Сейчас написано, что сертифицированные СЗИ должны применяться, только тогда, когда их применение необходимо для нейтрализации угроз. В новом приказе фстэка базовые и компенсирующие меры сформулированы так, что большинство из них реализуемо без сертифицированных СЗИ. Что касается типа угроз, то дыры в ПО есть всегда и везде, но сам факт наличия дыр еще не является угрозой 1 или 2 типа, угрозой является возможность их использования. Вы можете в модели угроз написать, что у вас стоят последние патчи, стойкие к общедоступным эксплойтам, а 0day уязвимости слишком дороги на черном рынке и ради вашей информации навряд ли кто-то будет покупать 0day эксплойты. Опять же, чтобы показать что ваши информация не шибко желанная для квалифицированного злоумышленника было бы неплохо провести анализ рисков по ISO 27001. Также можно провести пентесты, чтобы показать, что угрозы 1 и 2 типа неактуальны.
Скорее всего регулятор попросит отчет о проведении оценки эффективности выбранных мер защиты. Правда опять же не понятно как эту оценку проводить, методик никаких нет. Да и с аттестацией это не вяжется. Аттестация — проверка соответствия требованиям. Требования выполнили — получи аттестат, а оценка эффективности по идее должна проводиться по прошествии определенного периода времени. Опять же, сиди вот и думай что там ФСТЭК имел ввиду…
Не так-то просто собрать согласия, сейчас люди с настороженностью относятся к подписанию подобных бумажек. Еще сложнее, если фирма не новая, а с уже наработанной базой клиентов, как вы старым клиентом объясните, что внезапно понадобилось передавать их ПДн за границу?
На самом деле закон 152-ФЗ, несмотря на многочисленные поправки, сделанные за время его существования очень сырой и многие места могут трактоваться двояко. Есть также такие перлы, как например то, что оператор должен производить оценку возможного ущерба субъекту, а какой-либо вменяемой методики как это делать не существует, ну разве что во фстэковской методике определения актуальных угроз есть понятие «опасность угрозы», которую можно кое как за уши притянуть к оценке ущерба субъекту в случае инцидента ИБ.
Но самая главная проблема не в этом — изначально законодательство в сфере ПДн идет не по тому пути. У нас наказывают не за утечку баз данных или другие инциденты ИБ, за вред, причиненный субъекту, а за невыполнение требований закона и подзаконных актов. И наоборот, если выполнили требования закона, но все равно случилась утечка, то вряд ли оператора накажут, закон-то он выполнил, понять и простить. Как следствие — ориентация отделов ИБ на формальную защиту «для галочки» и «для регулятора». Наглядным примером может служить и принудительное использование «средств защиты прошедших процедуру оценки соответствия». В итоге нередкой бывает ситуация, когда в организации реально работает межсетевой от Cisco, а для фстэка стоит какой-нибудь софтовый vipnet office firewall.
Насчет фичи — врать не буду, не знаю, так как SGS3 мой первый нормальный смарт. И после множества страшных историй про то как «Андроид жрет батарею» очень удивился реальному положению вещей =)
Не нужно впадать в крайности. Данный скрин был сделан после использования смартфона хоть и в щадящем режиме, но просто на полке без сим-карты он не лежал. Было много звонков и смс, немного интернета, поюзал полчаса GPS, пока ехал в одно неизвестное мне место, даже порубился в Zombie Frontier пока ждал жену в машине.
Если вам трудно открыть шторку и тапнуть в иконку вайфая, когда он вам понадобился и проделать ту же операцию, когда он стал вам не нужен, то не нужно плакать что «Андроид жрет батарею». В более хардкорном режиме у меня телефон живет 3-4 дня без подзарядки. Возможно тут свою роль сыграла и попытка самсунга оптимизировать ПО для уменьшения расхода заряда батареи, например, есть такая фича, когда подносишь телефон к уху, экран телефона гаснет, когда отводишь от уха — включается и тд.
В общем я хотел сказать, что говорить о том, что девайс быстро разряжается только из-за того что там стоит Андроид в корне не правильно.
Получается вы передаете ПДн третьим лицам без согласия субъекта, значит 2 пункт не подходит, и 8 пункт тоже, тк используются средства автоматизации. Значит вам нужно отправлять уведомление в РКН и регистрироваться в реестре операторов.
Очень мало сведений для однозначного ответа. Вам нужно смотреть статью 22 закона «О персональных данных», там сказано в каких случаях оператор может обрабатывать ПДн без уведомления. Под ваш случай могут попадать нижеследующие пункты.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; (вы не сказали, заключаете вы договор или нет)
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных; (если вашу организацию можно классифицировать как «общественное объединение»)
или
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных; (вы не указали в каком виде вы храните и обрабатываете ПДн)
Если подходите под один из этих пунктов, уведомление в РКН можно не подавать. Тем не менее вы являетесь оператором ПДн (по закону им является любое юридическое или физическое лицо, обрабатывающее ПДн субъектов) и должны принять меры по сохранению конфиденциальности ПДн.
Аттестация ИСПДн не нужна в любом случае. Достаточно просто принять организационные и технические меры.
То что у вас батарея не держится дольше трех дней при минимальной эксплуатации Андроид-девайса, то это скорее всего говорит о том, что у вас все время включены модули Wi-Fi, GPS, Bluetooth и т.д. и вы в принципе не напрягались вопросом энергосбережения. Могу в доказательство того, что вы не правы привести свой скриншот с моего Samsung Galaxy S III:
Да, это не планшет, но и вы в разделе про автономную работу писали «девайсы на Android», а не «планшеты на Android».
Актуальные угрозы и методы нейтрализации это далеко не все, что входит в протокол аттестационных испытаний. В любом случае, вы можете такой документ подготовить сами, не имея лицензии ФСТЭК, чего нельзя сказать об аттестации.
Что касается согласования изменений в информационной системе с органом по аттестации, то тут многое зависит от этого самого органа по аттестации. Многие любят делать деньги из воздуха и могут наговорить, что для внесения изменений нужны дополнительные тесты и проверки…
Согласно статье 22 закона 152-фз, оператор может не уведомлять уполномоченный орган, если обработка ПДн осуществляется только в соответствии с Трудовым Кодексом. Тем не менее, организация все равно является оператором ПДн. Если оператора нет в реестре, то сильно снижается вероятность плановой проверки. Но есть проверки внеплановые, происходят они как правило, когда на организацию напишут жалобу о том, что они не соблюдают законодательство в сфере ПДн. Поэтому бухгалтериям лучше все-таки заморочиться по поводу приказов и других документов.
Про оценку эффективности в принципе уже ответили, не обязательно это достигается путем аттестации. Центральным документом тут должна быть модель угроз, в ней вы определяете какие угрозы у вас актуальны, соответственно, их нужно нейтрализовать. Потом составляете документ (как его назвать уже дело десятое) в котором рисуете таблицу со столбцами «Актуальная угроза согласно модели угроз» и «Методы нейтрализации». В методах пишите как принятые организационные меры, так и технические. Таким образом вы показываете, что все актуальные угрозы нейтрализованы, о чем в конце делает заключение назначенная ранее комиссия.
Что касается «оценки вреда», то это как раз один из моментов в законе когда написано, а как делать — непонятно. По хорошему должен быть отдельный подзаконный акт с методикой оценки вреда, но его пока что нет и даже на горизонте не маячит (тут уж хоть бы документы от ФСТЭК дождаться по тех защите ПДн). Звонили в наш РКН по этому поводу, они говорят, что сами ждут подзаконный акт. По факту на проверках РКН (по крайней мере наш) такой документ не требует. В принципе, для подстраховки можно придумать что-нибудь, где расписать для разных категорий субъектов, что, допустим, для сотрудников вред при разглашении ПДн «минимальный», для клиентов «средний» и тд. Для РКН, даже если они поднимут этот вопрос, будет важен скорее сам факт оценки, а не ее качество.
Честно говоря с совместными проверками не сталкивался, может быть к ближе к западу это активно практикуется, но у нас на дальнем востоке в основном активничает РКН в этой сфере.
Со ФСТЭК вообще очень интересный момент с их проверками по персональным данным. По закону о защите юридических лиц у проверяющего органа должен быть опубликован в свободном доступе регламент проверок. На старом сайте ФСТЭК было 2 регламента проверок: по лицензионной деятельности и экспортному контролю (на новом сайте я даже их не нашел), ФСТЭК на различных конференциях заявлял, что регламент по ПДн есть, но он имеет гриф секретности. Вот и получается, что они по хорошему даже юридически не могут проверять по ПДн. На новом сайте в разделе «плановые проверки» также только 2 вида проверок: лицензионная деятельность и экспортный контроль. Пруф: www.fstec.ru/ru/deyatelnost/tekushchaya/planovye-proverki
И личный опыт также подтверждает, что ФСТЭК по персональным данным не проверяет, я не знаю как по остальным федеральным округам, но в ДФО проверок по персональным данным ФСТЭКа просто нет =)
Но самая главная проблема не в этом — изначально законодательство в сфере ПДн идет не по тому пути. У нас наказывают не за утечку баз данных или другие инциденты ИБ, за вред, причиненный субъекту, а за невыполнение требований закона и подзаконных актов. И наоборот, если выполнили требования закона, но все равно случилась утечка, то вряд ли оператора накажут, закон-то он выполнил, понять и простить. Как следствие — ориентация отделов ИБ на формальную защиту «для галочки» и «для регулятора». Наглядным примером может служить и принудительное использование «средств защиты прошедших процедуру оценки соответствия». В итоге нередкой бывает ситуация, когда в организации реально работает межсетевой от Cisco, а для фстэка стоит какой-нибудь софтовый vipnet office firewall.
Если вам трудно открыть шторку и тапнуть в иконку вайфая, когда он вам понадобился и проделать ту же операцию, когда он стал вам не нужен, то не нужно плакать что «Андроид жрет батарею». В более хардкорном режиме у меня телефон живет 3-4 дня без подзарядки. Возможно тут свою роль сыграла и попытка самсунга оптимизировать ПО для уменьшения расхода заряда батареи, например, есть такая фича, когда подносишь телефон к уху, экран телефона гаснет, когда отводишь от уха — включается и тд.
В общем я хотел сказать, что говорить о том, что девайс быстро разряжается только из-за того что там стоит Андроид в корне не правильно.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; (вы не сказали, заключаете вы договор или нет)
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных; (если вашу организацию можно классифицировать как «общественное объединение»)
или
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных; (вы не указали в каком виде вы храните и обрабатываете ПДн)
Если подходите под один из этих пунктов, уведомление в РКН можно не подавать. Тем не менее вы являетесь оператором ПДн (по закону им является любое юридическое или физическое лицо, обрабатывающее ПДн субъектов) и должны принять меры по сохранению конфиденциальности ПДн.
Аттестация ИСПДн не нужна в любом случае. Достаточно просто принять организационные и технические меры.
Да, это не планшет, но и вы в разделе про автономную работу писали «девайсы на Android», а не «планшеты на Android».
Что касается согласования изменений в информационной системе с органом по аттестации, то тут многое зависит от этого самого органа по аттестации. Многие любят делать деньги из воздуха и могут наговорить, что для внесения изменений нужны дополнительные тесты и проверки…
Немного промазал, этот коммент про статью о ПДн в медицине.
Что касается «оценки вреда», то это как раз один из моментов в законе когда написано, а как делать — непонятно. По хорошему должен быть отдельный подзаконный акт с методикой оценки вреда, но его пока что нет и даже на горизонте не маячит (тут уж хоть бы документы от ФСТЭК дождаться по тех защите ПДн). Звонили в наш РКН по этому поводу, они говорят, что сами ждут подзаконный акт. По факту на проверках РКН (по крайней мере наш) такой документ не требует. В принципе, для подстраховки можно придумать что-нибудь, где расписать для разных категорий субъектов, что, допустим, для сотрудников вред при разглашении ПДн «минимальный», для клиентов «средний» и тд. Для РКН, даже если они поднимут этот вопрос, будет важен скорее сам факт оценки, а не ее качество.
И личный опыт также подтверждает, что ФСТЭК по персональным данным не проверяет, я не знаю как по остальным федеральным округам, но в ДФО проверок по персональным данным ФСТЭКа просто нет =)