СОИБ. Анализ. Учить!
В предыдущей статье я отметил что
в ряде свежих нормативных документов не уделяется внимания квалификации,
повышению осведомленности и обучению ответственных лиц.
Давайте порассуждаем логически – может
ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким
знаниями в этой теме обеспечивать работоспособность и эффективность системы
защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором?
Если ответственные лица не будут знать и уметь, то меры защиты перестанут или
даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут
убраны на полку.
Если кратко то, ответственному за
защиту ПДн необходимы как минимум следующие знания и навыки (даже если оператор
обращается к интегратору за помощью):
·
знание области действия и основные положения
нормативных правовых актов, регламентирующих вопросы обработки и обеспечения
безопасности персональных данных (как правило в внутреннем комплекте ОРД отражают
основные моменты из нормативных актов, а не дублируют их полностью, так что в
некоторых ситуациях нужно обращаться непосредственно к нормативным правовым
актам РФ);
·
знание основных видов нарушителей и угроз
безопасности персональных данных в информационных системах персональных данных
(в соответствии с последними методиками в рабочей группе по определению
актуальности нарушителей и угроз обязательно должны быть представители Оператора,
зачастую они лучше знают ситуацию на местах чем эксперты консультант);
·
знание мер обеспечения безопасности персональных
данных;
·
знание порядка определения состава мер ОБПДн;
·
знание порядка создания ИС / СЗПДн (чтобы
нормально принимать работы интегратора, нужно хотя бы примерно понимать типовые
этапы работ)
·
знание типов СЗИ и их соответствие требуемым мерам
ОБПДн;
·
знание условий и ограничения использования
средств защиты информации;
·
ответственным за эксплуатацию СЗИ лицам кроме
этого необходимо уметь обнаруживать неработоспособность СЗИ, в журналах СЗИ
находить информацию об НСД, добавлять/удалять пользователей, следить за
корректностью текущего обновления СЗИ, осуществлять резервное копирование и восстанавливать
настроки (переустанавливать без изменения настроек) СЗИ.
Аналогично лицо ответственное за
организацию обработки ПДн, лица, допущенные к обработке ПДн и пользователи СЗИ
должны обладать определенными минимальными знаниями в области ПДн и защиты
информации.
Откуда эти знания могут взяться? Обучение
во всех возможных формах: обучение в учебном центре, внутреннее обучение (если
есть кому учить), внутренние инструктажи, ознакомление с документами,
внутренние информационные рассылки, скринсейверы, автоматизированные системы
повышения осведомленности. Не забываем и про проверку знаний во всех формах: тестирование
при обучении в УЦ, внутренняя проверка (если есть кому проверить), проверка
интегратором при создании системы, проверка аудитором при тестировании защиты,
автоматизированные системы тестирования.
Посмотрим всё же на нормативные
документы РФ, может быть всё-таки есть обязательные требования, которые надо
учитывать при этом (кроме приведенных в предыдущей статье):
152-ФЗ: “Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1.
Оператор обязан принимать меры, необходимые и достаточные для обеспечения
выполнения обязанностей, предусмотренных настоящим Федеральным законом и
принятыми в соответствии с ним нормативными правовыми актами. Оператор
самостоятельно определяет состав и перечень мер, необходимых и достаточных для
обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным
законом и принятыми в соответствии с ним нормативными правовыми актами, если иное
не предусмотрено настоящим Федеральным законом или другими федеральными
законами. К таким мерам могут, в частности, относиться:
6) ознакомление
работников оператора, непосредственно осуществляющих
обработку персональных данных, с положениями законодательства Российской
Федерации о персональных данных, в том числе требованиями к защите персональных
данных, документами, определяющими политику оператора в отношении обработки
персональных данных, локальными актами по вопросам обработки персональных данных,
и (или) обучение указанных
работников.”
Постановление Правительства
РФ №211:“1. Операторы, являющиеся государственными или муниципальными органами,
принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных
Федеральным законом "О персональных данных" и принятыми в
соответствии с ним нормативными правовыми актами:
е) осуществляют
ознакомление служащих государственного или муниципального органа,
непосредственно осуществляющих обработку
персональных данных, с положениями законодательства Российской Федерации о
персональных данных (в том числе с требованиями к защите персональных данных),
локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;”
Приказ ФСТЭК №17: “Обеспечение
защиты информации в ходе эксплуатации аттестованной информационной системы
18.1. В ходе
управления (администрирования) системой защиты информации информационной
системы осуществляются:
информирование пользователей об угрозах безопасности
информации, о правилах эксплуатации системы защиты информации информационной
системы и отдельных средств защиты информации, а также их обучение;”
Приказ ФСБ №378: “16. В
соответствии с пунктом 14 Требований к защите персональных данных для
обеспечения 3 уровня защищенности персональных данных при их обработке в
информационных системах помимо выполнения требований, предусмотренных пунктом 5
настоящего документа, необходимо выполнение требования о назначении должностного
лица (работника), ответственного за
обеспечение безопасности персональных данных в информационной системе.
17. Для выполнения
требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора
ответственным за обеспечение безопасности персональных данных в информационной
системе.”
Типовые требования ФСБ России № 149/6/6-622: “2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
— обучение лиц, использующих криптосредства, работе с ними;”
ГОСТ Р 51583 – 2014: “АСЗИ
- автоматизированная система в защищенном исполнении;
6.13.2 На этапе
"Подготовка персонала" проводят:
- обучение персонала АСЗИ и проверку его способности обеспечивать
функционирование системы ЗИ и АСЗИ в целом;
- проверку и подготовку специалистов структурного подразделения или
должностного лица (работника), ответственных
за ЗИ в АСЗИ.”
ГОСТ РО 0043-004-2013 Программа
и методики аттестационных испытаний: ”Д.3.5 Проверка уровня подготовки
специалистов и распределения ответственности пользователей АС
Проверку проводят на
основе следующих показателей:
- оценка знания инструкций по
безопасности информации пользователями АС;
- наличие системы
распределения ответственности пользователей АС за выполнение требований
безопасности информации.
На основании опроса
пользователей АС проверяют знание
ими руководящих документов и инструкций.
Проводят выборочную проверку персонала из каждой категории
организационно-штатной структуры АС на предмет владения технологиями безопасной обработки информации и знания соответствующих инструкций.
Проверяют организацию обучения и повышения квалификации пользователей
АС.
Проверка считается
успешной, если уровень подготовки пользователей АС обеспечивает выполнение
требований безопасности информации.”
Как видно требования к обучению и
проверке знаний всё-таки имеются. Наиболее логичный шаг – разработать программу
обучения, повышения осведомленности пользователей и проверки знаний и
реализовывать её с учетом рекомендаций из первой части статьи.
Комментарии
Но в статье речь шла не о Лицензиатах, а об обычных операторах - заказчиков услуг.
http://habrahabr.ru/sandbox/41261/
А еще лучше - ответственных за ЗИ всех через экзамен, как на права сдавать водителей.
http://noteasyroute.blogspot.ru/2014/04/blog-post_2.html
Изначально мы рассматриваем ответственных без нужного опыта.
Можно его набирать в рамках практических занятий на обучении и далее непосредственно в своей работе.
ser-storchak - расписаться в ознакомлении с эксплуатационной документацией, ещё не значит что у пользователя или администратора появится необходимая компетенция. Кто-то должен этого пользователя обучить/проинструктировать/проверить. об этом была речь в статье. Если бы в договорах ДБО это более четко расписывалось и если бы Банк ещё и обучал пользователей СКЗИ то было бы просто замечательно.
Сергей, суть Вашей статьи - создать аккредитованные центры по обучению работе с СЗИ и проверке знаний сотрудников или привлечь внимание к проблеме неграмотности персонала и борьбы с ней?
В нормативных документах у нас теме обучения, информирования и проверке знаний уделяется, незаслуженно мало внимания, с моей точки зрения. А раз нет требований, то никто и на практике ничего не делает в это части. Как следствие уже и неграмотность и невозможность выбить обучение и отсутствие запланированной программы обучения в области ИБ.
Думаю что в приказах ФСТЭК или методических рекомендациях вполне можно было заложить требования хотябы аналогичные разделу 8.9 СТО БР ИББС
Внимания этому у нас мало. Собственно надо сказать мало вообще внимания подходам к выстраиванию целостной системы, в которой нужная компетентность обеспечивалась бы. От надзора до конечного пользователя. Здесь нужно брать опыт западных систем сертификации систем менеджмента, в которых аудит - не формальность, а, в частности, - "развести руководителя и подчиненного в разные кабинеты и позадавать им одинаковые вопросы, после чего сравнить показания и сделать вывод "требования к деятельности установлены/не установлены" или "соответствует/не соответствует организация требованиям стандарта".