вторник, 19 сентября 2017 г.

ПДн. СКЗИ. Перечни, журналы и другие записи в электронной форме

В предыдущей заметке мы обсудили спорные моменты, связанные с ведением “перечней лиц” в ИБ. В комментариях в блоге, facebook высказывались противоположные версии о необходимости ФИО. РКН по всей видимости пока решили никого не трогать, так как есть более значимые, с их точки зрения нарушения.

Взглянем на проблему чуть шире. В обязательных требованиях по ПДн и СКЗИ, помимо необходимости утверждения перечней лиц, есть ещё необходимость сохранения некоторых других свидетельств выполнения требуемых мероприятий: журналов, актов, ...

В современных организациях (особенно после диджитализации) хотелось бы максимально избежать бумажной работы и бумажных документов, тем самым существенно сократить накладные расходы на эксплуатацию системы ИБ. Перечни и журналы хотелось бы вести в электронном виде в excel или какой-то информационной системе, отчеты готовить в виде писем или презентаций и т.п. Но так чтобы не нарушать при этом требований.

Разработчики же нормативных актов стараются максимально затруднить нам переход в цифровую эпоху: не учитывают нюансы электронного документооборота, используются разные формулировки для требований к документации, что вносит некоторую путаницу и ограничения:  
·         издание оператором документов (152-ФЗ)
·         утверждение руководителем оператора документ (ПП 1119, ПП 211, приказ ФСБ №378)
·         перечень … устанавливается оператором (ПП 687)
·         определить места …, установить перечень .. (ПП 687)
·         утверждение перечня … (приказ ФСБ №378)
·         осуществлять поэкземплярный учет … ведением журнала (приказ ФСБ №378)
·         формирования и утверждения руководителем оператора … (приказ ФСБ №378)
·         разработку … документации / разработку документов .. (приказ ФСТЭК №17)
·         отражаются в документации / вносятся в документацию (приказ ФСТЭК №17)
·         результаты оформляются актом .. (приказ ФСТЭК №17)
·         документирование действий / документирование процедур / документирование результатов (приказ ФСТЭК №17)
·         разработку схемы … схему утверждает (приказ ФАПСИ №152)
·         перечню … утверждаемому обладателем КИ (приказ ФАПСИ №152)
·         заключение, составленное комиссией (приказ ФАПСИ №152)
·         журналы ведут (приказ ФАПСИ №152)
·         правила устанавливает (приказ ФАПСИ №152)

В вариантах, когда требуется просто “вести”, “определять”, “установить”, “осуществлять учет”, “составляет” мы можем это делать и в электронной форме, в том числе в excel файлах...

Когда упоминается термин “документ”, обычным файлом уже не обойтись. Нужно добавлять реквизиты и вводить систему идентификации электронных документов (электронный документооборот) (ГОСТ Р 7.0.8-2013, №63-ФЗ)

Там, где требуется “утверждение” документов, уже не обойтись без электронной подписи. Кроме того, “утверждающему” сотруднику должны быть даны следующие полномочия.

Конечно было интересно узнать мнения регуляторов (особенно ФСБ России, которые уже так привыкли к бумажным журналам регистрации) по данному вопросу, поэтому я спросил, допустимо ли вести требуемую документацию в электронной форме? Нужна ли электронная подпись? Если нужна, то какая?
Ответ Минкомсвязи (только суть, общие слова как в предыдущей статье)


Ответ ФСБ России

Как видно, вариант с ведением документов в электронной форме (даже с простой ЭП) вполне устраивает регуляторов.  Издаем внутренний документ, разрешающий ведение таких-то документов в электронной форме и дающих право подписи и утверждения этих документов ответственному лицу с применением такого-то типа подписи в такой-то системе. Возможно это будет система ЭД, система управления учетными записями и правами пользователей или система автоматизации мероприятий ИБ, такая как DocShell. Далее все перечни, журналы по ПДн, СКЗИ ведем исключительно в электронной форме. Бумага больше не пострадает... Профит.. 



 PS: Кстати не мешало бы в новых НПА использовать какие-то одинаковые формулировки требований к документации: "документировать" "утверждать"

вторник, 12 сентября 2017 г.

ПДн. Эксплуатация. Перечни ФИО или должностей сотрудников?

Ранее эта проблема уже обсуждалась, но всё ещё остается актуальной. Итак. Статьей 88 ТК РФ, Постановлением правительства №687, Постановлением правительства №1119, Постановлением правительства №211, приказом ФСБ №378 требуется установить и утвердить перечень лиц, допущенных к обработке ПДн.

Перечней может быть один, а может быть несколько (по допуску к разным ИСПДн, неавтоматизированной обработке ПДн, местам хранения ПДн, в помещения с СКЗИ, к работе с СКЗИ), не суть. Если организация достаточно большая, то в следствии текучки и кадровых перемещений приходится регулярно обновлять такие перечни.  Необходимо каждый день собирать информацию об изменениях, готовить приказ об утверждении перечня и утверждать его у руководителя Оператора.

В целях минимизации трудозатрат, небольшая часть встреченных мной организаций предпочитает вести перечни допущенных к … лиц включающие только должность и наименование подразделения.
   
Несколько лет назад региональное управление Роскомнадзора по ЮФО на семинарах и проверках категорически настаивало на том что перечни должны быть именными – содержать ещё и ФИО. Аргументы к этому были следующие:
·         Оператор обязан в документе определить лица, допущенные / уполномоченные обработке ПДн. Необходимо по каждому конкретному сотруднику понимать, допущен он к обработке ПДн или нет. Чаще всего в одном подразделении существует много ставок с одинаковым наименованием должности, что не позволяет без ФИО однозначно определить.
·         В перечнях лиц может быть указана какая-то специфика, актуальная только для конкретного сотрудника (отвечает за сохранность материальных носителей ПДн в таком-то кабинете, в таком-то шкафу, допущен к работе с каким-то специфическим СКЗИ). Без ФИО, перечень лиц будет неверно определять ответственных в таком случае.

Последние пару лет от местного Роскомнадзора уже не слышно такой четкой позиции по отношению к перечню лиц. Опять же встречал несколько операторов, которые ведут перечни допущенных лиц без ФИО, только с указанием должностей и подразделений.

К сожалению, не удалось найти судебной практики, содержащей случаи, когда у Оператора ведется перечень допущенных к обработке ПДн лиц, без указания ФИО. Если вы встречали что-то подобное, прошу поделиться информацией …

Было интересно, какая существует практика утверждения “перечня лиц” в областях не связанных с ПДн. Беглый просмотр около 100 последних публичных приказов и распоряжений об утверждении “перечня лиц” показал, что в более 90% случаев перечни содержат ФИО (примеры 1, 2, 3) но встречаются и варианты только с должностями (пример 4, 5).  

Для возможного разрешения данной проблемы задал вопрос в Роскомнадзор и Минкомсвязи. РКН традиционно ответили, что не комментируют законодательство РФ. А ответ Минкомсвязи привожу ниже.



Как видно, орган государственной власти ответственный за нормативно-правовое регулирование в сфере ПДн считает что ФИО нужны.

А что вы думаете по поводу перечней лиц, ответственных/допущенных к .. ПДн?