Речь все о тех же рекомендациях руководства страны по переводу работников предприятий (государственных и негосударственных) на удаленный режим в условиях пандемии.
Возможно ли организовать процесс работы с персональными данными (ПДн) в домашних условиях и что диктуют нам законодательство и технические требования?
На все эти вопросы мы постараемся ответить в этой статье.
Итак, согласно рекомендациям работодателю следует снабдить работника всем необходимым оснащением на период изоляции для эффективного выполнения поставленных задач. Что требуется при работе с ПДн?
Автоматизированное рабочее место, защищённое высокоскоростное бесперебойное соединение (об уровне защиты чуть позже), ключевой носитель (токен) и доступ к базе данных (БД) предприятия. Но так ли все просто на первый взгляд?
Согласно методическому документу ФСТЭК от 11 февраля 2014 г. :
«ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ
ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ
Требования к реализации ЗНИ.3:
— Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны.
— При контроле перемещения машинных носителей информации должны осуществляться:
1) определение должностных лиц, имеющих права на перемещение
машинных носителей информации за пределы контролируемой зоны;
2) предоставление права на перемещение машинных носителей информации
за пределы контролируемой зоны только тем лицам, которым оно необходимо
для выполнения своих должностных обязанностей (функции);
3) учет перемещаемых машинных носителей информации в соответствии с
ЗНИ.1;
4) периодическая проверка наличия машинных носителей информации.
Правила и процедуры контроля перемещения машинных носителей
информации регламентируются в организационно-распорядительных
документах оператора по защите информации.
Требования к усилению ЗНИ.3:
1) оператором информационной системы определяются задачи (виды
деятельности, функции), для решения которых необходимо перемещение
машинных носителей информации за пределы контролируемой зоны;
2) применение в соответствии с законодательством Российской
Федерации криптографических методов защиты информации, хранимой на
носителе, при перемещении машинных носителей информации за пределы
контролируемой зоны;
3) оператором определяется должностное лицо, ответственное за
перемещение машинных носителей информации;
4) оператором информационной системы осуществляется периодическая
проверка машинных носителей информации после их возврата в пределы
контролируемой зоны».
Представим, что у работника учреждения нет возможности осуществлять свою профессиональную деятельность в удаленном режиме на домашнем компьютере (или его вовсе нет). Работодатель в таком случае может предоставить рабочую станцию под личную ответственность.
Из данной выдержки следует, что законодательно вынос МНИ из учреждения законом разрешён и установлены правила контроля перемещения, предъявлены требования к статусу лица, осуществляющего перемещение и весь процесс обусловлен наличием конкретных задач.
Однако, выполнение пункта по периодической проверке наличия МНИ у сотрудника, находящегося в период пандемии в режиме самоизоляции, наталкивает на определённые размышления. Совершенно другой вопрос, как к этому отнесутся регуляторы в области обработки ПДн и защиты информации.
Следующим требованием к обеспечению процесса работы с ПДн является обеспечение доверенной загрузки средств вычислительной техники.
Согласно Приказу ФСТЭК №21 от 18 февраля 2013г.:
«УПД.17 Обеспечение доверенной загрузки средств вычислительной техники
В информационной системе персональных данных (ИСПДн) должно обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники ИСПДн на этапе его загрузки.
Доверенная загрузка должна обеспечивать:
— блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;
— контроль доступа пользователей к процессу загрузки операционной системы;
— контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.
В ИСПДн применяется доверенная загрузка на разных уровнях (уровня базовой системы ввода-вывода, уровня платы расширения и уровня загрузочной записи).
Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению УПД.17:
1) в ИСПДн должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения;
2) в ИСПДн должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения, реализованные на основе программно-аппаратного модуля;
3) в ИСПДн должна осуществляться доверенная загрузка программного обеспечения телекоммуникационного оборудования;..»
Следует понимать, что использование средств доверенной загрузки на бытовых компьютерах, разумеется, хоть и технически реализуемо, но не предусмотрено. При этом использование СДЗ предусмотрено на тех «машинах», к которым необходимо подключиться удаленно. Отсюда возникают вполне закономерные вопросы: кто в удалённом режиме должен давать «добро» на запуск и что делать, если произошёл сбой и требуется перезагрузка?
В таких случаях вариант лишь только один: основная «машина-станция» ставится в режим автозагрузки (который сам по себе является нарушением регламента создаёт определённые риски, которые мы немного погодя разберём).
Защиту от изменения системных файлов обеспечивает функция контроля целостности системы, к качеству которой ФСТЭК также предъявляет определённые требования в приказе №27 от 15 февраля 2017г.
Технически все эти требования в рамках проводимых мероприятий по переходу на «удаленку» реализовать можно. Но все эти технические организационные моменты отходят на второй план, когда мы начинаем искать ответ на вопрос: как минимизировать (а лучше не допустить) утечки обрабатываемой информации, в том числе и ПДн в подобных условиях.
Риски утечки несмотря на проводимые мероприятия в области защиты информации всегда были, есть и будут. Руководящие документы в области ЗИ достаточно четко описывают перечень организационных и технических мер по их минимизации и недопущению.
Как известно, дома и атмосфера домашняя… И работается легко, и стены помогают. Работая дома с ПДн легче, наверное, будет только одиночкам.
Разберем на простом примере:
Папа-работник удостоверяющего центра федерального финансового ведомства, осуществляющего обработку ПДн принес с работы свой компьютер. Хвастливый сын случайно подглядел скан паспорта министра, прокурора субъекта РФ или губернатора. Ну и сфотографировал друзьям показать. А теперь другой пример: представим пакетную выгрузку ПДн с целью сбыта итд
Объективная сторона преступления, рассматриваемого в ч. 1 и 2 ст. 137 УК РФ, описана альтернативно следующими действиями в отношении соответствующих сведений:
- Сбор.
- Распространение.
- Распространение специальным способом: в СМИ, публичном произведении или в выступлении.
Для привлечения к ответственности необходимо, чтобы эти действия совершались:
- незаконно (с любым нарушением процедуры, установленной законодательством);
- без согласия субъекта ПД.
Как правило, незаконному распространению ПД предшествует их сбор. Трактовка понятия «распространение» в уголовном законе более широкая, нежели в законе № 152-ФЗ. Так, согласно п. 5 ст. 3 закона № 152-ФЗ, распространением ПД является их раскрытие неопределенному кругу лиц. Для привлечения же к ответственности за разглашение ПД по ст. 137 УК РФ достаточно сообщить их хотя бы одному человеку.
Таким образом, обычная шалость и неосмотрительность может привести ко вполне себе печальным последствиям, как к уголовным, так и репутационным и прочим, как к работнику, так и к работодателю.
Резюмируя вышесказанное, следует сказать о том, что удаленный режим, несомненно, стимулирует работников и их окружение к совершению правонарушения, которые могут повлечь за собой последствия разного масштаба.
Кроме того, сложившаяся ситуация является сигналом для государства к проработке и созданию законодательного подспорья для регулирования работы с ПДн в удалённом режиме.
saipr
Не понял! А как это умудрился сделать!!! Тут сразу несколько статей и мешок с сухарями.
С УЦ какие проблемы? Отдельное помещение, окошко для приема документов и т.д. Не забыть средсва дезинфекции, перчатки и спокойно работай.
miltech77 Автор
А вот так, выдали и все. И статьи, и мешки с сухарями, и долгие разборы с Роскомнадзором, и общение с куратором, да. Все это обязательно будет (кроме статей), вот только есть приказ центрального аппарата ФОИВ о выполнении данных мероприятий в сложившихся условиях, и обеспечить людей всем необходимым для работы удаленно это основная задача.
saipr
В смысле — подарили? Ну тогда он чист!
miltech77 Автор
В приказе начальство даёт распоряжение предоставить мни на период удалённого режима. Никому ничего не подарили.
saipr
Т.е. компьютер изъяли из состава аттастованной АС (автоматизированной системы)?
Ndochp
Он же работать принес. Систему просто географически расширили, не изымая из неё ничего. Типа в соседний кабинет ;)
Только вот добавили каналов связи между АРМ на новом месте и остальной системой, так что аттестация наверное ёк. Если только такое перемещение не было предусмотрено на примере ноутов в составе этой системы, а теперь протокол расширили на стационарники. (а может он ноут принес)
saipr
Это вы, как у нас принято говорить, регуляторам скажите (ФСТЭК, ФСБ ...)