Проверки регуляторов, контролируемая зона — вопросы по ПДн 2024-2025
Друзья, мы видим и благодарим вас за интерес к рубрике вопрос-ответ в сфере персональных данных. Предыдущие части — в конце, а сегодня — 10 вопросов о техмерах защиты персональных данных и не только.
Вопрос 1
Для любой ИСПДн с Windows всегда будут актуальны угрозы 1 типа?
Нет, не будут, так как нет технической поддержки. Да, лицензия у вас есть, она не отозвана. Ваша задача — чаще делать анализ защищённости любым средством, проверять, какие «дыры» есть в Windows и наложенными средствами защиты их закрывать.
Вопрос 2
Для канала связи между офисом компании и ЦОД, где расположены БД с ПДн, используется темная оптика. Нужно ли использовать межсетевой экран и криптошлюзы?
Здесь не принципиален способ передачи данных. Стоит отталкиваться от границ контролируемой зоны. Если оптика находится в пределах контролируемой зоны, тогда нет необходимости использовать шифрование. Если это за пределами контролируемой зоны, то канал связи нужно шифровать.
Вопрос 3
Проверяют ли представители регуляторов при проверках настройки СЗИ или достаточно того, что они есть и установлены?
Если вас проверяет ФСТЭК или ФСБ — настройки смотрят. Например, на недавней проверке ФСТЭК с помощью своих средств анализа защищённости смотрел, что происходит в инфраструктуре. Роскомнадзор может проверить наличие СЗИ, на настройки не смотрит. Но РКН разговаривает со всеми участниками процесса обработки ПДн.
Вопрос 4
Если привлекается сторонняя организация для составления модели угроз, нужно ли этой организации иметь лицензию ФСТЭК?
Модель угроз может составлять организация без лицензии ФСТЭК. Техническое задание — тоже. Технический проект должна делать организация с лицензией.
Вопрос 5
При модели инфраструктура как услуга (IaaS), поставщик и владелец ПДн должны раздельно формировать ИСПДн?
Нет. При такой модели инфраструктуру предоставляет провайдер, например, мы. «Внутрь» того, что будет находиться на этой инфраструктуре, мы доступа не имеем. Соответственно, компания, которая берёт инфраструктуру у сторонней организации, несёт ответственность за защиту ПДн от уровня операционной системы. Подробнее о разделении ответственности, когда вы берёте вычислительные мощности у других организаций — рассказывали здесь.
Вопрос 6
Почему, по вашему мнению, так медленно растет реестр операторов ПДн? Недостаточная осведомленность операторов?
Нет. Потому что в России все надеются, что если что-то куда-то не подать — их найти нельзя. Но на сегодняшний день все юридические лица являются операторами по обработке персональных данных. Но всех мероприятиях Роскомнадзор уточняет, что выбирает операторов для проверки не из собственного реестра, а из реестра юридических лиц. Не подали уведомления — штраф на юрлицо до1 млн рублей.
Вопрос 7
Об определении контролируемой зоны. На основании чего необходимо определять КЗ для ИСПДн?
Определение контролируемой зоны есть в ГОСТе и в 149-ФЗ. Периметр контролируемой зоны вы можете сами для себя «начертить». Это может быть как отдельный кабинет, так и организация в целом. Но ей не может быть дорога между, например, стоящими друг напротив друга офисами, так как она вам не принадлежит и сети передачи данных в этой зоне тоже.
Вопрос 8
При подключении к ГИС, от коммерческой организации требуют прохождение аттестации подключаемого сегмента (условно говоря, десяти компьютеров, с которых будет доступ к ГИС). Это правомерно? Оценкой соответствия не обойтись?
Да, это правомерно. Если орган власти или другой владелец государственной информационной системы аттестовал свою ГИС, он ОБЯЗАН это требовать. И нет, оценкой соответствия здесь не обойтись.
Вопрос 9
Кто будет проверять оценку эффективности СЗПДн (без сертификата)? Программу, методику и результат кто будет проверять? ФСТЭК?
ФСТЭК никогда не приходит в коммерческие организации. Важно — если говорит про операторов персональных данных, не являющихся субъектом КИИ. В КИИ ФСТЭК также может прийти, даже если это коммерческая организация. В любую форму юрлица с проверкой могут прийти Роскомнадзор, ФСБ, Прокуратура и ОБЭП, например.
Оценку эффективности может проверить любой регулятор, особенно, если в вашей организации произошёл ИБ-инцидент. Оценку эффективности обязательно проверит Роскомнадзор при проверке
Вопрос 10
Какая разница — выполнил ли я требования по ИБ или нет, если при утечке всё равно одинаковое наказание?
В точности до наоборот. Все мы люди и регулятор со всех сторон посмотрит и всё проверит прежде чем назначать штрафные санкции. Если он видит, что вы закрыли организационные и технические меры, если увидит, что утечка произошла, но вы сделали всё, что могли — он обязательно пойдёт вам навстречу. Проверено, я и сама участвовала в проверках со стороны регуляторов как приглашённый эксперт.
1 часть вопрос-ответ — здесь.
Вторая — здесь.
Если у вас остались вопросы, вам нужна экспертная помощь Вероники Нечаевой и нашей команды по ИБ — заполните форму.
Мы с вами свяжемся, обсудим ситуацию. Это бесплатно и не обязывает к покупке продукта.
Также заполните форму, если вы ищите хостинг-провайдера, который относится и выполняет требования по ИБ ответственно, команды, которая решит все ваши задачи по ИБ, в том числе, с переходом на российские СЗИ.