Заметка №3 Размещение сегмента ИСПДн на территории иностранного государства
Продолжу цикл моих заметочек по размещению сегмента ИСПДн на территории сторонней компании. С предыдущими частями можно ознакомиться здесь и здесь.
Сначала, как я и обещала, мы рассмотрим вопрос необходимости сертификации специального программного обеспечения (далее — СПО) сайта или СУБД, в которой хранится вся информация по пользователям ресурса. По этому вопросу я получила квалифицированную консультацию от нашего департамента сертификации и тестирования=). Тут всё достаточно просто: в соответствии с положениями 21 приказа ФСТЭК идентификация и аутентификация пользователей на сайте должна выполняться сертифицированными средствами (механизмами) защиты информации. В зависимости от взаимодействия СПО сайта с СУБД рекомендуется сертифицировать либо СПО сайта, а конкретно механизм, отвечающий за идентификацию и аутентификацию пользователей, либо СУБД, если идентификация и аутентификация пользователей производится не средствами скрипта сайта, а средствами СУБД (выражаясь простым языком: скрипт на сайте просто перенаправляет логин и пароль на сравнение в СУБД). Сертификация СУБД и СПО сайта проводится на соответствие требованиям Руководящего документа «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 год) – по 4 уровню контроля и требованиям Технических условий, в которых прописаны функции по защите информации, подлежащие сертификации. Если я написала что-то неверно, то просьба специалистов по сертификации поправить меня.
Теперь разберем вопрос трансграничной передачи ПДн. Предположим, что наши компоненты ИСПДн: веб-сервер и сервер СУБД будут размещены на территории страны, обеспечивающей адекватную защиту ПДн (подписала и ратифицировала Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. или входит в список стран с адекватной защитой ПДн, утвержденный Роскомнадзором). В таком случае эту часть ИСПДн, будем рассматривать как внешнюю к нашему основному сегменту ИСПДн. В политике в отношении обработки ПДн на сайте для наших пользователей, нам надо будет прописать, что обработка ПДн происходит на территории другой страны, т.е. осуществляется трансграничная передача персональных данных, и что принимающая сторона обеспечивает адекватную защиту персональных данных. Соответственно в этом случае защита персональных данных будет осуществляться в соответствии с законодательством принимающей стороны. А у нас отпадает необходимость закупать и устанавливать сертифицированные средства защиты информации и проводить сертификацию СПО сайта или СУБД.
На просторах интернета нашла информацию о компании DEAC:
«Владелец двух коммерческих ЦОД в Риге компания DEAC с помощью юридических партнеров провела большой комплекс работ для подтверждения того, что размещение ИТ-систем в ее ЦОД не противоречит требованиям российского ФЗ-152. В частности, от Роскомнадзора получено одобрение разработанного порядка подтверждения российскими операторами персональных данных соблюдения требований по защите таких данных при их обработке и хранении в информационных системах, расположенных за пределами Российской Федерации (в Латвии). При необходимости компания предлагает услуги по подготовке комплекта документов для заказчика о легальности использования услуг ЦОД с точки зрения ФЗ-152».
Помимо того, что компания имеет офис в России и предоставляет большой спектр услуг, так еще она готова оказать юридическую помощь российской компании, которая обрабатывает в её ЦОД персональные данные, при прохождении проверки по линии Роскомнадзора. Получается очень удобно, размещаем наш сайт с СУБД в таком ЦОД и экономим силы на администрировании ресурса и деньги на построении системы защиты персональных данных, а главное не нарушаем положения ФЗ-152.
Сертификаторы как всегда не могут без лукавства, глаз да глаз за ними нужен.
1. Нет в 21 приказе требования использовать сертифицированные СЗИ. Но, да, есть требования (12 пункт) к классам СЗИ, если было принято решение использовать сертифицированные СЗИ.
2. Если уж так хочется использовать сертифицированные СЗИ, то идентификацию и аутентификацию пользователей при актуальных угрозах 3-го типа на НДВ проверять не нужно, хватит и СВТ-5/СВТ-6
3. Про трансграничную передачу в адекватные страны: «А у нас отпадает необходимость закупать и устанавливать сертифицированные средства защиты информации и проводить сертификацию СПО сайта или СУБД».
Почему это? Иностранный хостер по договору берет на себя обязанности по защите ПДн?
Чем закрывается угроза, например, перехвата ПДн (при передаче данных заграницу) работниками ISP оператора ПДн, на территории России? Если не сертифицированной криптографией, есть ли официальная позиция наших регуляторов, что, мол, это ОК?
1. В 21 приказе ФСТЭК прописано «4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда, применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.» Не думаю, что надо объяснять, что эта процедура — сертификация. Конечно можно признать все угрозы неактуальными или закрыть всё несертифицированными СЗИ, но проблемы с Роскомнадзором точно возникнут. Законодательство несовершенно, можно по-разному трактовать все пункты подзаконных актов, выкручиваться и т.д. Но всем и так понятно, что для защиты ПДн — нужны сертифицированные СЗИ. Всё это одна большая кормушка для регуляторов и разработчиков отечественных СЗИ…
2. В первой моей статье из этого цикла написано, что рассматриваемая в этих 3 статьях ИСПДн относится к информационным системам 2 УЗ, то есть «Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.» Так что в данном случае на НДВ сертифицировать надо.
3. ПДн пользователей собираются в нашем случае через сайт, то есть они сразу поступают, например, в Латвию (в тот же ЦОД DEAC), а оттуда уже передаются в РФ. Защита каналов связи в данном случае осуществляется в соответствии с законодательством другой страны. В договоре с такими компаниями прописывается отдельный пункт про обеспечение всех необходимых мер по защите конфиденциальной информации.