image

Речь все о тех же рекомендациях руководства страны  по переводу  работников предприятий (государственных и негосударственных) на удаленный режим в условиях пандемии.

Возможно ли организовать процесс работы с персональными данными (ПДн) в домашних условиях и что диктуют нам законодательство и технические требования?

На все эти вопросы мы постараемся ответить в этой статье.
 
Итак, согласно рекомендациям работодателю следует снабдить работника всем необходимым оснащением на период изоляции для эффективного выполнения поставленных задач. Что требуется при работе с ПДн?

Автоматизированное рабочее место, защищённое высокоскоростное бесперебойное соединение (об уровне защиты чуть позже), ключевой носитель (токен) и доступ к базе данных (БД) предприятия. Но так ли все просто на первый взгляд?

Согласно методическому документу ФСТЭК от 11 февраля 2014 г. :

«ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ
ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ

Требования к реализации ЗНИ.3:

— Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны.
— При контроле перемещения машинных носителей информации должны осуществляться:

1) определение должностных лиц, имеющих права на перемещение
машинных носителей информации за пределы контролируемой зоны;
2) предоставление права на перемещение машинных носителей информации
за пределы контролируемой зоны только тем лицам, которым оно необходимо  
для выполнения своих должностных обязанностей (функции);
3) учет перемещаемых машинных носителей информации в соответствии с
ЗНИ.1;
4) периодическая проверка наличия машинных носителей информации.

Правила и процедуры контроля перемещения машинных носителей
информации регламентируются в организационно-распорядительных
документах оператора по защите информации.

Требования к усилению ЗНИ.3:

1) оператором информационной системы определяются задачи (виды
деятельности, функции), для решения которых необходимо перемещение
машинных носителей информации за пределы контролируемой зоны;
2) применение в соответствии с законодательством Российской
Федерации криптографических методов защиты информации, хранимой на
носителе, при перемещении машинных носителей информации за пределы
контролируемой зоны;
3) оператором определяется должностное лицо, ответственное за  
перемещение машинных носителей информации;
4) оператором информационной системы осуществляется периодическая  
проверка машинных носителей информации после их возврата в пределы  
контролируемой зоны».

Представим, что у работника учреждения нет возможности осуществлять свою профессиональную деятельность в удаленном режиме на домашнем компьютере (или его вовсе нет). Работодатель в таком случае может предоставить рабочую станцию под личную ответственность.
 
Из данной выдержки следует, что законодательно вынос МНИ из учреждения законом разрешён и установлены правила контроля перемещения, предъявлены требования к статусу лица, осуществляющего перемещение и весь процесс обусловлен наличием конкретных задач.

Однако, выполнение пункта по периодической проверке наличия МНИ у сотрудника, находящегося в период пандемии в режиме самоизоляции, наталкивает на определённые размышления. Совершенно другой вопрос, как к этому отнесутся регуляторы в области обработки ПДн и защиты информации.
 
Следующим требованием к обеспечению процесса работы с ПДн является  обеспечение доверенной загрузки средств вычислительной техники.
Согласно Приказу ФСТЭК №21 от 18 февраля 2013г.:

«УПД.17 Обеспечение доверенной загрузки средств вычислительной техники
 
В информационной системе персональных данных (ИСПДн) должно обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники ИСПДн на этапе его загрузки.

Доверенная загрузка должна обеспечивать:

— блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;
— контроль доступа пользователей к процессу загрузки операционной системы;
— контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.

В ИСПДн применяется доверенная загрузка на разных уровнях (уровня базовой системы ввода-вывода, уровня платы расширения и уровня загрузочной записи).

Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.

Требования к усилению УПД.17:

 1) в ИСПДн должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения;
 2) в ИСПДн должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения, реализованные на основе программно-аппаратного модуля;
 3) в ИСПДн должна осуществляться доверенная загрузка программного обеспечения телекоммуникационного оборудования;..»

Следует понимать, что использование средств доверенной загрузки на бытовых компьютерах, разумеется, хоть и технически реализуемо, но не предусмотрено. При этом использование СДЗ предусмотрено на тех «машинах», к которым необходимо подключиться удаленно. Отсюда возникают вполне закономерные вопросы: кто в удалённом режиме должен давать «добро» на запуск и что делать, если произошёл сбой и требуется перезагрузка?

В таких случаях вариант лишь только один: основная «машина-станция» ставится в режим автозагрузки (который сам по себе является нарушением регламента создаёт определённые риски, которые мы немного погодя разберём).

Защиту от изменения системных файлов обеспечивает функция контроля целостности системы, к качеству которой ФСТЭК также предъявляет определённые требования в приказе №27 от 15 февраля 2017г.

Технически все эти требования в рамках проводимых мероприятий по переходу на «удаленку» реализовать можно. Но все эти технические организационные моменты отходят на второй план, когда мы начинаем искать ответ на вопрос: как минимизировать (а лучше не допустить) утечки обрабатываемой информации, в том числе и ПДн в подобных условиях.

Риски утечки несмотря на проводимые мероприятия в области защиты информации всегда были, есть и будут. Руководящие документы в области ЗИ достаточно четко описывают перечень организационных и технических мер по их минимизации и недопущению.

Как известно, дома и атмосфера домашняя… И работается легко, и стены помогают. Работая дома с ПДн легче, наверное, будет только одиночкам.
 
Разберем на простом примере:

Папа-работник удостоверяющего центра федерального финансового ведомства, осуществляющего обработку ПДн принес с работы свой компьютер. Хвастливый сын случайно подглядел скан паспорта министра, прокурора субъекта РФ или губернатора. Ну и сфотографировал друзьям показать. А теперь другой пример: представим пакетную выгрузку ПДн с целью сбыта итд

Объективная сторона преступления, рассматриваемого в ч. 1 и 2 ст. 137 УК РФ, описана альтернативно следующими действиями в отношении соответствующих сведений:

  1. Сбор.
  2. Распространение.
  3. Распространение специальным способом: в СМИ, публичном произведении или в выступлении.

Для привлечения к ответственности необходимо, чтобы эти действия совершались:

  • незаконно (с любым нарушением процедуры, установленной законодательством);
  • без согласия субъекта ПД.

Как правило, незаконному распространению ПД предшествует их сбор. Трактовка понятия «распространение» в уголовном законе более широкая, нежели в законе № 152-ФЗ. Так, согласно п. 5 ст. 3 закона № 152-ФЗ, распространением ПД является их раскрытие неопределенному кругу лиц. Для привлечения же к ответственности за разглашение ПД по ст. 137 УК РФ достаточно сообщить их хотя бы одному человеку.

Таким образом, обычная шалость и неосмотрительность может привести ко вполне себе печальным последствиям, как к уголовным, так и репутационным и прочим, как к работнику, так и к работодателю.

Резюмируя вышесказанное, следует сказать о том, что удаленный режим, несомненно, стимулирует работников и их окружение к совершению правонарушения, которые могут повлечь за собой последствия разного масштаба.

Кроме того, сложившаяся ситуация является сигналом для государства к проработке и созданию законодательного подспорья для регулирования работы с ПДн в удалённом режиме.