Комментарии 30
Извините, а где тут хранение данных и информационная безопасность?
Не место ли этой статье на Мегамозге, например? Или на Гиктаймс?
Не место ли этой статье на Мегамозге, например? Или на Гиктаймс?
Вопрос выполнения требований 152 ФЗ — сугубо айтишный (требуется реорганизовать хранение данных и организовать комплекс мер по защите информации). Кто-то нагнетает его на хабре в коммерческих целях. А я пытаюсь показать, что для айтишников в обычных компаниях — это не самая актуальная проблема.
Извините, но можно я вас процитирую?
Т.е. надо что бы документы были в порядке. Как оно будет хранится реально на сервере — волнует только ФСТЭК и ФСБ. Я же правильно вас понял?
Не знаю, возможно подготовка документов — это задача айтишников. Но айтишниного в этом столько же, сколько и в чистке зубов. Давайте писать о зубных пастах на Хабре? Ведь айтишники чистят зубы.
Роскомнадзор не проверяет информационные системы персональных данных (ИСПДн), этими вопросами занимается ФСТЭК и ФСБ России. В задачи РКН в основном входит проверка документов, поэтому необходимо сосредоточиться на подготовке соответствующей документации.
Т.е. надо что бы документы были в порядке. Как оно будет хранится реально на сервере — волнует только ФСТЭК и ФСБ. Я же правильно вас понял?
Не знаю, возможно подготовка документов — это задача айтишников. Но айтишниного в этом столько же, сколько и в чистке зубов. Давайте писать о зубных пастах на Хабре? Ведь айтишники чистят зубы.
А как получить аттестат, если не привести в порядок инфраструктуру?
42.1. Для оценки эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных Служба или ее территориальный орган в рамках проверки привлекают экспертов, экспертные организации, включенные в установленном порядке в реестр граждан и организаций, привлекаемых Службой в качестве экспертов, экспертных организаций к проведению мероприятий по контролю.
(Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 N 312, rkn.gov.ru/chamber-of-commerce/administrative-reglament/doc843.htm)
РКН может привлекать экспертов, которые будут смотреть техническую часть, а не бумагу.
(Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 N 312, rkn.gov.ru/chamber-of-commerce/administrative-reglament/doc843.htm)
РКН может привлекать экспертов, которые будут смотреть техническую часть, а не бумагу.
А вот тут представлены реестры граждан и организаций, привлекаемых в качестве экспертов и экспертных организаций в ходе проверок в области персональных данных.
Которые осуществлют:
«Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
Оценка соответствия применяемых технических средств защиты информации.
Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.»
Которые осуществлют:
«Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
Оценка соответствия применяемых технических средств защиты информации.
Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.»
Стандарты, регламентирующие защиту информации, а также то, что связано с их реализацией — это тема для Хабра.
У Вас информация немного устарела: РосКомНадзор в 2014 году вывели из-под действия №294-ФЗ:
242-ФЗ, 21.07.2014, Статья 3
Часть 31 статьи 1 Федерального закона от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»… дополнить пунктами 19 и 20 следующего содержания:
«19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети „Интернет“;
20) контроль и надзор за обработкой персональных данных.».
Как человек только что прошедший проверку заявляю. Пол статьи глупость и информации почти 0.
Перечень документов, которые требуют — вполне себе фиксирован и перечисленных документов в нем нет.
Самый «подлый» документ при проверке это акт об уничтожении персональных данных например, а модель угроз вообще не просят этот документ фигурирует в нормативке ФСТЭК и никто другой его не проверяет.
При нахождении любого замечания на вас подадут в прокуратуру. Но скорее всего этим все и кончится.
Так что бояться действительно не надо, а вот готовиться нужно очень сильно заранее, поскольку гора мукулатуры нужна огромная, а если вы работаете с персональными данными большого количества клиентов — гигантская.
Перечень документов, которые требуют — вполне себе фиксирован и перечисленных документов в нем нет.
Самый «подлый» документ при проверке это акт об уничтожении персональных данных например, а модель угроз вообще не просят этот документ фигурирует в нормативке ФСТЭК и никто другой его не проверяет.
При нахождении любого замечания на вас подадут в прокуратуру. Но скорее всего этим все и кончится.
Так что бояться действительно не надо, а вот готовиться нужно очень сильно заранее, поскольку гора мукулатуры нужна огромная, а если вы работаете с персональными данными большого количества клиентов — гигантская.
Раз на раз не приходится. У них постоянно меняются инструкции.
Документы могут быть разными и перечень документов меняется уже пару лет как. У каждой компании свои методы и системы обработки ПДн. Так что не стоит делать громкие выводы по результатам проверки лишь одной компании и утверждать, что пол статьи глупость. Сведения взяты с результатов проверок различных организаций. И модель угроз могут запросить, несмотря на то, что этот документ фигурирует в нормативке ФСТЭК. Например при проверке компании Эльдорадо модель угроз как раз запрашивались. Запрашивались и справки, и выписки, копии документов и не только.
Потверждаю: Роскомнадзор заведует «бумажной» защитой ПДн, и, насколько мне известно, ограничивается запросом всей этой макулатуры к себе. Кто должен заниматься написанием всей этой макулатуры? Юрист? Жабер не хватит, если только ваш юрист не «заточен» на вопросах защиты информации. Можно заказать аттестацию рабочих мест по защите ПДн, но такие конторы кроме собственно аттестации требуют приобретения множества сертифицированных средств защиты, поэтому получается дорого. С другой стороны — это отличный повод наконец-то всерьез заняться защитой и не только ПДн. Например, если вы грамотно развернете антивирусную защиту (не антивирусную программу, а комплекс мер по защите), то перекроете 99% работы по защите ПДн. Останется только все это задокументировать. По трудозатратам — лучше ввести должность безопасника, так как кроме подготовки документации, придется проводить плановые мероприятия.
Я не уверен, что соответствие сертификату увеличит нашу антивирусную защиту. На данный момент — это собственно АВ-средства на клиентах и серверах, регулярное обновление ОС и всего софта, отсутствие админских прав у всех, запрет запуска приложений отовсюду, кроме %WINDIR% и %PROGRAMFILES%. До кучи вот еще EMET всем развернул. Так же я не думаю, что использование какого-то «сертифицированного» АСП-линух безопаснее актуального дебиана. И еще, сертификация, на сколько я знаю, не распространяется на обновления. Т.е. в связи с переходом на «сертифицированное ПО» у нас не повысится, а понизится уровень защиты.
Я полностью с вами согласен, только вы не совсем правильно поняли меня. Конторы, занимающиеся аттестацией рабочих мест по защите ПДн, используют сертифицированные средства защиты для нейтрализации угроз. Возьмем ваш пример с дебиан, для аттестации контора потребует его заменить (только не АСП-линух, которого давно нет) на другой, так как к дебиану у них нет сертифицированных средств защиты от НСД (а уж тем более от аппаратных закладок).
Вы затронули первый парадокс безопасности — «обновлять нельзя использовать», который говорит о том, что единственный способ гарантировать «кошерность» кода это его неизменность, но в «кошерном» коде могут быть уязвимости 0 дня, поэтому его надо обновлять. Мелкомягкие пытались решить этот парадокс сертификатами (на драйверы). Каждая антивирусная программа решает этот парадокс по своему. Но есть другой способ обойти этот парадокс — уменьшить количество ПО до необходимого минимума. Например, в тонком клиенте, загружаемом по сети ПО может годами не обновляться. А как часто вы обновляете ПО в маршрутизаторе?
Т.е. в связи с переходом на «сертифицированное ПО» у нас не повысится, а понизится уровень защиты.
Вы затронули первый парадокс безопасности — «обновлять нельзя использовать», который говорит о том, что единственный способ гарантировать «кошерность» кода это его неизменность, но в «кошерном» коде могут быть уязвимости 0 дня, поэтому его надо обновлять. Мелкомягкие пытались решить этот парадокс сертификатами (на драйверы). Каждая антивирусная программа решает этот парадокс по своему. Но есть другой способ обойти этот парадокс — уменьшить количество ПО до необходимого минимума. Например, в тонком клиенте, загружаемом по сети ПО может годами не обновляться. А как часто вы обновляете ПО в маршрутизаторе?
Ну т.е. в итоге мне придется менять рабочий инструмент непонятно на что. Пичаль.
Дебиан6 в роли маршрутизатора. Обновления там проходят, фактически по пере выхода. За этим следит заббикс, проверка раз в полчаса. Upgrade, правда руками запускаю, иногда может что-нить вопрос задать. В худшем случае у нас проходят апдейты в течении 1-2 дней для всего линух-парка. С виндой сложнее, там и до 2х недель могут быть отставания, пока все проверим на тест-группе.
А как часто вы обновляете ПО в маршрутизаторе?
Дебиан6 в роли маршрутизатора. Обновления там проходят, фактически по пере выхода. За этим следит заббикс, проверка раз в полчаса. Upgrade, правда руками запускаю, иногда может что-нить вопрос задать. В худшем случае у нас проходят апдейты в течении 1-2 дней для всего линух-парка. С виндой сложнее, там и до 2х недель могут быть отставания, пока все проверим на тест-группе.
Прошу прощения, я имел в виду аппаратный маршрутизатор или управляемый коммутатор. Кстати, сменили ли вы стандартные пароли на коммутаторах и маршрутизаторах?
Аппаратного роутера нет. На коммутаторах учетные данные изменены. Следующая часть — внедрение 802.1х, для всех станций и камер наблюдения. Опыта тут пока мало, только тест.
Простите за любопытство, а какова причина использования 802.1х в локальной сети в вашем случае?
В моем случае, чтобы защититься от потенциального несанкционированного подключения и изучить сопутствующую «технологию».
Прошу прощения за надоедливость, не могли бы вы привести пример несанкционированного подключения к локальной сети. Просто я когда изучал эту технологию, то сразу не «вьехал» и примеров не было. Допустим вы приходите в поликлинику как пациент, но вам скучно и душа просит интернета для общения, взламываете коммутационный шкаф, тянете провод, и вот оно счастье. Вот просто не укладывается в голове.
Шкаф взломать сложно, он в серверной и до него нужно добраться. А вот розетки натыканы по всему офису, и легко может сложиться ситуация, что какие-то из них пустые и остались слинкованы на коммутаторе. Дыра? Дыра. Если же не говорить про недобрый умысел, то может быть такая ситуация что злостный толковый, но глупый (sic!) юзер принес свой ноут, зараженный шифровальщиком и воткнул в сеть. Ввел свой доменный пароль и спокойно начал копировать свои рабочие файлы, с целью поработать в выходные дома. В это время зловред дотягивается до всего, что может. Результаты: геморрой с восстановлением бекапов для меня, увольнение глупого юзера.
Я может и утрирую, но куча фейлов и жесточайших факапов случается как раз по глупости. Предпочитаю закрывать такие «дыры» техническими средствами, а не бумагами, т.к. в случае инцидента меня не будеть греть заплаканное лицо какого-нибудь сотрудника. Просто абсолютно всем в этой истории будет плохо.
Я может и утрирую, но куча фейлов и жесточайших факапов случается как раз по глупости. Предпочитаю закрывать такие «дыры» техническими средствами, а не бумагами, т.к. в случае инцидента меня не будеть греть заплаканное лицо какого-нибудь сотрудника. Просто абсолютно всем в этой истории будет плохо.
Спасибо за пример. Действительно такое может быть. Обычно руководителям предприятий я рекомендую делать бесплатный WiFi для гаджетов сотрудников, минуя локальную сеть (через DMZ). Это конечно не полностью решает проблему, о которой мы говорим. Предлагаю следующий вариант решения:
- делаем инвентаризацию сетевого хозяйства (возможно всплывут еще какие-то проблемы);
- все неиспользуемые розетки переводим в отдельный VLAN;
- организуем тотальный мониторинг этого VLAN.
Предположу что вы натыкались на «конторы», в которых в качестве «специалистов» выступали представители так называемой старой гвардии, которые всю жизнь занимались гостайной, и на персданные перешли совсем недавно, «на волне» так сказать. Такие «специалисты» в силу специфического опыта и воспитания (привыкли всю жизнь не гибко мыслить, а думать по принципу «кому не нравится грузить люминь, пойдет грузить чугуний») не способны эффективно пользоваться новыми веяниями в сфере защиты персданных в часности и конфиденциалки в целом. Одним из таких веяний является появление таких понятий в документах ФСТЭК как «экономическая нецелесообразность выполнения мер», «техническая невозможность выполнения мер» и «компенсирующие меры». Так вот, при грамотном подходе, при отсутствии средств защиты именно под ваш линух можно обосновать экономическую нецелесообразность разработки и сертификации новых средств защиты, выработать компенсирующие меры, обосновать, что компенсирующие меры нейтрализуют актуальные угрозы и аттестовать объект по требованиям безопасности. Поэтому «специалистов», которые заставляют перекраивать работающую годами инфраструктуру в угоду надуманным «требованиям» законодательства нужно гнать в шею метлой.
Несколько комментариев.
1. Что касается проверок, то хотел бы заметить, что Роскомнадзор занимается далеко не только персональными данными. И до текущего года, открывая план проверок можно было увидеть такую картину — 80% организация проверяются на соблюдение закона «О СМИ», на соблюдение правил пользования радиочастотным спектром и тд, и только 20% проверялось по персональным данным. С 2015 года тенденция поменялась — почти все организации, проверямые по другим сферам деятельности РКН проверяются в том числе и по соблюдению законодательства о персональных данных.
2. Вспоминая о том, что РКН занимается далеко не только персональными данными, считаю, что не стоит радоваться 20%-му сокращению штата ведомства, даже если это произойдет. Кто гарантирует, что будут сокращены не кадробухи, секретари и прочий обслуживающий персонал, а профильные отделы не пополнятся специалистами?
3. Вы приводите радостную статистику по вероятности включения организации в план проверок, а у меня есть контрстатистика. Я занимаюсь в том числе и организацией защиты персональных данных (в основном от главного «нарушителя» — Роскомнадзора), у меня не более 15-20 таких проектов в год и тем не менее 3-4 моих клиента попадает в план.
4. Вы говорите, что бояться проверок не стоит, но тут считаю важным отметить: если проверка прийдет с целью вас наказать — вас накажут, если в вашем регионе в РКН введена «палочная система» — вас накажут. Я об этом писал год назад.
5. Многие положения закона об исключениях, в случае которых оператор может обрабатывать ПДн без уведомления, не работают. Типичный пример — небольшая организация, ведет только свою бухгалтерию, передает данные сотрудников в банк для оформления зарплатных карт. Такая передача ПДн банкам не попадает под положения ТК РФ — необходимо подавать уведомление.
6. Вы ссылаетеся на документ о разъяснениях РКН по биометрии. Совсем недавно РКН пошел на попятную по крайней мере в плане отнесения фото- и видео-изображений к биометрии. Об этом я писал совсем недавно.
7. Прежде чем идти к консультантам нужно прокачать хотя бы немного собственный скилл, чтобы не попасть на удочку мошенников.
8. Согласен с комментаторами, которые считают, что такие статьи нужно писать на мегамозге.
1. Что касается проверок, то хотел бы заметить, что Роскомнадзор занимается далеко не только персональными данными. И до текущего года, открывая план проверок можно было увидеть такую картину — 80% организация проверяются на соблюдение закона «О СМИ», на соблюдение правил пользования радиочастотным спектром и тд, и только 20% проверялось по персональным данным. С 2015 года тенденция поменялась — почти все организации, проверямые по другим сферам деятельности РКН проверяются в том числе и по соблюдению законодательства о персональных данных.
2. Вспоминая о том, что РКН занимается далеко не только персональными данными, считаю, что не стоит радоваться 20%-му сокращению штата ведомства, даже если это произойдет. Кто гарантирует, что будут сокращены не кадробухи, секретари и прочий обслуживающий персонал, а профильные отделы не пополнятся специалистами?
3. Вы приводите радостную статистику по вероятности включения организации в план проверок, а у меня есть контрстатистика. Я занимаюсь в том числе и организацией защиты персональных данных (в основном от главного «нарушителя» — Роскомнадзора), у меня не более 15-20 таких проектов в год и тем не менее 3-4 моих клиента попадает в план.
4. Вы говорите, что бояться проверок не стоит, но тут считаю важным отметить: если проверка прийдет с целью вас наказать — вас накажут, если в вашем регионе в РКН введена «палочная система» — вас накажут. Я об этом писал год назад.
5. Многие положения закона об исключениях, в случае которых оператор может обрабатывать ПДн без уведомления, не работают. Типичный пример — небольшая организация, ведет только свою бухгалтерию, передает данные сотрудников в банк для оформления зарплатных карт. Такая передача ПДн банкам не попадает под положения ТК РФ — необходимо подавать уведомление.
6. Вы ссылаетеся на документ о разъяснениях РКН по биометрии. Совсем недавно РКН пошел на попятную по крайней мере в плане отнесения фото- и видео-изображений к биометрии. Об этом я писал совсем недавно.
7. Прежде чем идти к консультантам нужно прокачать хотя бы немного собственный скилл, чтобы не попасть на удочку мошенников.
8. Согласен с комментаторами, которые считают, что такие статьи нужно писать на мегамозге.
6. Вы ссылаетесь на документ о разъяснениях РКН по биометрии. Совсем недавно РКН пошел на попятную по крайней мере в плане отнесения фото- и видео-изображений к биометрии. Об этом я писал совсем недавно.
А вот тут совсем не понятно, какой из документов более легитимен, тот что опубликован на сайте РКН или тот что выпустило издательство РГ. Новости о публикации обоих документов весьма расплывчаты. Тем более, «комментарий» не имеет юридической силы, а это значит, что решать будут сотрудники РКН на местах…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Персональные данные: насколько реально попасть под проверку Роскомнадзора?