Сообщения

Сообщения за сентябрь, 2011

СЗПДн. Анализ. Роскомнадзор и биометрия

На днях довелось поучаствовать в обсуждении результатов проверки одного оператора с Управлением Роскомнадзора по КК. Впечатление об этом органе у меня испортилось. До этого считал и надеялся, что к логичным и аргументированным доводам они прислушиваются. На основании того, что у оператора обрабатываются ксерокопии паспортов, Роскомнадзор сделал вывод что оператор обрабатывает биометрические ПДн и выкатил предписание о нарушениях при подаче уведомления и отсутствии согласия на обработку биометрических ПДн.  Основным аргументом Роскомнадзора, объясняющим такую позицию был “мы получили от руководства четкие указания категорировать фотографии паспорта и все их копии как биометрические ПДн. Если не согласны – можете оспорить в суде”. Дополнительным озвученным аргументом было “Фотография может использоваться только для идентификации человека. Соответственно либо Вы используете и тогда это биометрия, либо вы не используете и тогда это избыточные данные”. Когда оператор, желая не вступ

СЗПДн. Проектирование. Рекомендации Минздравсоцразвития

Министерство здравоохранения и социального развития Российской Федерации недавно выпустило комплект новых методических документов  1.      «Методическиерекомендации по составу и техническим требованиям к сетевомутелекоммуникационному оборудованию учреждений системы здравоохранения длярегионального уровня единой государственной информационной системы в сферездравоохранения, а также функциональные требования к ним» 2.      «Методические рекомендации по порядку организации работ по созданию субъектом российской федерации в 2011-2012 годах регионального фрагмента единой государственной информационной системы в сфере здравоохранения» 3.      «Методическиерекомендации по проведению в 2011 – 2012 годах работ по информационнойбезопасности для регионального уровня единой государственной информационнойсистемы в сфере здравоохранения» 4.      «Методические рекомендации по составу, создаваемых в 2011 – 2012 годах в рамках реализации региональных программ модернизации здравоохранения,

СЗПДн. Анализ. Контактные ПДн

В любой организации обрабатываются контактные ПДн: логин, ФИО, должность, отдел, рабочий телефон, сотовый телефон, адрес электронной почты. При этом ПДн могут принадлежать как сотрудникам Организации, так и партнерам, клиентам, кандидатам на работу и т.п. Контактные ПДн как содержатся в телефонных справочниках, корпоративных справочных порталах, в базе пользователей AD , в корпоративной почтовой системе и вообще почти в любой информационной системе Организации (так как в любой ИС есть база пользователей, в которой заполняются логин, ФИО, должность, отдел). В связи с этими ПДн возникает 2 группы проблемных задач: · обеспечить соблюдение принципов обработки ПДн, определенных 152-ФЗ . · обеспечить безопасности ПДн, необходимыми мерами. 1. Обеспечить соблюдение принципов обработки ПДн, определенных 152-ФЗ В части ПДн сотрудников всё хорошо. Во-первых, такая обработка попадает в исключение п. 5) части 1 статьи 6 из 152-ФЗ и соответственно согласие на та

СЗПДн. Анализ. СЗИ или не СЗИ

Одним из наиболее часто встречаемых проблемных вопросов является “ что должно проходить оценку соответствия? ” при защите ПДн. Хотелось бы затронуть этот вопрос, не касаясь того “ как оценивать соответствие ”. Варианты оценки соответствия неоднократно обсуждались коллегами, например тут и тут . В большинстве встреченных мною проектов в качестве способа оценки соответствия выбиралась сертификация, но в месте с тем, использовались только сертифицированные средства защиты от НСД, МЭ, СКЗИ, СОВ, антивирус, сканер безопасности. Средства резервного копирования и восстановления, системы управления оставлялись без внимания. 152-ФЗ. В части 2 статье 19: «2. Обеспечение безопасности персональных данных достигается, в частности: 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации » Применение СЗИ, прошедших оценку соответствия является только одним из способов достижения обеспечения безопасности ПДн. Постановление Пр

СОИБ. Анализ. Защита от неактуальных угроз.

Давно хотел обсудить вопрос о неактуальных угрозах. Допустим мы провели в Компании моделирование угроз (оценку рисков связанных с этими угрозами) в соответствии с РД по ФСТЭК, ISO 27005-2008 или РС БР ИББС-2.2-2009. В результате мы получили 2 перечня – перечень актуальных угроз (неприемлемых рисков) и перечень неактуальных угроз (приемлемых рисков). При этом часть неактуальных угроз получилась в результате того, что в Компании уже применяются определенные меры обеспечения ИБ (организационные, технические, СЗИ). Далее, в большинстве случаев, про перечень неактуальных угроз забывается, работа идет только с перечнем актуальных угроз, на основе него создается план мероприятий по защите (обработки неприемлемых рисков), ТЗ на систему обеспечения ИБ, в проекте на система обеспечения ИБ описывается меры необходимые для выполнения ТЗ и нейтрализации актуальных угроз. С одной стороны всё логично. Никаких требований или рекомендаций связанных с неактуальными угрозами нет. С другой стороны

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 3

В одном из предыдущих сообщений ( 1 и 2 ) я рассмотрел несколько инструментов оценки соответствия стандарту СТО БР ИББС. Сегодня хочу написать ещё несколько слов протестированном инструменте ISM Revision : Audit Manager от ISM SYSTEMS. Основные особенности: · Позволяет заранее определить программу аудитов и самооценок и проводить их в соответствии с программой. · Позволяет сформировать план мероприятий в рамках самооценки. Но мероприятия разбиты на «анализ документов» и «проведение самооценки на месте». А логично было бы выделить «проведение наблюдений» и «проведение опросов». · План мероприятий очень ограничен. Кроме названий мероприятия и даты – ничего нельзя зафиксировать. А хотелось бы внести участников и хотя бы перечни ключевых вопросов. · Позволяет описать документальные свидетельства, прикрепить файлы. · Позволяет задокументировать наблюдения и опросы. Но получившийся перечень свидетельств не содержит полей для под