Комментарии 18
Впечатляет серьёзный и основательный подход к тому, чтобы пройти проверку и иметь все необходимые документы.
А для защиты данных вы что-нибудь делали?
Очковтирательство. Нужно делать пентесты, фишинговые и другие атаки, только тогда будет понятно, что всё и все на своих местах. Но у проверяющих в головах только регламенты, которые никак не соответствуют технике. Я не придираюсь к автору, он честно сделал свою работу по чеклисту, но оговорки «системы защиты стояли только на проверяемых машинах» говорят о том, что ему тоже интересна только защита от ревизоров, а не зашита перс данных.
СЗИ были развёрнуты и на других местах. Образцовое место проще было проверить и подготовить для проверяющих, так как оно было не занято обработчиками ПДн. Были проблемы с сертификацией по причине ограниченного бюджета, но это не значит, что защита отсутствовала.
Нужно делать пентесты, фишинговые и другие атаки, только тогда будет понятно, что всё и все на своих местах.
Извините, но это подход "для проверки пожарной сигнализации нужно попытаться поджечь здание". Да, ФСБ проверяет защищенность организаций подкладыванием свёртков, но на это тратятся неадекватные ресурсы. Предлагаете тратить такие же ресурсы на каждую из организаций, работающих с ПДн? Значит, будьте готовы больше платить проверяющим - не 25 круб местечковым роскомнадзорщикам, а 50-100 специалистам среднего уровня.
Так тут статья не про то, как защитить персональные данные, а про то, как пройти проверку ФСТЭК. Будь то ФСТЭК или ФСБ, они в любом случае в первую очередь проверяют бумажную безопасность и лишь частично рабочие места. Кстати, у фейсов есть своя софтина, которая вытаскивает из системы очень много интересных вещей и она весьма профессионально написана.
Это просто потому, что многие их критичные системы не имею доступа в интернет как и рабочие места для работы с такими системами. Какие-то системы вообще замкнуты даже без статусов ГТ. А не потому, что там супер технари на защите. В коммерции же наоборот - все друг другом взаимодействуют через интернет, а иметь на столе 2, 3, 4 неттопа для работы с разными системами (одна для компа, другая для ИСПДн, третья для PCI DSS и т.п.) как я описывал в шпаргалке по сегментации не все могут.
Непосредственно перед самой проверкой я подготовил место для встречи проверяющих. Лучше, чтобы это был отдельный кабинет с коньяком и конфетами.
Тут нужно осторожно, так как некоторые воспринимают Коньяк весьма негативно. Многое зависит от того, молодые или старые бойцы приедут. Сейчас множество молодых, идейных и совсем не пьющих))) среди них.
ФСТЭК сообщает о проблемах не сразу. При мне представители службы ничего не говорили, а предложили исправления позже, в письменном виде и через куратора. Это был отчет в виде перечислений нарушений с вежливой просьбой их исправить.
Нам сразу говорили, и мы еще спорить с ними пытались :D В итоге, пару пунктов спором сняли, остальные исправили пока они нас проверяли.
Вы спросите, можно ли пройти такую проверку вообще без замечаний со стороны государственных органов? Я думаю нет. Во-первых, идеально тут все равно не подготовиться, и это в некотором роде снижает градус тревожности, однако не отменяет серьезного отношения к подготовке. А во-вторых, система так устроена, что проверяющим нужно что-то найти. Да-да. Как однажды мне сказал один профессор: «Законодательство написано так, чтобы было место для маневра — как со стороны проверяющих, так и со стороны проверяемого. Каждый понимает это по-своему, а с проверяющими лучше сильно не спорить».
Дело еще в том, что многое зависит от мнения старшего среди проверяющих, как он трактует тот или иной пункт.
"Ваши данные защищены законом" (с)
@alexprok большое спасибо за развёрнутый ответ. Как я и предполагал-главное-наличие документов и душевное общение с проверяющими). Бумаги, бумаги, бумаги.....
Проверки защиты персональных данных ФСТЭК: как это происходит на практике