Определён ли уровень защищённости для каждой системы?
3. Разработана ли актуальная модель угроз?
4. Соответствует ли набор технических мер требованиям для определённого уровня?
5. Есть ли назначенный ответственный за организацию защиты персональных данных?

Приказ №21 - это не ужесточение ради ужесточения. Это попытка перевести требования из абстрактных в операциональные. Для компаний, которые подходят к вопросу честно, это упрощает работу с регулятором и снижает риск формальных нарушений при реальной защите данных.