понедельник, 25 апреля 2011 г.

СЗПДн. Анализ. Нужен ли Перечень ПДн?

Сразу скажу, что нет явных требований в нормативных документов РФ к наличию такого документа в Организации.
Но если мы начинаем выполнять другие требования, то сталкиваемся со следующей картиной:
1. Часть 1 Статьи 5 ФЗ-152 определяет принципы, на основе которых должны обрабатываться ПДн.
Для выполнения данного требования необходимо определить следующие основные характеристики обработки ПДн: цели обработки ПДн, способы обработки ПДн, законные основания для обработки ПДн, цели заявленные при сборе данных, объем обрабатываемых ПДн, характер обрабатываемых ПДн.
Так как условия обработки ПДн постоянно меняются, то недостаточно определить эти основные характеристики один раз - например, в отчете об обследовании ИСПДн. При любом изменении существенных характеристик обработки ПДн должен выполнятся анализ соблюдения принципов. Результатом этого регулярного анализа должен быть какой-то документ. Почему бы этим документом не быть – Перечню ПДн?
2. Часть 2 Статьи 5 ФЗ-152 определяет принципы определения сроков хранения.
Рассуждения аналогичны приведенным выше, только для характеристики - сроки хранения ПДн.
3. Часть 4 Статьи 21 ФЗ-152 определяет требования по прекращению обработки ПДн и уничтожению ПДн при достижении целей.
Часть 5 Статьи 21 ФЗ-152 определяет требования по прекращению обработки ПДн и уничтожению ПДн при отзыве согласия.
Так как сроки прекращения обработки установлены жесткие – 3 рабочих дня, то для оперативного принятия решений, необходимо чтобы под рукой у ответственного была актуальная версия документа содержащего сроки обработки ПДн, необходимые для достижения целей.
4. Часть 4 Статьи 9 ФЗ-152 определяет требования к составу письменного согласия субъекта ПДн.
Требуется, чтобы в согласие включались характеристики обработки ПДн приведенные выше – цели, состав, перечень действий, сроки.
5. Часть 4 Статьи 14 ФЗ-152 определяет требования к составу информации предоставляемой субъекту ПДн по его запросу.
Субъекту ПДн предоставляется информация – цели, способы обработки, состав, источники получения ПДн, сроки, информация о возможных юридических последствиях. Так как в Статье 20 сроки реакции установлены достаточно жесткие, то для оперативного принятия решений, необходимо чтобы под рукой у ответственного была актуальная версия документа содержащего основные характеристики обработки ПДн.
Из всех пунктов описанных выше следует что в Организации должен быть некий документ, содержащий актуальную версию следующих основных характеристик обработки ПДн: цели обработки ПДн (в том числе заявленные при сборе), способы обработки ПДн (в том числе информация о возможных юридических последствиях), законные основания для обработки ПДн, состав обрабатываемых ПДн, характер обрабатываемых ПДн, источники получения ПДн, сроки хранения ПДн. Назовем этот документ - «перечнь ПДн».
Кто-то скажет что аналогичные данные содержаться в Уведомлении подаваемом в Роскомнадзор. В уведомлении содержатся суммарные данные по всей организации. Так как целей обработки ПДн чаще всего несколько, то нам необходимо чтобы в документе были расписаны характеристики обработки ПДн для каждого типа субъектов ПДн и целей обработки ПДн в раздельности (обычно оператор ПДн обрабатывает данные как минимум следующих типов субъектов: обработка ПДн сотрудников, обработка ПДн соискателей, обработка ПДн клиентов, обработка ПДн посетителей территории).

Так что логичней будет вести актуальный «перечень ПДн», на основе которого уже готовить Уведомление в Роскомнадзор, формы согласий и уведомлений субъектам ПДн, принимать решение о прекращении обработки ПДн и уничтожению ПДн.

пятница, 15 апреля 2011 г.

СЗПДн. Проектирование. Новый шаг в сертификации ПО Microsoft

Обычно я не пишу заметки про новые СЗИ, но в данном случае вопрос слишком актуальный чтобы обойти его вниманием.
До недавнего времени сертифицированные в ФСТЭК версии ПО Microsoft были фактически не жизнеспособны в средних и крупных компаниях.
Дело в том, что для выполнения всех требований ФСТЭК России при сертификации, компания АЛТЭКС-СОФТ разработала следующие условия функционирования сертифицированной версии:
· Необходимо полностью отключить автоматическое обновление и в дальнейшем устанавливать обновления вручную и локально.
· Обновления нельзя устанавливать любые, а только те, которые предлагает утилита Check, после локального анализа системы. Проблема усугубляется тем, что утилита Check ошибается при анализе и пытается “заставить” Вас установить лишние обновления.
· Обновления необходимо скачать вручную и установить на каждую систему отдельно.
· Необходимо отключить все “лишние” службы. Обычно отключенная служба оказывается нужна для корректной работы сервисов Организации.
· Необходимо проводить периодический инспекционный контроль сертифицированного ПО, а его можно сделать только вручную и локально.
С учетом выше написанного, применение сертифицированного ПО Microsoft могло превратить в ад, жизнь любого администратора ИБ.
Но наконец компания АЛТЭКС-СОФТ услышала наши молитвы и выпустила ПО «Net_Check», который позволит нам перейти на качественно новый уровень эксплуатации сертифицированного ПО Microsoft.
В общем применение новой программы контроля аналогично на применению сервиса WSUS от Microsoft. Теперь мы сможем как минимум:
· удаленно проводить инспекционный контроль сертифицированного ПО;
· удаленно анализировать установленные обновления безопасности;
· управлять обновлениями аналогично сервису WSUS, а именно одобрять разные группы обновлений для разных групп устройств.
Как хорошо что несчастным владельцам сертифицированных ОС становятся доступны возможности которыми все остальные привыкли пользоваться уже как 10 лет.

вторник, 12 апреля 2011 г.

СЗПДн. Анализ. Новые квалифицированные сертификаты

В соответствии с Федеральным законом РФ от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" в квалифицированном сертификате будет содержаться «номер страхового свидетельство государственного пенсионного страхования».

Соответственно по нашей методике категорирования ПДн, данные о субъекте содержащиеся в сертификате будут относиться к персональным данным 2-ой категории – «персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию».
Конечно УЦ может начать собирать согласия на общедоступность номера страхового свидетельства государственного пенсионного страхования. Но как быть если субъект согласие не дает, а сертификат нужен для получения неких гос. услуг. А в соответствии с ФЗ-152 права и свободы граждан не могут быть ограничены, даже если он не дает согласия. Плюс согласие может быть отозвано в любой момент, а обработка данных в сертификате продолжит обрабатываться.
В общем, эти особенности накладывают некоторые ограничения на обращение новых квалифицированных сертификатов.

четверг, 7 апреля 2011 г.

СОИБ. Анализ. Парадокс подготовки к аудиту ИБ

Каждый раз при аудите ИБ участники на объекте аудита чтобы подготовится со своей стороны просят предоставить: регламент аудита, план аудита, предварительный опросник по аудиту ИБ, общий перечень вопросов в рамках аудита ИБ.
И каждый раз повторяется ситуация, что до начала аудита проверяемая сторона не успевает определить участников аудита в соответствии с регламентов и заполнить предварительный опросный лист. В итоге эти вопросы приходится решать на первом совещании, на объекте аудита и первые пару дней после него. И даже после этого план аудита постоянно продолжает меняться – у одного участника аудита возникает ЧП, у другого срочное совещание, у третьего наоборот свободный день появляется раньше запланированного. И что самое странное – чем крупнее и серьезнее Организация, тем меньше они делают со своей стороны на этапе подготовки к аудиту ИБ.

Это у всех такое случается или только я что-то непонимаю?