Аттестация, оценка эффективности и другие — вопрос-ответ по ПДн 2024
Ежедневно Веронике Нечаевой, нашему директору по ИБ, приходят вопросы о технических и организационных мерах защиты персональных данных. Собрали для вас ТОП вопрос-ответ и лайфхаки, которые точно пригодятся.
На базовые вопросы уже отвечали здесь.
Вопрос 1
Можно ли проводить оценку соответствия СЗИ, используемых для нейтрализации актуальных угроз самостоятельно, в форме, отличной от сертификации? Какие требования необходимо реализовать при проведении оценки соответствия?
Проводить самостоятельно можно, в соответствии с программой и методикой, которые необходимо брать из ГОСТов. Чаще всего они же используются для проведения испытаний при аттестации
Подробнее о технических мерах защиты и оценке рассказывали здесь.
Вопрос 2
Как определить автоматизированная обработка ПДн или нет? Критерии.
Есть три типа обработки ПДн:
- автоматизированная — всё, что вы обрабатываете на компьютере, в том числе на принтере, сканере и т.д.;
- неавтоматизированная — всё, что обрабатывается без применения технических средств;
- смешанная — сочетание двух способов, наиболее распространённая (95%).
Вопрос 3
Вопрос по организации технической защиты для объектов КИИ. Есть ли требования и методички для ЗОКИИ? Как быть КИИ без категории?
Требования к защите информации в ЗОКИИ есть. Здесь у нас размещена памятка для всех субъектов КИИ, а здесь — всё о том, как проводить категорирование КИИ и выявлять значимость.
23 декабря выйдут в свет новые требования для КИИ. Если вы не видите требований конкретно для своей КИИ, выполняйте требования других НПА
Вопрос 4
Прошу уточнить допустимость разработки акта определения уровня защищенности (УЗ) (1119 ППР, 21 приказ) на несколько ИСПДн? Видел в чате по информационной безопасности диалог пользователей о том, что удобно делать в одном акте. Но разве допустимо с разными сущностями, показателями, атрибутами ИСПДн укладывать все в единый акт?
Не запрещено делать общий Акт установления УЗ — это будет таблица с критериями для КАЖДОЙ ИСПДн:
- категория ПДн
- тип актуальных угроз
- установленный УЗ
Во введении и заключении обязательно указать причины присвоения конкретной ИСПДн конкретного УЗ. И каждую систему в любом случае придётся описывать в соответствии с требованиями постановления 1119. Вся информация об этом НПА простыми словами — здесь
Вопрос 5
Есть ли актуальный список всей документации по ИСПДн, которая обязательно должна быть у организации?
Да. Писали полный универсальный перечень здесь. Остальная документация будет разрабатываться в соответствии со спецификой организации
Вопрос 6
Нужно ли использовать WAF для защиты веб-систем?
Да, в требованиях есть такое СЗИ, как межсетевой экран. Для веб-систем мы должны использовать межсетевой экран типа Г — веб.
Можно покупать и использовать собственный, «железный»
Можно брать его, как сервис, у профильной организации и «наложить сверху», например, защиту от DDoS и ботов, как это делаем мы
Вопрос 7
Вопрос про аттестацию объекта информатизации. В каких случаях возникает необходимость в аттестации? На предмет чего проводится аттестация и сертификация?
АТТЕСТАЦИЯ ОБЯЗАТЕЛЬНА ДЛЯ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ. От этого не уйти 🙂 Всё об аттестации мы рассказывали здесь.
Добровольная аттестация по 21 Приказу может быть полезна, если вы не видите других вариантов контроля за соблюдением требований регуляторов.
Теперь про отличия сертификации и аттестации:
- Аттестат подтверждает, что ИС соответствует необходимым требованиям.
- Сертификат подтверждает, что СЗИ соответствует заявленным требованиям безопасности.
Вопрос 8
В 152-ФЗ отсутствует требование по разработке оценки рисков. Насколько она нужна на практическом опыте?
Если речь идёт о бизнесе, то 100% нужна. Бизнес — история про получение прибыли. Игнорируя оценку рисков, мы всегда ставим под угрозу деньги.
Почему я так много рассказываю про то же пресловутое поручение на обработку — потому что я, как представитель бизнеса, несу ответственность и считаю риски — зачем мне административная, уголовная ответственность за несоблюдение, если я могу взять и сделать?
Вопрос 9
Когда ИСПДн становится ИСПДн?
Когда в информационную систему попадают персональные данные — если они в ней обрабатываются, хранятся, передаются — тогда она ИСПДн
Вопрос 10
Сотрудники периодически обмениваются файлами (PDF/Exel/Word) с ПДн. Значит ли это, что электронная почта является ИСПДн?
Нужно смотреть индивидуально. Почта может быть частью, например, ЭДО-системы — это одно.
Если работники обмениваются по ПДн личной почте, некорпоративной — то у вас незащищённый канал передачи персональных данных, что является нарушением.
Если, помимо почты, там используются календарь, контакты — тогда точно да, ИСПДн.
Вопрос 11
Является ли компания оператором ПДн, если муниципальный АРМ в компании — часть сегмента ГИС?
Вопрос о разграничении зон ответственности и определении владельца ИС. Если ВЫ обрабатываете персональные данные — вы оператор. Являясь сегментом ГИС, вы не перестаёте им быть.
Например, если вы купили 1С как платформу, только вносите туда данные, а доступа к изменению самой платформы нет — вы ей не владеете. Но вы всё равно оператор по обработке ПДн, потому что вы её используете, данные вносите, выгружаете, передаёте и т.д. — занимаетесь обработкой.
В свою очередь, владелец ГИС — это тот, кто владеет ГИС. Этот владелец, вам, как пользователям этой системы, диктует выполнение тех или иных требований законодательства.
И вы видите, например, что у владельца ГИС класс защищённости ГИС — второй, а у вас — третий.
В таком случае есть два инструмента:
- регулятор не запрещает признавать себя сегментом этой ГИС. Я лично аттестовала ГИС, и даже в системах с классом защищённости К1 есть сегменты с К3
- можете признать себя иной информационной системой, подключающейся к ГИС
Проводите аудит, выясняйте, какому КЗ обязаны и в силах соответствовать в рамках организации.
Вопрос 12
Технической задание (ТЗ) и эскизный проект — это обязательные документы? Их проверяют регуляторы? Или модели угроз достаточно?
ТЗ и модель угроз проверяют в обязательном порядке. Эскиз — при аттестации по 17 и 21 Приказам. К тому же, эскиз — это основной документ для того, чтобы бюджетировать статью информационной безопасности у себя в организации и обосновывать, в том числе, для закупок, почему на инфобез уходит «столько-то» средств
Вопрос 13
Почему повсюду упоминаются СЗИ от НСД? Ни в 21, ни в 17 Приказах таких требований нет.
Верно, но в тех же Приказах есть группы обязательных мер, которые необходимо выполнить. И некоторые из них, например, Идентификация и аутентификация субъектов и объектов доступа (ИАФ) — закрываются средством защиты от НСД.
Лайфхак: если мы не понимаем, каким СЗИ закрыть требования Приказов — открываем ГОСТы СЗИ и смотрим, какое СЗИ подходит
Если вы хотите задать другой вопрос Веронике Нечаевой или экспертам по ИБ напрямую — вступайте в закрытый чат по информационной безопасности и персональным данным.
А если хотите получить бесплатную ИБ-консультацию, аудит сайта на соответствие требованиям регуляторов или узнать о наших решениях — заполните форму, мы свяжемся с вами.