Выйти из системы

Сменить пользователя

Оценка соответствия СЗИ, сертификация и другие — вопрос-ответ по ПДн 2024

Друзья, прошлая статья с ответами на популярные (и не очень), а также простые (и не очень) вопросы по обработке и хранению персональных данных в 2024 году в соответствии со 152-ФЗ и другими требованиями регуляторов собрала много благодарностей.

Публикуем вторую часть.

Вопрос 1

Допускается ли для защиты ПДн использование несертифицированных СЗИ, если в 21 приказе ФСТЭК установлено, что такое допускается, если СЗИ используются не для нейтрализации актуальных УБИ? А в 152-ФЗ установлено, что защита ПДн достигается путем применения СЗИ прошедших в установленном порядке оценку соответствия (или сертификацию).

Если вы их используете несертифицированные СЗИ для закрытия функции, отличной от нейтрализации угроз — регулятор этого не запрещает. Если вы используете средства защиты для нейтрализации угроз, то сертификат/подтверждение результатов оценки соответствия нужен

Вопрос 2

Модель угроз нужно делать для всех муниципальных информационных систем?

Да. В соответствии с Методикой моделирования угроз ФСТЭК, модель угроз нужно делать:

  • для всех информационных систем различного уровня — ГИС, МИС, РИС, ФИС
  • для всех информационных систем с персональными данными
  • для всех автоматизированных систем управления технологическими процессами
  • для КИИ

Вопрос 3

По Постановлению №1119 я определил у себя в ИСПДн УЗ-4. Однако, по требованиям оператора, к которому подключаюсь, нужно провести аттестацию ИСПДн на соответствие требованиям УЗ-3. Подскажите, пожалуйста, как здесь можно поступить?

Я бы договаривалась. По сути, если владелец ИС требует УЗ-3, значит, нужен УЗ-3. Но, если у вас достаточно аргументов, почему вам можно остаться УЗ-4 — собрать аргументацию, смотреть, ко всей ли УЗ-3 вы имеете доступ или к части и т.д. — можно попробовать договориться

— Вероника Нечаева, CISO CORTEL

Вопрос 4

Кто имеет право проводить испытания СЗИ, несертифицированные ФСТЭК? Правда ли, что оценка соответствия СЗИ по трудоемкости практически то же самое, что и сертификация? Правда ли, что она практически невыполнима без самого вендора?

Оценку применяемых мер вы можете сделать сами. Можете привлечь соответствующий орган или лабораторию.

Программа, методика, протоколы сертификации — всё берётся из ГОСТов и накладывается на оценку соответствия. А после потребуется «объясняться» с регулятором — почему так, а не иначе, доказывать свою правоту.

Некоторые могут сделать это и самостоятельно, без помощи вендора. Здесь «математика» проста:

Допустим, один мой рабочий день стоит тысячу рублей. Использование сертифицированного антивируса стоит четыре тысячи рублей. А я, на то, чтобы собрать документацию и оценить соответствие несертифицированного антивируса, потрачу минимум месяц. Что в итоге дороже для компании? Если ещё и компетенций не хватает, и нужно привлекать вендора — мы понимаем, что проще поставить или запланировать сертифицированное СЗИ

Вопрос 5

Распространяются ли требования по импортозамещению иностранного ПО в КИИ на АРМ сегмента ГИС, которая является КИИ? АРМ находится в муниципалитете.

Да, если этот сегмент является значимым КИИ, распространяется. Как определить категорию значимости и что такое категорирование — рассказывали здесь

Вопрос 6

Если границы ИСПДн определяет владелец ИСПДн, то насколько корректно ограничивать ИСПДн границами серверной части, при условии, что ИСПДн взаимодействует с внешними пользователями. На ком лежит ответственность по подключению внешних пользователей? Должен ли владелец такие требования предъявлять?

Если вы используете стороннюю информационную систему — например, вы купили 1С в облаке- вы её купили и, тем самым, согласились с тем, как они соблюдают требования и какие предъявляют к вам.

Спросить, выполняет ли другая компания ваши требования по ИСПДн или нет — это ваша ответственность. Вас 152-ФЗ обязывает запрашивать это.

Если произойдет инцидент по утечке в конкретном описанном случае, то ответственность будет нести и тот, у кого лежит база данных, и тот, кто эти ПДн обрабатывает

— Вероника Нечаева, CISO CORTEL

Вопрос 7

Вопрос по актуальному типу угроз в рамках Постановления №1119. При использовании open-source решений, в которых могут быть обнаружены уязвимости системного и прикладного уровня, необходимо ли учитывать угрозы первого и второго типа при определении УЗ?

Всё верно. Очень мало open-source решений, имеющих сопроводительную документацию, обозначающую, что в решениях, например, нет недекларированных возможностей. Техподдержки нет, обновления не регламентированы, поэтому вероятность угрозы — да, повысится

Вопрос 8

Если меняем СЗИ на аналогичное — нужна ли переаттестация?

Да. Подробно об этом рассказывали здесь и здесь.

Вопрос 9

Как быть, если вся ИТ-инфраструктура, включая СЗИ, со всеми данными, находится в головной компании. Та выделила для «своей дочки» отдельный контур и обеспечивает защиту этого контура. Между дочкой и головной компанией договора нет. Соглашения о поручении обработки тоже нет. Как быть, нарушать?

Можно сделать соглашение о сотрудничестве или создать документ внутри головной компании о том, что «дочки» являются группой компании, и головная компания ставит, контролирует, покупает СЗИ для дочерних организаций.

Если дочки — отдельные юрлица, а соглашения о поручении на обработку нет, всё это — до первой проверки. Далее — наказание, если обмениваетесь специальными категориями ПДн, например, вплоть до уголовной ответственности.

Или до первого обращения граждан. На практике недавно был случай — гражданка написала письмо в Роскомнадзор и ФСБ о том, что её права по защите ПДн нарушаются. Оператор по обработке получил штраф на несколько сотен тыс рублей. И это — не конец, разбирательство продолжается

Вопрос 10

Если я оператор ИС, то даже в случае с SaaS я остаюсь ответственным за защиту ПДн. На основании какого документа я могу передать эту ответственность «Провайдеру»? Договор «Поручение на обработку ПДн» не снимает ответственности с оператора. Или это не так?

Вы в любом случае ответственны, в первую очередь, за выбор этого провайдера. Вы ответственны за своё решение. Например, выбрали незащищённого, хотя знали, что должны защищённого — это ваша ответственность.

Далее всё зависит от конкретного инцидента. К примеру, если вы выполняли все требования, SaaS-провайдер сказал, что тоже — то далее, при разбирательстве, смотрят детально, «на чьей стороне мяч» .

Если провайдер сказал, что у него всё выполняется, дал аттестат соответствия, а сам всю свою систему защиты разобрал — при разбирательстве это выяснят и «по полной» будут спрашивать с него. Вам, как максимум, «достанется» небольшая административная ответственность, мол, не контролируете. Уголовная ответственность и крупные штрафы в этом случае будут на провайдере

Вопрос 11

Что подтверждает, что ЦОД соответствует 152-ФЗ? Они проходят аттестацию? Кто имеет право проводить эту аттестацию?

Подтверждают сертификаты на средства защиты информации и аттестат соответствия требованиям 21 приказа. Аттестацию проводят органы аттестации, лицензиаты ФСТЭК и ФСБ.

Как проверить — необходимо зайти на сайт компании, у которой вы хотите заказать аттестацию. Они обязаны публиковать лицензии на все виды работ, которые у них есть

Вопрос 12

Как быть, если мы захотим переехать в новый ЦОД? Нам нужно заключить с ними поручение на обработку. Соответственно, нам нужно собрать со своих клиентов Согласие на такую передачу. ЧТО ДЕЛАТЬ, если такие согласия НЕВОЗМОЖНО собрать?

Всё возможно. Переезжайте к нам — нескрытая реклама 🙂 У меня есть инструменты, но я не стану этим делиться на широкую публику, поскольку это — наше конкурентное преимущество

— Вероника Нечаева, CISO CORTEL

Вопрос 13

Передача ПДн равна распространению?

Нет. Распространение — это когда вы в открытом, общем доступе неограниченному кругу лиц, размещаете ПДн — например, на сайте

Вопрос 14

Необходимо ли удалять ПДн из медицинской ИС, если пациент отозвал свое согласие на обработку ПДн?

Необходимо удалить те персональные данные, которые не пригодятся вам для дальнейшей работы. Например, если эти данные нужны вам в соответствии с требованиями законодательства, и вы по ним отчитываетесь ещё в течение пяти лет — то вы объясняете, что эту часть данных вы удалить не можете — только через 5 лет.

А все остальные данные, которые не нужны в соответствии с 323-ФЗ — например email и номер сотового телефона — удаляете.

ВАЖНО: вы обязаны дать разъяснение тому, кто отзывает — в письменном виде, под подпись — что он отзывает согласие, и какие последствия могут быть в связи с отзывом и отсутствием согласия на обработку.

Если вы хотите задать другой вопрос Веронике Нечаевой или экспертам по ИБ напрямую — вступайте в закрытый чат по информационной безопасности и персональным данным.

А если хотите получить бесплатную ИБ-консультацию, аудит сайта на соответствие требованиям регуляторов или узнать о наших решениях — заполните форму, мы свяжемся с вами.