Документы по защите персональных данных. Боремся с халявщиками

    Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай — в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

    image

    Проблема №1. Введение клиента в заблуждение Вранье


    Тут, наверное, сразу стоит начать с примеров.

    На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных — 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц — 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно — неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.

    Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я уже писал в своей старой статье о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.

    Проблема № 2. Отсутствие индивидуализации


    Само собой, практически все сервисы по подготовке комплекта документов вам расскажут о гибкой персонализации комплекта документов сугубо под вас, но это утверждение вполне можно было бы привести как третий пример проблемы № 1.

    Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему — если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.

    Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:

    — используется ли виртуализация?
    — используются мобильные средства?
    — резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
    — и т.д. и т.п.

    Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».

    Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.

    Проблема № 3. Сомнительное качество самих документов


    Отчасти проблема перекликается с предыдущей, но если в проблеме №2 речь больше шла об особенностях автоматизированного заполнения, то тут речь о том тексте шаблонов, который не подвергается изменению. Накосячить умудряются в самых простых инструкциях.

    Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных — ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам — настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как — «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».

    Проблема № 4. Безопасность


    Как ни странно, сервисы, которые призваны повысить информационную безопасность, сами вызывают ряд вопросов, начиная от банального отсутствия шифрования при отправке форм с конфиденциальными данными, заканчивая как эти данные хранятся на сервисе, как организован физический доступ к серверам и многое другое. При этом мы помним, что пока что сервисы работают по принципу «легко и просто» и не собирают большого количества информации, но могут и «усовершенствоваться». Но тем не менее, как минимум персональные данные ответственных и членов различных комиссий, а также базовые данные по информационной системе придется предоставить.

    К чему это все?


    Я убежден, что продавать болванки документов, даже под соусом автоматического заполнятора шаблонов за деньги это прошлый век. Я убежден, что запугивание потенциальных клиентов и их обман это тупиковая маркетинговая модель. Стоимость подписки на такие сервисы составляет от 10 до 50 тысяч рублей в год. За эти деньги можно привлечь специалиста, который подготовит качественный комплект с полноценным аудитом бизнес-процессов и IT-инфраструктуры (да, в кризис опытный специалист может согласиться поработать даже за 10 тысяч рублей). Но если выбор пал на шаблоны, то платить за это деньги не вижу никакого смысла. К тому же разные документы можно вполне бесплатно нагуглить. Как я и обещал, для упрощения этой задачи, выложил некоторую подборку здесь.
    Поделиться публикацией
    Комментарии 59
      +3
      Жаль не привел примеров подобных сервисов, где так красиво обувают фирмы.
        +2
        результат беглого гугленья:
        https://152online.ru/
        http://b-152.ru/
        https://alfa-doc.ru/public/
        и это далеко не все
        в статье не привел ссылок, так как не хотел делать антирекламу кому-то конкретно
          +1
          я бы мог попастся.
          Если бы не знал, что нужно делать "Модель угроз"
            0
            И без модели угроз проходится проверка. Видимо, от настроения проверяющих зависит
              0
              Вы правы, настроение проверяющих очень важный фактор.
              0
              Модель угроз делается некоторыми сервисами по автоматизации разработки документов, в т.ч. b-152.ru
              0
              Прошелся по всем ссылкам и на первой же указанной вами (https://152online.ru/) не обнаружил ни одного из указанных вами "косяков".
              1) Обман — никаких заоблачных штрафов и гарантий прохождения проверки на этом сайте не нашел. В разделе про ответственность лишнего ничего нет.
              2) Отсутствие индивидуализации — на странице описания тарифов четко написано — "Автоматическая генерация пяти базовых документов, разработка комплекса организационых мер", а чуть ниже (только на платных тарифах) "Индивидуальная разработка комплекта документов за 5 дней". Не думаю что "автозаполнятор" документов будет 5 дней работать.
              3) Качество документов — тут не могу ни подтвердить, ни опровергнуть — не проверял, т.к. нужен платный доступ.
              4) Безопасность — в самой ссылке этого сайта есть https. Может не заметили?
              http://b-152.ru/ — это да. Здесь и запугивание штрафом в 300 тысяч, и "автозаполнятор" и небезопасная передача данных. Может про него весь пост?
              https://alfa-doc.ru/public/ — здесь тоже ничего критичного не обнаружено, только цен нет. Интересно было бы посмотреть.
              Склоняюсь к выводу, что не анализировали вы комплексно все эти сервисы, а написали статью основываясь на анализе одного. А тупо копировать первые выданные поиском как-то не авторитетно.
                0
                А я и не говорю, что смотрел именно эти сервисы, тут попросили примеры, я загуглил и скинул. Еще раз повторюсь — таких сайтов множество, тот же Контур вроде как подобный сервис предлагает бесплатно. В статье некоторое среднее, какие-то из сервисов могут быть и лишены тех или иных недостатков. Целью, как я уже сказал, была не антиреклама, а альтернативная информация той, которой заполонили интернет интеграторы (как страшен 152-фз, как крут наш сервис и тд). Если вы хотите платить за эти сервисы, платите =) К тому же я и сам спокойно на эти сервисы смотрел до поры до времени. Что послужило триггером к написанию статьи написано в первом абзаце, почитайте.
                  0
                  Коммент, на который ответом была ваша "выборка" звучал так: "Жаль не привел примеров подобных сервисов, где так красиво обувают фирмы." Ваш ответ как раз и является антирекламой, которую вы так (якобы) не хотели делать. И еще хотелось бы уточнить "некоторое среднее" чего? То есть анализировали всё-таки какие-то сервисы? Хотелось бы тогда узнать какие? А не просто первые результаты гугления. Можете написать? Или ваши доводы взяты "от балды"?
                    +1
                    Во-первых, формулировку коммента оставим на совести автора коммента. Я думаю понятно, что хотели посмотреть именно примеры таких сервисов. Во-вторых, целью статьи не был детальный анализ таких сервисов, да и нет у меня такой возможности, это же каждому сервису пришлось бы заплатить. Цель статьи — дать альтернативу дифирамбам, которые сервисы пишут сами себе и подборку документов, потому что как показывает практика, есть некоторые проблемы с тем, чтобы собрать ее самостоятельно. "Некоторое среднее" это с одной стороны негатив, которым грешит только один тот или иной сервис, с другой стороны, есть проблемы, которые присущи им всем. У меня самого не было цели знакомиться с этими сервисами целенаправленно, но приходилось это делать когда нам либо предлагали партнерство, либо происходила отвратительная история, которая описана в статье. Хотя, возможно, я зря тут распинаюсь, если тут задет личный интерес (извините, аккаунт заведенный в день публикации статьи с комментами только в этой статье намекает).
                      0
                      Ох как быстро вы меня раскусили. Дедукция 80 lvl :) Так значит 0ri0n виноват, в том что вы негатив в отношении этих севисов (именно этих трёх) создали? Нет, это не так. Виноваты именно вы.
                      Личный интерес? Да, он есть. Но и у вас есть личный интерес, ведь вы работаете в компании, предоставляющей такие же услуги. Сервисы эти являются конкурентами вашей компании. Благосостояние вашей фирмы отражается на вашем личном благосостоянии (надеюсь, что это так и желаю вам этого).
                      Ну пожалуйста, не нужно распинаться. Вы и так ни на один вопрос не ответили. Потому что нечего вам ответить. Совершили ошибку — признайтесь в этом честно.
                      По поводу вашей цели: Цель ваша понятна. Когда не представляется возможность показать свои преимущества, самое легкое, что можно сделать, так это «облить помоями» своих конкурентов. В одном вы правы, что сервис (который описываете в своем посте, но на который так упорно не хотите указывать) зря лезет на чужую территорию — в лечебные учреждения. Там действительно всё крайне индивидуально и сложно, «автозаполняторами» не обойтись. Да, больницы, поликлиники, гос.органы и учреждения, операторы связи идругие крупные компании — ваша корова, и вам их доить.
                        0
                        Я понимаю, что вы писатель, а не читатель, но почитайте пожалуйста еще раз саму статью и комментарии, я уже сказал что послужило толчком к написанию этой статьи. Еще раз повторюсь — мне от этих сервисов ни холодно, ни жарко, работы мне хватает и дело не в том куда они заходят, а дело именно в том, в какой агрессивной форме это продвигается. И еще, как я написал уже в другой ветке — человеческая лень непобедима, поэтому клиентов у таких сервисов скорее всего не убудет.
                          0
                          Не нужно меня в невнимательности обвинять. Я прекрасно понял ваш повод к написанию статьи. Повод супер, как раз для вашей цели подходящий. Но повод и цель — это абсолютно разные вещи. А про вашу цель я уже выше написал — полить навозом конкурентов. Да и вы ее не опровергаете.
                          В каждом комменте вы пытаетесь переложить свою вину на других. То у вас 0ri0n виноват, то вас не так поняли. Получается, что та загадочная «агрессивная» конторка виновата в том, что вы занимаетесь распространением антирекламы в отношении целого пласта своих конкурентов. Ну в таком случае не вижу смысла с вами далее дискутировать. Дабы вы еще на кого-нибудь не свалили ответственность за свои ошибки.
                            0
                            Да я тоже не вижу смысла дискутировать, когда вместо аргументов льются голословные обвинения. Когда появится желание поговорить предметно по теме статьи (индивидуализация, качество документов, защита информации в таких сервисах и тд), возвращайтесь. Вам, как особо внимательному читателю, еще раз напомню одну мысль, которая неоднократно прозвучала — заполняторы шаблонов мне не конкуренты.
            +1
            Еще мне нравится, когда такие д(е)ятели в своих агитках грозят ответственностью по куче статей КоАПа и УК, и еще в обоснование приводят ельцинский указ, в котором "персональными данными" названа тайна частной жизни. Прям страшно-страшно становится.
              0
              Самое смешное, что в терминологии нынешней редакции закона путём нехитрых умозаключений, при необходимости, нарушение тайны частной и личной жизни можно дополнительно свести к нарушению правил обработки ПДн.
                0
                Ну это вы пропустили случай, когда кое-кто пытался в судах признать, что номер телефона гражданина – это тайна частной жизни.
                  0
                  Почему пропустил? Я ответ абоненту готовил по одному такому запросу :) Всё вытекает из путаницы в терминологии ФЗ-126 "О связи" (сведения об абоненте) и ФЗ-152 "О перс. данных". Сравните: "К сведениям об абонентах относятся фамилия, имя, отчество или псевдоним абонента-гражданина, ..., а также адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента (прим. это тайна связи в чистом виде)" и "персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)".
                    0
                    В определенном правовом контексте номер телефона может быть и врачебной тайной (как сведения о пациенте), и банковской тайной (как сведения о клиенте), и тайной связи (в составе сведений о звонках абонента). Но самостоятельно номер телефона гражданина, указанный им самим в качестве контактной информации, тайной частной жизни ну никак не является.
                      0
                      На мой памяти УФАС пару раз пытался трактовать факт получения абонентом рекламного сообщения SMS от микрокредитной организации как нарушение тайны личной жизни, ссылаясь как раз на то, что в тексте сообщения абоненту предлагалось взять кредит для погашения уже существующего, т.е. по их версии, банк, в котором был взят первоначальный кредит, передал информацию о этом в микрокредитную организацию.
                  0
                  В свое время очень часто пугали возможным приостановлением деятельности организации на срок до 90 суток. Приводили статью за невыполнение в срок предписания контролирующего органа. Оказалось, что эта статья КоАП очень большая и содержит много разных вариантов наказаний за невыполнение предписаний разных контролирующих органов. Про 90 суток там есть, но это никаким боком не относится ни к РКН, ни к ФСТЭК, ни к ФСБ. Тем не менее, страшилка сделала свое грязное дело.
                  0
                  atelenga, вы видимо «в теме».
                  А как эту идею с хранением данных о россиян в РФ обходит Шенгенская система и посольства при получении виз?
                  Или для государств сделано исключение?
                    +1
                    При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона:

                    Статья 6. Условия обработки персональных данных

                    Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

                    2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
                      0
                      Кстати, по поводу "извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации". Из разъяснения Роскомнадзора от 02.02.2016 (http://1.bp.blogspot.com/-ydEDqK57VAA/VrH7cxZq_jI/AAAAAAAAMrc/aMKPkD7cumg/s1600/Capture.PNG, http://1.bp.blogspot.com/-XP0YDZJke5k/VrH7nJ_gqMI/AAAAAAAAMrg/4BEQ0Op9ueM/s1600/Capture.PNG) следует, что
                      1. Картотека бумажных документов с ПДн = "база данных"
                      2. Сбор ПДн можно организовывать сначала в картотеку
                      3. Из картотеки передавать ПДн можно напрямую заграницу

                      Получается, что ПДн достаточно разместить в РФ один раз, причём это можно сделать на бумажном носителе (например, договор с клиентом). После этого в электронном виде их можно обрабатывать где угодно.
                        0
                        Да, необходимо именно формировать базу данных (в любой форме) на территории РФ при сборе персональных данных. Потом можно осуществлять их трансграничную передачу при условии соблюдения требований статьи 12 Федерального закона № 152-ФЗ. Однако трансграничная передача также является обработкой персональных данных и должна ограничиваться достижением конкретных, заранее определенных и законных целей. Ну и соответственно не допускается обработка (в т.ч и трансграничная передача) персональных данных, несовместимая с целями сбора персональных данных (ч.2 ст.5 ФЗ 152).
                        Таким образом «обрабатывать где угодно» (просто потому что так захотелось) персональные данные незаконно.
                          0
                          Естественно, требования 152 ФЗ в части цели и объёма ПДн никто не отменял. Например, обработка в зарубежной ИСПДн данных из бумажных договоров, заключаемых на территории РФ (сформированных в базу данных ПДн) в полной мере отвечает этим требованиям, если используется форма договора установленного образца, объём ПДн определён и соответствует цели. При этом ст.12 будет выполнена (исполнение договора, стороной которого является субъект персональных данных). Более того, цитата из разъяснения Минсвязи: "Если персональные данные были при сборе записаны в базу данных, расположенную на территории Российской Федерации, то впоследствии такие персональные данные могут вноситься работником (представителем) оператора в принадлежащую ему электронную базу данных, находящуюся за пределами РФ."
                          Вопрос в другом: подобная однократная "локализация" ПДн в РФ показывает, насколько формальны некоторые требования закона.
                            0
                            Я думаю, что все эти «телодвижения» с локализацией баз персональных данных при сборе организованы с целью однозначной идентификации оператора, как резидента РФ. То есть, раньше было так — собирали персональные данные все кому не лень (зарубежные платежные сервисы, соцсети, букмекеры и тд и тп). Естественно они не имели своих представительств в РФ и на них никак нельзя было воздействовать при нарушениях, т.к. они не являлись резидентами РФ. Теперь же этих зарубежных операторов легко определить, т.к. сервер базы данных находится в России и все дата-центры и операторы под контролем.
                            Смысл получается в том, чтобы не запретить транграничную передачу, а именно идентифицировать оператора на самом первом этапе — сборе ПДн (без которого не обойтись). Поэтому считаю, что все логично.
                    0
                    А у меня друг защитил диплом, сделав такой сервис…
                      0
                      А вот модели угроз для мелкой организации из одного офиса с 1С в придачу так нигде и не валяется :-(
                        0
                        С моделью угроз советую не заморачиваться пока что, так как скоро ФСТЭК выпустит новую методику моделирования угроз, которая заменит документы 2008 года. Вчера как раз был на их мероприятии, обещают к маю опубликовать.
                          0
                          Новая методика вообще, или которая для ГИС?
                            0
                            Да, но она же будет применяться и для ИСПДн, потому что документы от 2008 года официально утратят силу. Сейчас ситуация прямо противоположная — используем для ГИС методику для ИСПДн за неимением другой нормативы.
                            0
                            Это вот та, которая по банку угроз будет? Ох… Очередная куча потраченного на бесполезную ерунду времени. Если проект не сильно поменялся, то мы возвращаемся во времена 3х-главого приказа, когда куча документов есть, но между собой они, прямо скажем, достаточно слабо пересекаются…
                          –1
                          Автор, имею несколько другое видение по поводу сервисов подготовки документов.
                          Сервисы подготовки документов чаще всего продают не только подготовку, как вы сказали, "шаблонных" документов, а именно "сервис", куда включена и консультационная поддержка, когда требуется уточнить что-то по тому или иному вопросу клиента в рамках правоприменительной практики, и финансовые гарантии, и помощь в прохождении проверок Роскомнадзора, и, что не маловажно, обновление документов при изменениях законодательства.
                          Скачать такое из интернета нельзя, т.к.:
                          1. Позиция основного регулятора в этой сфере, Роскомнадзора, по некоторым вопросам, например по локализации БД с ПДн россиян на территории РФ, имеет свойство меняться со временем. Поэтому документы должны соответствовать позиции регулятора, иначе проверку пройти не удастся.
                          2. Законодательство также не стоит на месте — только в этом году ожидается вторая редакция 21 Приказа ФСТЭК, новая методика моделирования актуальных угроз и постановление правительства о надзоре в области ПДн. Документацию необходимо держать в соответствии с текущим законодательством.
                          3. Если вы просто скачаете документацию из интернета, то вы не знаете, можно ли с ее помощью выполнить требования законодательства и пройти проверку Роскомнадзора или нет. Сервисы регулярно публикуют кейсы прохождения проверок с разработанной с их помощью документацией.

                          Безопасник за год обновлений и такой пакет обойдется сильно дороже 50 000 рублей.
                          Как специалист по информационной безопасности и основатель http://b-152.ru/ могу вам это сказать точно.
                          P.S. По поводу SSL вы правы, давно пора его поставить.
                            –1
                            Свое мнение и видение это отлично, поддерживаю! Надеюсь, ваши представители не занимаются прямым запугиванием клиентов (эта история в статье не про вас), хотя зачем страшилку про 300 000 тысяч рублей добавили, непонятно. Хорошо, что вы говорите о проверках только Роскомнадзора, а не говорите о "проверках любых регуляторов". Они действительно смотрят в основном только бумаги, но тут нужно понимать, что есть защита ПДн для регулятора, а есть реальная защита и тут уже бумажками не отделаешься, да и бумажки должны соответствовать условиям и особенностям работы информационной системы (особенно модель угроз). Что касается нового документа по моделированию угроз от ФСТЭК, то если по сравнению с проектом существенных изменений не будет, не представляю как можно будет качественно автоматизировать процесс ее разработки, если сейчас большинство параметров определяется по табличками и формулам, то по-новым правилам будет использоваться экспертное мнение не менее трех экспертов.
                            В любом случае, клиентов у вас и ваших конкурентов я думаю не убудет. Я не раз встречался сам с ситуацией, когда даешь людям все что нужно, только бери и делай под себя, но нежелание разбираться все равно приводит к выводу, что проще заплатить денег. Но есть и небольшой процент людей, которым нужен некоторый толчок, с чего же начать и они справляются сами, надеюсь что таким людям мои статьи помогут. Ну и есть еще те, которым просто нечем платить ни сервисам, ни специалистам.
                              0
                              Loreweil, вам ли, как специалисту по ИБ, не знать, что 80% реальных угроз перекрывается организационными мерами и контролем. А это и есть, как вы выразились, «бумажки». Кроме того, целевой аудиторией этих сервисов являются микро-предприятия и малый бизнес, и оставшиеся 20% угроз для них просто-напросто неактуальны. И специалист по ИБ (который кстати в регионе не меньше 30 тысяч руб. з/п в месяц попросит) вообще таким фирмам не сдался. Учитывайте это.
                                0
                                Комплект ОРД, на который вы ссылаетесь, может помочь только специалисту, ну максимум IT-шнику. Но ведь его будут скачивать и бухгалтера и кадровики. И максимум на что они способны, это только впечатать название своей организации. К чему приводит такая «защита» вы прекрасно понимаете. Без грамотной консультации здесь не обойтись. Этим и занимаются сервисы Б-152, 152 онлайн, Альфа-док и им подобные. Вот к ребятам, которые просто шаблоны (типа вашего) за деньги продают, большой вопрос. Тут бы я с вами не поспорил.
                                0
                                Вот Вы, кстати, верно отметили, что есть реальная защита, а есть бумажки… И будь я на месте ИП ООО или ОАО (если это не банк) — то я сделал бы фуфел из документов для проверяющих за 30т.р. а остальные силы направил на реальную защиту. Которая, увы, к существующим документам, что старым, что новым, имеет очень отдаленное отношение…
                                Но мой взгляд реальных докуметов из существующих 30+ только 6:
                                0) Положение о ПДн в каком-либо виде
                                1) Модель угроз — реальная, а не этот бред 2008-20015 года, ну или их надо серьезно дополнять
                                2) Инструкция пользователям, подробная включая меры по работе с антивирусом (типа проверять флешки, не запускать почтовые вложения)
                                3) Инструкция по резервному копирования и восстановлению для админов, там же раздел про личные файлы пользователей
                                4) технологический процесс. Подробный что как куда, с указанием портов и расположения оборудования. (технический паспорт в том виде в котором он сейчас представлен нафиг не нужен) В качестве хорошего дополнения существующей схеме СКС и коммутационному журналу.
                                5) Документ — матрица доступа
                                Опционально можно еще добавить документ по Wi-Fi — гостевой рабочий, но можно это включить в 5 пункт.
                                Все! остальное большой фуфел и просто марание бумаги и потеря времени, не имеющего ничего общего с реальностью…
                                Для ГИСов, конечно, надо дословно и полно....
                              0
                              По поводу новой модели угроз:
                              • у нему опять нет методики определения ущерба это раз… А значит за обработку ПДн без должных мер статтья 13.11КОАП иии… ничего за утечку (ну 5 т.р. за моралку по суду) И для чего тратить 80+тыр на защиту одного рабочего места?
                              • там можно работать по банку данных если не хотите экспертную оценку, я когда в прошлом году разбирался — пришлось совмещать эти 2 метода, иначе бред получается...
                              • Вы открывали этот банк? — там 30% не меньше угрозы в стиле "выполнение кода в UEFI" — и как защищаться? как отбрехиваться от этого? УЕФИ есть у всех современных компов, это мне средства доверенной загрузки в УЗ4 теперь пихать? А ен жирно будет?
                              • Как этот банк бьется с мерами по 21/17 приказам — я неделю потратил пытаясь распихать 85 что-ли на тот момент угроз по мерам 17 приказа… получилось не все…
                                И это только то, что возникло при поверхностном знакомстве с проектом новой модели…
                                Так что… работаем как и раньше — делаем фуфел для проверяющих и строим совместно с техотделом реальную защиту реальными инструментами, а не сертифицированной, прости господи, виндой (зы работаю с госами в основном)...
                                0
                                Огромное количество угроз, связанных с BIOS/UEFI в банке угроз ФСТЭК это еще не настолько весело, как немалое количество угроз, связанных с грид-системами и суперкомпьютерами. У нас же в каждой второй организации суперкомпьютер =) Насчет методы по моделированию угроз, то думаю нужно будет обсуждать именно утвержденный документ. Его обещали выпустить осенью прошлого года, а теперь обещают в мае этого года. Есть информация, что такой лаг на полгода связан с внесением большого количества изменений. А проект да, действительно вызывает много вопросов.
                                0
                                Бумага она и бумага.
                                А как насчет технической защиты ПДн?
                                Обычное предложение интегратора коммерческому клиенту, потратить кучу денег и поставить на все машины исключительно серт. средства, VipNet клиентов + SecretNet в придачу, апеллируя к требованиям 21 приказа и еще большим страшилкам и карам.
                                  0
                                  Это еще один аргумент не в пользу заполняторов, сейчас документы ФСТЭК позволяют исключать меры, заменять их компенсирующими, в том числе и придуманными самостоятельно оператором. К тому же прямо сказано, что система защиты не должна мешать выполнять непосредственную функцию информационной системы. То есть к набору СЗИ можно подойти очень творчески, а необходимость использования сертифицированных СЗИ в негосударственных ИСПДн под большим вопросом. Заполняторы, которые умеют в техзадание на систему защиты решают эту проблему в лоб — предлагают только сертифицированные СЗИ (а вдруг госорган?) по базовым мерам в зависимости от уровня значимости персональных данных. Интеграторы о которых вы говорите скорее всего пользуются подобными системами сами, ну либо в голове еще со времен 58 приказа отложилось шаблонное мышление, никакой гибкости. У меня был очень интересный проект по защите ПДн в крупной коммерческой организации с международными инвесторами, там сразу было оговорено о том, что о нагромождении каких-то дополнительных СЗИ не может быть и речи. Поэтому проект СЗПДн был реализован штатными средствами ОС и некоторыми, использующимися в системе продуктами от McAfee и Symantec (не сретифицированными конечно же). То есть описывали как то или иное требование выполняется этими средствами, особо неудобные требования исключали и описывали какими компенсирующими мерами мы закрываем актуальные угрозы. Поскольку организация сейчас является одним из крупнейших налогоплательщиков региона, там проходят проверка за проверкой, в том числе и по ПДн. Вопросов и претензий у регуляторов пока не возникало.
                                    0
                                    Проверял то роскомнадзор? Они проверяли соответствие требованиям 21 приказа фстэк? Не их ведь епархия.
                                      0
                                      Они одно время пытались с собой таскать сотрудника МВД для проверки этой части.
                                      Многие пускали, но это зря.
                                        0
                                        Да, роскомнадзор проверял. Как тут ниже сказано, ФСТЭК коммерсов не проверяет, а у ФСБ повода нет, так как криптография хоть и используется по факту, но это незаделкарировано. Роскомнадзор проверяет соответствие 152-ФЗ и постановленям Правительства 1119 и 687, и у них не было вопросов насчет использования в системе несертифицированных СЗИ. Учитывая, что ФСТЭК никогда не придет в коммерческую организацию с проверкой, я думаю итеграторов с кучей сертифицированных СЗИ в коммерческой организации можно смело и далеко посылать.
                                    0
                                    Роскомнадзор не имеет права запрашивать модель угроз, это сфера регулирования ФСТЭК.
                                    ФСТЭК сейчас не имеет права проводить проверки негосударственных организаций.
                                    Высокоуровневые документы довольно однообразны, если смотреть в разрезе отрасли, и теоретически могут быть сгенерированы на основании анкет. Нюансы — они в деталях. Сам сервисами не пользовался и качество их документов оценить не могу, но задача решаема. Особенно для мелкого бизнеса.
                                    В остальном — конечно имеет смысл делать все по уму, с анализом бизнес-процессов и т.д. Но это далеко не всем по силам.
                                      0
                                      Имеет, так как разработка модели угроз обусловлена в 152-ФЗ, а не только документами ФСТЭК. Плюс оператор должен определить возможный ущерб субъекту в случае разглашения ПДн, это тоже есть в 152-ФЗ и РКН просит показать оценку возможного ущерба. Методики определения ущерба нет и единственное что можно за уши притянуть к определению ущерба это определение опасности угроз (там определение опасности напрямую связано со степенью возможного ущерба субъекту). Другой вопрос конечно, что РКНовцы ничего не понимают в содержании МУ. Тем не менее, были прецеденты в моей практике, когда модель угроз была на 20 страниц, 10 из которых термины и определения и РКН придрался к качеству документа. Поэтому для РКН главное чтобы документ был в наличии и чтобы там побольше всякого непонятного написано было =) Ну и насчет придирок во время проверки — неважно что говорят и к чему придираются, главное что напишут в акте. Буквально недавно мне рассказывали как РКН неправомерно в ходе проверки предъявлял претензии (например, проверяющим взбрело в голову, что Бухгалтерия и Кадры должны быть описаны как 2 разные ИСПДн), но в акте в итоге было написано "нарушений не выявлено".
                                        0
                                        Ну вот и порекомендовали бы какую-нибудь готовую модель угроз для предоставление в РКН "на отвали" :-) Коль говорите что "для РКН главное чтобы документ был в наличии и чтобы там побольше всякого непонятного написано было =) "
                                          +1
                                          Ну вот, что-то нашел: http://rghost.ru/8VwRTXb8d
                                          Мне не нравится документ, но для галочки сойдет, правда там есть неактуальные вещи, например само определение "персональные данные" устаревшее. Документ просмотрел по диагонали, также там старая классификация ИСПДн, в общем подпилить придется. Насчет классификации, то ее вообще можно удалить, это какая-то устаревшая мода пихать в модель угроз все подряд.
                                          Насчет мысли обозвать модель угроз по-другому, это конечно занятно. Можно конечно на яблоке написать, что это груша, но суть от этого не изменится. Не знаю как у вас, но у нас РКН прямо так и говорит: "А где ваша модель угроз?". Хотя что касается РКН, то они действительно могут сегодня спросить, а завтра не спросить. Да и на 2-3 листа отписаться не получится, особенно если вспомнить что угроза это совокупность условий и факторов, приводящих к нарушению безопасности информации, а не просто уязвимость или канал утечки. К тому же не забываем про модель нарушителя.
                                            0
                                            Вот спасибо! Почитаем.
                                              0
                                              ФСТЭК постоянно мудрит с этой моделью угроз. Натянуть какие-то модели на вероятности, псевдоформулы и псевдорасчеты событийной реальности.
                                              Кто этим будет пользоваться?
                                              Пока-что самая нормальная методика угроз из последних у ФСБ, все прозрачно и понятно. Да, даже у банка России в стандарте все прозрачней.
                                            0
                                            Такого документа как «Модель угроз» у вас вообще может и не быть. Закон устанавливает, что «обеспечение безопасности персональных данных достигается, в частности: 1) _определением угроз безопасности_ персональных данных при их обработке в информационных системах персональных данных». Словосочетания «Модель угроз» ни в одном нормативном акте нет, кроме самой Базовой модели угроз… А эти ФСТЭКовские документы («Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн» и «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн») являются просто методическими документами. Поэтому можно оформить это _определение актуальных угроз_ обычным Актом на пару-тройку листов без лишней воды. Например, таблицей.

                                            Вообще тут большой простор для размышлений. В соответствии с ч.5 ст.19 152-ФЗ (отсылка к этой норме есть также и в 1119 постановлении) «Федеральные органы исполнительной власти… принимают _нормативные правовые акты_, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах ...» Можно ли сюда притянуть «Базовую модель угроз...» сказать сложно. Мне кажется, что методический документ это не нормативный правовой акт. Кроме того, он должен быть зарегистрирован в Минюсте. И только после этого будет считаться полноправным НПА.

                                            Ну а про проверку Выполнения требований по обеспечению безопасности ПДн — всегда поразному, зависит от региона. Где-то проверяют, где-то — частично проверяют и только на словах, а где-то вообще не касаются 19 статьи.
                                              0
                                              Это вы все верно написали, но ФСТЭК в лице проверяющих до сих пор еще ссылается на СТР-К, который вообще ДСП… И формально даже после 17 и 21 приказа он не отменен. И там есть и про техпаспорт и про модель угроз, хотя про модель — тоже косвенно.
                                                0
                                                Вот по причине всего вышеописанного писать честную модель угроз не хочется. Хочется талмуд для проверяющих с минимумом затрат (моих сил ибо начальство ситуацию видит и ресурсов не выделяет)
                                                  0
                                                  У меня есть мысль написать статью (и приложить к ней болванку документа) по моделированию угроз, но уже по новой методичке. Осталось дело за малым: дождаться публикации документа, самому в нем разобраться (есть информация, что финальный документ будет сильно отличаться от проекта), найти время на написание статьи =)
                                                  0
                                                  Давно не поднимал СТР-К. Не буду утверждать, что там написано касательно персональных данных. Да здесь всё гораздо проще — ссылаемся на иерархическую систему нормативных правовых актов РФ: Федеральный закон №152-ФЗ «О персональных данных» и принятые в соответствии с ним подзаконные акты (1119 постановление, 17 и 21 приказ) будут иметь _бОльшую юридическую силу_ по отношению к СТР-К. Если эти доводы на проверяющих не повлияют, у вас есть право на обжалование и судья 100% будет на вашей стороне
                                                    0
                                                    Про СТР-К и РД АС ФСТЭК ясно написал в своем информационном сообщении от 15 июля 2013 г. № 240/22/2637. Если коротко, то СТР-К действительно не отменен, но применяется только как метода для защиты от утечек информации по техническим каналам (ПЭМИН, акустика, виброакустика и тд), а также может применяться для информационных систем, которые не являются ни ГИС (МИС), ни ИСПДн.
                                                      0
                                                      Позволю себе немного подправить:
                                                      могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17.
                                                      Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации для защиты информации, содержащей сведения конфиденциального характера (Указ Президента РФ от 6 марта 1997 г. N 188), обрабатываемой в информационных системах, не отнесены к государственным информационным системам.
                                                      И вот по опыту — техпаспорт то они все равно спрашивают, а техпаспорт есть только в СТР-К… Да и при лицензировании им надо отправлять набор документов, среди которых опять же техпаспорт есть....
                                                        0
                                                        Да, техпаспорт в любом случае делаем по форме из СТР-К. Да, действительно, оператор тоже может принять решение защищаться по СТР-К, но это честно говоря немного странно строить защиту информации по документу 15-летней выдержки.

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое