тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Аттестация, оценка эффективности и другие — вопрос-ответ по ПДн 2024

By 22.10.2024 Информационная безопасность 0 Comments

Аттестация, оценка эффективности и другие — вопрос-ответ по ПДн 2024

Ежедневно Веронике Нечаевой, нашему директору по ИБ, приходят вопросы о технических и организационных мерах защиты персональных данных. Собрали для вас ТОП вопрос-ответ и лайфхаки, которые точно пригодятся.

На базовые вопросы уже отвечали здесь.

Вопрос 1

Можно ли проводить оценку соответствия СЗИ, используемых для нейтрализации актуальных угроз самостоятельно, в форме, отличной от сертификации? Какие требования необходимо реализовать при проведении оценки соответствия?

Проводить самостоятельно можно, в соответствии с программой и методикой, которые необходимо брать из ГОСТов. Чаще всего они же используются для проведения испытаний при аттестации

Подробнее о технических мерах защиты и оценке рассказывали здесь.

Вопрос 2

Как определить автоматизированная обработка ПДн или нет? Критерии.

Есть три типа обработки ПДн:

  • автоматизированная — всё, что вы обрабатываете на компьютере, в том числе на принтере, сканере и т.д.;
  • неавтоматизированная — всё, что обрабатывается без применения технических средств;
  • смешанная — сочетание двух способов, наиболее распространённая (95%).

Вопрос 3

Вопрос по организации технической защиты для объектов КИИ. Есть ли требования и методички для ЗОКИИ? Как быть КИИ без категории?

Требования к защите информации в ЗОКИИ есть. Здесь у нас размещена памятка для всех субъектов КИИ, а здесь — всё о том, как проводить категорирование КИИ и выявлять значимость.

23 декабря выйдут в свет новые требования для КИИ. Если вы не видите требований конкретно для своей КИИ, выполняйте требования других НПА

Вопрос 4

Прошу уточнить допустимость разработки акта определения уровня защищенности (УЗ) (1119 ППР, 21 приказ) на несколько ИСПДн? Видел в чате по информационной безопасности диалог пользователей о том, что удобно делать в одном акте. Но разве допустимо с разными сущностями, показателями, атрибутами ИСПДн укладывать все в единый акт?

Не запрещено делать общий Акт установления УЗ — это будет таблица с критериями для КАЖДОЙ ИСПДн:

  • категория ПДн
  • тип актуальных угроз
  • установленный УЗ

Во введении и заключении обязательно указать причины присвоения конкретной ИСПДн конкретного УЗ. И каждую систему в любом случае придётся описывать в соответствии с требованиями постановления 1119. Вся информация об этом НПА простыми словами — здесь

Вопрос 5

Есть ли актуальный список всей документации по ИСПДн, которая обязательно должна быть у организации?

Да. Писали полный универсальный перечень здесь. Остальная документация будет разрабатываться в соответствии со спецификой организации

Вопрос 6

Нужно ли использовать WAF для защиты веб-систем?

Да, в требованиях есть такое СЗИ, как межсетевой экран. Для веб-систем мы должны использовать межсетевой экран типа Г — веб.

Можно покупать и использовать собственный, «железный»

Можно брать его, как сервис, у профильной организации и «наложить сверху», например, защиту от DDoS и ботов, как это делаем мы

Вопрос 7

Вопрос про аттестацию объекта информатизации. В каких случаях возникает необходимость в аттестации? На предмет чего проводится аттестация и сертификация?

АТТЕСТАЦИЯ ОБЯЗАТЕЛЬНА ДЛЯ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ. От этого не уйти 🙂 Всё об аттестации мы рассказывали здесь.

Добровольная аттестация по 21 Приказу может быть полезна, если вы не видите других вариантов контроля за соблюдением требований регуляторов.

Теперь про отличия сертификации и аттестации:

  • Аттестат подтверждает, что ИС соответствует необходимым требованиям.
  • Сертификат подтверждает, что СЗИ соответствует заявленным требованиям безопасности.

Вопрос 8

В 152-ФЗ отсутствует требование по разработке оценки рисков. Насколько она нужна на практическом опыте?

Если речь идёт о бизнесе, то 100% нужна. Бизнес — история про получение прибыли. Игнорируя оценку рисков, мы всегда ставим под угрозу деньги.

Почему я так много рассказываю про то же пресловутое поручение на обработку — потому что я, как представитель бизнеса, несу ответственность и считаю риски — зачем мне административная, уголовная ответственность за несоблюдение, если я могу взять и сделать?

Вопрос 9

Когда ИСПДн становится ИСПДн?

Когда в информационную систему попадают персональные данные — если они в ней обрабатываются, хранятся, передаются — тогда она ИСПДн

Вопрос 10

Сотрудники периодически обмениваются файлами (PDF/Exel/Word) с ПДн. Значит ли это, что электронная почта является ИСПДн?

Нужно смотреть индивидуально. Почта может быть частью, например, ЭДО-системы — это одно.

Если работники обмениваются по ПДн личной почте, некорпоративной — то у вас незащищённый канал передачи персональных данных, что является нарушением.

Если, помимо почты, там используются календарь, контакты — тогда точно да, ИСПДн.

Вот мнение ФСБ по этому поводу

Вопрос 11

Является ли компания оператором ПДн, если муниципальный АРМ в компании — часть сегмента ГИС?

Вопрос о разграничении зон ответственности и определении владельца ИС. Если ВЫ обрабатываете персональные данные — вы оператор. Являясь сегментом ГИС, вы не перестаёте им быть.

Например, если вы купили 1С как платформу, только вносите туда данные, а доступа к изменению самой платформы нет — вы ей не владеете. Но вы всё равно оператор по обработке ПДн, потому что вы её используете, данные вносите, выгружаете, передаёте и т.д. — занимаетесь обработкой.

В свою очередь, владелец ГИС — это тот, кто владеет ГИС. Этот владелец, вам, как пользователям этой системы, диктует выполнение тех или иных требований законодательства.

И вы видите, например, что у владельца ГИС класс защищённости ГИС — второй, а у вас — третий.

В таком случае есть два инструмента:

  • регулятор не запрещает признавать себя сегментом этой ГИС. Я лично аттестовала ГИС, и даже в системах с классом защищённости К1 есть сегменты с К3
  • можете признать себя иной информационной системой, подключающейся к ГИС

Проводите аудит, выясняйте, какому КЗ обязаны и в силах соответствовать в рамках организации.

Вопрос 12

Технической задание (ТЗ) и эскизный проект — это обязательные документы? Их проверяют регуляторы? Или модели угроз достаточно?

ТЗ и модель угроз проверяют в обязательном порядке. Эскиз — при аттестации по 17 и 21 Приказам. К тому же, эскиз — это основной документ для того, чтобы бюджетировать статью информационной безопасности у себя в организации и обосновывать, в том числе, для закупок, почему на инфобез уходит «столько-то» средств

Вопрос 13

Почему повсюду упоминаются СЗИ от НСД? Ни в 21, ни в 17 Приказах таких требований нет.

Верно, но в тех же Приказах есть группы обязательных мер, которые необходимо выполнить. И некоторые из них, например, Идентификация и аутентификация субъектов и объектов доступа (ИАФ) — закрываются средством защиты от НСД.

Лайфхак: если мы не понимаем, каким СЗИ закрыть требования Приказов — открываем ГОСТы СЗИ и смотрим, какое СЗИ подходит

Если вы хотите задать другой вопрос Веронике Нечаевой или экспертам по ИБ напрямую — вступайте в закрытый чат по информационной безопасности и персональным данным.

А если хотите получить бесплатную ИБ-консультацию, аудит сайта на соответствие требованиям регуляторов или узнать о наших решениях — заполните форму, мы свяжемся с вами.