Сообщения

Сообщения за Сентябрь, 2011

СЗПДн. Анализ. Роскомнадзор и биометрия

На днях довелось поучаствовать в обсуждении результатов проверки одного оператора с Управлением Роскомнадзора по КК. Впечатление об этом органе у меня испортилось. До этого считал и надеялся, что к логичным и аргументированным доводам они прислушиваются. На основании того, что у оператора обрабатываются ксерокопии паспортов, Роскомнадзор сделал вывод что оператор обрабатывает биометрические ПДн и выкатил предписание о нарушениях при подаче уведомления и отсутствии согласия на обработку биометрических ПДн.  Основным аргументом Роскомнадзора, объясняющим такую позицию был “мы получили от руководства четкие указания категорировать фотографии паспорта и все их копии как биометрические ПДн. Если не согласны – можете оспорить в суде”. Дополнительным озвученным аргументом было “Фотография может использоваться только для идентификации человека. Соответственно либо Вы используете и тогда это биометрия, либо вы не используете и тогда это избыточные данные”. Когда оператор, желая не вступать в ко…

СЗПДн. Проектирование. Рекомендации Минздравсоцразвития

Министерство здравоохранения и социального развития Российской Федерации недавно выпустило комплект новых методических документов 
1.«Методическиерекомендации по составу и техническим требованиям к сетевомутелекоммуникационному оборудованию учреждений системы здравоохранения длярегионального уровня единой государственной информационной системы в сферездравоохранения, а также функциональные требования к ним» 2.«Методические рекомендации по порядку организации работ по созданию субъектом российской федерации в 2011-2012 годах регионального фрагмента единой государственной информационной системы в сфере здравоохранения» 3.«Методическиерекомендации по проведению в 2011 – 2012 годах работ по информационнойбезопасности для регионального уровня единой государственной информационнойсистемы в сфере здравоохранения» 4.«Методические рекомендации по составу, создаваемых в 2011 – 2012 годах в рамках реализации региональных программ модернизации здравоохранения, прикладных компонентов регионального уро…

СЗПДн. Анализ. Контактные ПДн

В любой организации обрабатываются контактные ПДн: логин, ФИО, должность, отдел, рабочий телефон, сотовый телефон, адрес электронной почты. При этом ПДн могут принадлежать как сотрудникам Организации, так и партнерам, клиентам, кандидатам на работу и т.п. Контактные ПДн как содержатся в телефонных справочниках, корпоративных справочных порталах, в базе пользователей AD, в корпоративной почтовой системе и вообще почти в любой информационной системе Организации (так как в любой ИС есть база пользователей, в которой заполняются логин, ФИО, должность, отдел). В связи с этими ПДн возникает 2 группы проблемных задач: ·обеспечить соблюдение принципов обработки ПДн, определенных 152-ФЗ. ·обеспечить безопасности ПДн, необходимыми мерами. 1.Обеспечить соблюдение принципов обработки ПДн, определенных 152-ФЗ В части ПДн сотрудников всё хорошо. Во-первых, такая обработка попадает в исключение п. 5) части 1 статьи 6 из 152-ФЗ и соответственно согласие на такую обработку собирать не требуется. «5) обработ…

СЗПДн. Анализ. СЗИ или не СЗИ

Одним из наиболее часто встречаемых проблемных вопросов является “что должно проходить оценку соответствия?” при защите ПДн. Хотелось бы затронуть этот вопрос, не касаясь того “как оценивать соответствие”. Варианты оценки соответствия неоднократно обсуждались коллегами, например тут и тут. В большинстве встреченных мною проектов в качестве способа оценки соответствия выбиралась сертификация, но в месте с тем, использовались только сертифицированные средства защиты от НСД, МЭ, СКЗИ, СОВ, антивирус, сканер безопасности. Средства резервного копирования и восстановления, системы управления оставлялись без внимания.
152-ФЗ. В части 2 статье 19: «2. Обеспечение безопасности персональных данных достигается, в частности: 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации» Применение СЗИ, прошедших оценку соответствия является только одним из способов достижения обеспечения безопасности ПДн. Постановление Правительства 781: «2. Безопасность перс…

СОИБ. Анализ. Защита от неактуальных угроз.

Давно хотел обсудить вопрос о неактуальных угрозах. Допустим мы провели в Компании моделирование угроз (оценку рисков связанных с этими угрозами) в соответствии с РД по ФСТЭК, ISO 27005-2008 или РС БР ИББС-2.2-2009. В результате мы получили 2 перечня – перечень актуальных угроз (неприемлемых рисков) и перечень неактуальных угроз (приемлемых рисков). При этом часть неактуальных угроз получилась в результате того, что в Компании уже применяются определенные меры обеспечения ИБ (организационные, технические, СЗИ). Далее, в большинстве случаев, про перечень неактуальных угроз забывается, работа идет только с перечнем актуальных угроз, на основе него создается план мероприятий по защите (обработки неприемлемых рисков), ТЗ на систему обеспечения ИБ, в проекте на система обеспечения ИБ описывается меры необходимые для выполнения ТЗ и нейтрализации актуальных угроз. С одной стороны всё логично. Никаких требований или рекомендаций связанных с неактуальными угрозами нет. С другой стороны такая сит…

СОИБ. Анализ. Инструменты для оценки соответствия стандарту СТО БР ИББС 3

В одном из предыдущих сообщений (1 и 2) я рассмотрел несколько инструментов оценки соответствия стандарту СТО БР ИББС. Сегодня хочу написать ещё несколько слов протестированном инструменте ISMRevision: AuditManagerот ISM SYSTEMS. Основные особенности:
·Позволяет заранее определить программу аудитов и самооценок и проводить их в соответствии с программой. ·Позволяет сформировать план мероприятий в рамках самооценки. Но мероприятия разбиты на «анализ документов» и «проведение самооценки на месте». А логично было бы выделить «проведение наблюдений» и «проведение опросов». ·План мероприятий очень ограничен. Кроме названий мероприятия и даты – ничего нельзя зафиксировать. А хотелось бы внести участников и хотя бы перечни ключевых вопросов. ·Позволяет описать документальные свидетельства, прикрепить файлы. ·Позволяет задокументировать наблюдения и опросы. Но получившийся перечень свидетельств не содержит полей для подписи со стороны проверяемой стороны. Нет возможности гарантировать достоверност…