четверг, 3 сентября 2015 г.

СОИБ. Анализ. Учить!

В предыдущей статье я отметил что в ряде свежих нормативных документов не уделяется внимания квалификации, повышению осведомленности и обучению ответственных лиц.

Давайте порассуждаем логически – может ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким знаниями в этой теме обеспечивать работоспособность и эффективность системы защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором? Если ответственные лица не будут знать и уметь, то меры защиты перестанут или даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут убраны на полку.

Если кратко то, ответственному за защиту ПДн необходимы как минимум следующие знания и навыки (даже если оператор обращается к интегратору за помощью):
·         знание области действия и основные положения нормативных правовых актов, регламентирующих вопросы обработки и обеспечения безопасности персональных данных (как правило в внутреннем комплекте ОРД отражают основные моменты из нормативных актов, а не дублируют их полностью, так что в некоторых ситуациях нужно обращаться непосредственно к нормативным правовым актам РФ);
·         знание основных видов нарушителей и угроз безопасности персональных данных в информационных системах персональных данных (в соответствии с последними методиками в рабочей группе по определению актуальности нарушителей и угроз обязательно должны быть представители Оператора, зачастую они лучше знают ситуацию на местах чем эксперты консультант);
·         знание мер обеспечения безопасности персональных данных;
·         знание порядка определения состава мер ОБПДн;
·         знание порядка создания ИС / СЗПДн (чтобы нормально принимать работы интегратора, нужно хотя бы примерно понимать типовые этапы работ)
·         знание типов СЗИ и их соответствие требуемым мерам ОБПДн;
·         знание условий и ограничения использования средств защиты информации;
·         ответственным за эксплуатацию СЗИ лицам кроме этого необходимо уметь обнаруживать неработоспособность СЗИ, в журналах СЗИ находить информацию об НСД, добавлять/удалять пользователей, следить за корректностью текущего обновления СЗИ, осуществлять резервное копирование и восстанавливать настроки (переустанавливать без изменения настроек) СЗИ.

Аналогично лицо ответственное за организацию обработки ПДн, лица, допущенные к обработке ПДн и пользователи СЗИ должны обладать определенными минимальными знаниями в области ПДн и защиты информации.

Откуда эти знания могут взяться? Обучение во всех возможных формах: обучение в учебном центре, внутреннее обучение (если есть кому учить), внутренние инструктажи, ознакомление с документами, внутренние информационные рассылки, скринсейверы, автоматизированные системы повышения осведомленности. Не забываем и про проверку знаний во всех формах: тестирование при обучении в УЦ, внутренняя проверка (если есть кому проверить), проверка интегратором при создании системы, проверка аудитором при тестировании защиты, автоматизированные системы тестирования.

Посмотрим всё же на нормативные документы РФ, может быть всё-таки есть обязательные требования, которые надо учитывать при этом (кроме приведенных в предыдущей статье):

152-ФЗ: “Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.”

Постановление Правительства РФ №211:“1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:
е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;”

Приказ ФСТЭК №17: “Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
18.1. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:
информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение;”

Приказ ФСБ №378: “16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.”

Типовые требования ФСБ России № 149/6/6-622: “2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
обучение лиц, использующих криптосредства, работе с ними;”

ГОСТ Р 51583 – 2014: “АСЗИ - автоматизированная система в защищенном исполнении;
6.13.2 На этапе "Подготовка персонала" проводят:
- обучение персонала АСЗИ и проверку его способности обеспечивать функционирование системы ЗИ и АСЗИ в целом;
- проверку и подготовку специалистов структурного подразделения или должностного лица (работника), ответственных за ЗИ в АСЗИ.”

ГОСТ РО 0043-004-2013 Программа и методики аттестационных испытаний: ”Д.3.5 Проверка уровня подготовки специалистов и распределения ответственности пользователей АС
Проверку проводят на основе следующих показателей:
оценка знания инструкций по безопасности информации пользователями АС;
- наличие системы распределения ответственности пользователей АС за выполнение требований безопасности информации.
На основании опроса пользователей АС проверяют знание ими руководящих документов и инструкций.
Проводят выборочную проверку персонала из каждой категории организационно-штатной структуры АС на предмет владения технологиями безопасной обработки информации и знания соответствующих инструкций.
Проверяют организацию обучения и повышения квалификации пользователей АС.
Проверка считается успешной, если уровень подготовки пользователей АС обеспечивает выполнение требований безопасности информации.”

Как видно требования к обучению и проверке знаний всё-таки имеются. Наиболее логичный шаг – разработать программу обучения, повышения осведомленности пользователей и проверки знаний и реализовывать её с учетом рекомендаций из первой части статьи.


11 комментариев:

Roman S комментирует...

Формально требования к знаниям прописаны в ПП 79, о лицензировании деятельности по защите конфы.

Сергей Борисов комментирует...

Роман, с лицензиатами гораздо проще. Тут и ПП 79, ПП 313, приказы и регламенты регуляротов.
Но в статье речь шла не о Лицензиатах, а об обычных операторах - заказчиков услуг.

Roman S комментирует...

Ну если совсем все на оутсорсе, то и голову ломать не надо. А если юр лицо имеет локальную базу собственных работников и хочет ее защитить собственными силами админов(типовая ситуация) то.
http://habrahabr.ru/sandbox/41261/

Сергей Городилов комментирует...

Если наделить регуляторов обязанностью проверять компетентность и ничего более (никаких документов и т.п.), причем не только ответственного лица, но и выборочно не менее 5-10% персонала из разных отделов, непосредственно обрабатывающих ПДн или другую конфи, или эксплуатирующих СКЗИ, то от надзора толку будет заметно больше. Кругозор операторов в вопросах ЗИ заметно поднимется. Начнется учеба.
А еще лучше - ответственных за ЗИ всех через экзамен, как на права сдавать водителей.

Сергей Городилов комментирует...

А вообще приказ 17 вроде бы ссылался на ISO 27001, где как и в любом стандарте на системы менеджмента про обеспечение компетентности черным по белому написано, причем не просто "учить", а "менеджмент обязан регулярно а) устанавливать требования к компетентности; б) оценивать компетентность; б) принимать меры для обеспечения компетентности".

Сергей Городилов комментирует...

Сергей, еще опыт забыли, а это к обучению 80% успеха.
http://noteasyroute.blogspot.ru/2014/04/blog-post_2.html

ser-storchak комментирует...

Практически в каждой эксплуатационной документации к СКЗИ требуется, чтобы работник был с ней ознакомлен и соблюдал прописанные в ней требования. Как правило, выполнение требований эксплуатационной документации является частью договора (например, при работе с ДБО), поэтому их несоблюдение будет являться невыполнением договорных обязательств.

Сергей Борисов комментирует...

Сергей Городилов - опыт конечно нужен.
Изначально мы рассматриваем ответственных без нужного опыта.
Можно его набирать в рамках практических занятий на обучении и далее непосредственно в своей работе.

ser-storchak - расписаться в ознакомлении с эксплуатационной документацией, ещё не значит что у пользователя или администратора появится необходимая компетенция. Кто-то должен этого пользователя обучить/проинструктировать/проверить. об этом была речь в статье. Если бы в договорах ДБО это более четко расписывалось и если бы Банк ещё и обучал пользователей СКЗИ то было бы просто замечательно.

ser-storchak комментирует...

От обучения/инструктажа/проверки может необходимая компетенция и появится, но будет ли сотрудник применять её на практике, вот в чем вопрос.
Сергей, суть Вашей статьи - создать аккредитованные центры по обучению работе с СЗИ и проверке знаний сотрудников или привлечь внимание к проблеме неграмотности персонала и борьбы с ней?

Сергей Борисов комментирует...

Вся ЗИ у нас в основном это комплаенс (особенно в регионах).
В нормативных документах у нас теме обучения, информирования и проверке знаний уделяется, незаслуженно мало внимания, с моей точки зрения. А раз нет требований, то никто и на практике ничего не делает в это части. Как следствие уже и неграмотность и невозможность выбить обучение и отсутствие запланированной программы обучения в области ИБ.

Думаю что в приказах ФСТЭК или методических рекомендациях вполне можно было заложить требования хотябы аналогичные разделу 8.9 СТО БР ИББС

Сергей Городилов комментирует...

ser-storchak, "будет ли сотрудник применять её на практике, вот в чем вопрос" - в обеспечении этого состоит ключевое предназначение руководителя этого сотрудника.
Внимания этому у нас мало. Собственно надо сказать мало вообще внимания подходам к выстраиванию целостной системы, в которой нужная компетентность обеспечивалась бы. От надзора до конечного пользователя. Здесь нужно брать опыт западных систем сертификации систем менеджмента, в которых аудит - не формальность, а, в частности, - "развести руководителя и подчиненного в разные кабинеты и позадавать им одинаковые вопросы, после чего сравнить показания и сделать вывод "требования к деятельности установлены/не установлены" или "соответствует/не соответствует организация требованиям стандарта".