Будьте во всеоружии! Как создать систему защиты ПДн своими руками::Журнал СА 3.2010
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6417
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7120
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4398
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3882
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3898
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6387
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3234
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3530
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12446
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14097
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9193
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7142
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5447
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3497
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3091
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Будьте во всеоружии! Как создать систему защиты ПДн своими руками

Архив номеров / 2010 / Выпуск №3 (88) / Будьте во всеоружии! Как создать систему защиты ПДн своими руками

Рубрика: Закон есть закон

 Александр Санин АЛЕКСАНДР САНИН, менеджер по продуктам информационной безопасности LETA IT-company

Будьте во всеоружии!
Как создать систему защиты ПДн своими руками

Что нужно знать и какие мероприятия провести, чтобы очередная проверка регулятора не застала врасплох

Хочу сказать, что данная статья носит исключительно информационный характер. Все ее материалы являются моим сугубо личным мнением, основанным на большом опыте работы в сфере защиты персональных данных (далее ПДн), и не могут трактоваться как официальная позиция какой-либо компании.

Итак, сейчас вокруг Федерального закона №152-ФЗ «О персональных данных» на форумах в Интернете идут горячие дискуссии, а на тематических семинарах часто высказываются мнения, противоречащие друг другу. Но в данной статье мы будем говорить исключительно о практике. О том, что должны знать и какие мероприятия должны провести вы, чтобы очередная плановая или внеплановая проверка регулятора не застала врасплох. Но обо всем по порядку.

Законодательство: как защищать?

После прочтения Федерального закона №152-ФЗ «О персональных данных», появляется много вопросов. Ведь он не отвечает на вопрос «как защищать?», у него другое назначение. На подобные вопросы отвечают выпущенные и ныне «рассекреченные» (с них снят гриф ДСП – для служебного пользования) руководящие документы ФСТЭК России и ФСБ России, а так же постановления Правительства РФ. Таким образом, сегодня регламентирующими документами в области защиты ПДн являются:

  • Федеральный закон № 152-ФЗ «О персональных данных».
  • Постановление Правительства РФ № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Постановление Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  • Приказ ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».
  • Руководящий документ ФСТЭК России. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
  • Руководящий документ ФСТЭК России. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Руководящий документ ФСТЭК России. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Руководящий документ ФСТЭК России. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Руководящий документ ФСБ России. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.
  • Руководящий документ ФСБ России. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных.

Это практически исчерпывающий список документации, которую вам придется изучить, если вы всерьез задумались создать адекватную систему защиты персональных данных своими руками.

Мы все – операторы персональных данных

За полтора года работы в области защиты ПДн, я встречал ожесточенные дискуссии на тему «меня это не касается, моя компания не является оператором». Хотелось бы раз и навсегда развеять данный миф. Практически любое юридическое лицо в настоящее время является оператором ПДн. Почему? Потому что в любой уважающей себя компании существует кадровая служба и бухгалтерия, которые занимаются непосредственной обработкой ПДн, будь то данные своих сотрудников или кого-либо другого.

От теории к практике

Итак, вы изучили все руководящие документы в области защиты ПДн. Что делать дальше?

Многие думают, что соблюдение закона сводится лишь к тому, чтобы купить правильный софт от правильного производителя (имеются в виду средства защиты информации, сертифицированные ФСТЭК России)». Это не так.

Не нужно переводить свою систему бухгалтерского и кадрового делопроизводства на какую-то «правильную платформу», нужно действовать спокойно и последовательно:

  • Проведите инвентаризацию всех ПДн, которые обрабатываются в вашей организации.
  • Проведите инвентаризацию и опишите все информационные системы персональных данных (далее – ИСПДн).
  • Проведите классификацию данных ИСПДн, а также разработайте модели нарушителя безопасности ПДн и модели угроз безопасности ПДн.
  • Разработайте регламентную документацию верхнего уровня.
  • Спроектируйте будущую систему защиты персональных данных.
  • И только после этого, если необходимо, приступайте к внедрению технических средств защиты информации.
  • При необходимости получите лицензии ФСТЭК России и ФСБ России (применяется в случае больших холдинговых структур, когда одно юридическое лицо предоставляет ИТ-услуги всем остальным входящим в холдинг).
  • При необходимости проведите аттестацию системы.

Как видите, «покупка средств защиты информации» и «внедрение» – далеко не первоочередные задачи. В ряде случаев вы вовсе сможете избежать покупки специализированных средств защиты.

Остановимся подробнее на каждом пункте.

Инвентаризация процессов обработки ПДн

Во главе угла стоит пресловутая, и так не любимая многими, инвентаризация. Именно этот шаг поможет вам четко структурировать все ПДн, которые обрабатываются в вашей компании. Результаты инвентаризации должны быть оформлены документально и описывать полный перечень ПДн, обрабатываемых в организации, а также перечень подразделений и сотрудников, допущенных к обработке таких данных.

Инвентаризация ИСПДн

Опишите и зафиксируйте документально каждую информационную систему, в которой обрабатываются персональные данные. При этом обязательно описывайте весь жизненный цикл персональных данных: как они появляются в системе, как хранятся, для чего используются и как удаляются. Кроме того, опишите состав и структуру каждой информационной системы персональных данных – количество и месторасположение серверов, количество и расположение рабочих станций, имеющих доступ к системе.

Классификация ИСПДн

Классификация производится на основе Приказа ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20. Далее разрабатывается модель угроз безопасности ПДн и модель нарушителя безопасности ПДн. Разработка этих документов – достаточно сложный процесс, отнеситесь к нему со всей ответственностью. Именно от разработанных на данном этапе документов будет зависеть то, какие средства защиты информации вам придется внедрять. Если сомневаетесь в своих силах, привлекайте к работе консалтинговую организацию.

Разработка документации

После проделанной инвентаризации следует переходить к разработке документов, регламентирующих обработку ПДн в вашей организации. В первую очередь обратите внимание на те регламенты, которые прямо или косвенно вытекают из самого закона (ведь в нем четко определены права субъектов ПДн и вытекающие из них обязанности операторов, в том числе и сроки реагирования на запросы субъектов). Также стоит обратить внимание на определение целей обработки ПДн для каждой ИСПДн, на легитимность этой обработки (в случаях, когда требуется согласие субъекта ПДн, необходимо его получить). Если речь идет о трудовых отношениях с работниками вашей организации, то письменное согласие не требуется.

Отдельно хотелось бы отметить регламенты, определяющие действия сотрудников вашей организации в случаях получения запросов от субъектов ПДн. Ваши сотрудники должны четко знать, что им делать при поступлении запроса от субъекта ПДн. Иначе невыполнение сроков реагирования будет являться «предлогом» для инициации внеплановой проверки Роскомнадзора.

Проектирование системы защиты персональных данных

К этому шагу вы должны подойти во всеоружии. Для защиты ПДн должны быть использованы только сертифицированные ФСТЭК России средства защиты информации (или ФСБ России, касаемо криптографических средств защиты информации), поэтому обязательно запросите у ваших поставщиков сертификаты соответствия. Не надо паниковать, если непосредственно платформа ИСПДн (будь-то готовая система или какая-то разработанная вами самостоятельно) не имеет заветного сертификата. Такого рода системы защищаются наложенными средствами защиты информации. Как правило, это быстрее и дешевле, чем подать во ФСТЭК России заявку на сертификацию вашей системы. Как показывает практика, в большинстве случаев, вам понадобятся:

  • средства защиты от несанкционированного доступа;
  • средства антивирусной защиты;
  • средства межсетевого экранирования.

Реже требуются:

  • системы обнаружения/предотвращения вторжений;
  • системы контроля защищенности;
  • средства криптографической защиты.

В ходе проектирования системы защиты ПДн разрабатывается Техническое задание и Технический проект (тут не обойтись без знания документов ГОСТ, регламентирующих подобные работы).

Внедрение системы защиты персональных данных

Этот этап подразумевает перевод в промышленную эксплуатацию системы защиты согласно разработанному на предыдущем этапе Техническому проекту. Именно на данном этапе производится закупка и установка средств защиты информации, а также разработка эксплуатационной документации.

Получение лицензий ФСТЭК России и ФСБ России

Это еще один «философский» вопрос в области защиты ПДн. В руководящих документах сказано, что для защиты ИСПДн классов К1, К2 и К3 распределенная организация должна обладать лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации. Если четко следовать букве закона, с учетом того, что почти в каждой организации присутствуют подобные ИСПДн, то всем им необходимо будет получать лицензии. Но при этом подходе нарушается сам принцип лицензирования деятельности. Многие правозащитники уже давно указывают на это.

Аттестация

Практика показала, что данный шаг применим только в тех случаях, когда ваша организация как юридическое лицо предоставляет определенного рода услуги (к примеру, в составе холдинговой структуры организация является ИТ-аутсорсером).Сегодня, если в вашей организации присутствуют ИСПДн класса К1 или К2, процедура аттестации является обязательной. Аттестацией занимаются специализированные организации, аккредитованные ФСТЭК России.

Подходы к проведению работ

Как вы поняли, работы по защите ПДн довольно обширны. Именно поэтому многие консалтинговые компании предлагают свою помощь в данном вопросе. Сегодня есть три подхода к проведению работ по защите ПДн:

Все работы производятся организацией самостоятельно. Такой подход могут себе позволить только те компании, в которых ИТ- и ИБ-подразделения имеют в своем штате высококвалифицированных специалистов.

Все работы выполняет сторонняя организация. Данный подход является наиболее затратным для организации, но позволяет в необходимые сроки привести систему защиты в надлежащий вид.

Экспертный консалтинг. При этом подходе все работы производятся специалистами вашей организации, а специалист сторонней организации осуществляет лишь управление проектом и проводит экспертизу разработанных документов. Это снижает финансовую нагрузку на организацию Заказчика услуг, а также позволяет ее специалистам получить необходимые компетенции в области защиты ПДн.

На мой взгляд, это наиболее востребованный на рынке вид предоставления услуг. Но пока лишь небольшое количество компаний готовы предоставлять консалтинговые услуги на подобных условиях.

***

Хотелось бы еще раз подчеркнуть, что цель данной статьи – не разработка универсального пошагового регламента, а общее описание последовательности работ.

Кроме того, дабы картина была полной, отмечу, что сегодня нередко снижаются требования к аттестации ИСПДн и к применению сертифицированных средств защиты информации. Но это всего лишь тенденция, хотя есть все основания полагать, что здравый смысл все-таки восторжествует над прямолинейностью. И тогда законодательство в области защиты персональных данных будет действительно направлено на защиту прав субъектов, и не превратиться в очередную финансовую яму для организаций.

В заключение, хотелось бы еще раз сказать: будьте последовательными!

Приложение

Регуляторы

Службы, призванные следить за соблюдением законодательства в области защиты персональных данных ПДн:

  • Роскомнадзор (является основным проверяющим органом);
  • ФСТЭК России (привлекается к проверке системы защиты ПДн);
  • ФСБ России (привлекается к проверке в случае наличия в системе криптографических средств защиты информации и систем обнаружения атак).

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru