Страницы

Куда смотрит ФСБ?

Если вы строите "пуленепробиваемую" систему защиты персональных данных, которая выдержит любую проверку любого регулятора - то вам интересно будет взглянуть на список документов, которые требует ФСБ при контроле за обработкой ПДн.


1. Документы, определяющие угрозы безопасности персональных данных при их обработке, формирование на их основе модели угроз;

Тут все понятно. Нужна модель угроз. Если у вас есть СКЗИ - то модель угроз должна учитывать так же рекомендации ФСБ. Рекомендуется согласовывать МУ с лицензиатом.

2. Документы, подтверждающие разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

Таким документом может быть проект системы защиты персональных данных, если он учитывает актуальные угрозы перс.данным. Так же в роли подобного документа могут выступать протоколы аттестационных испытаний (опять же, протоколы должны учитывать актуальные угрозы и контрмеры). 

3. Документы, подтверждающие готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

Согласно рекомендациям ФСТЭК ЮФО, должно разрабатываться заключение о возможности эксплуатации средств защиты информации (по ссылке есть шаблон).

4. Документы, подтверждающие установку и ввод в эксплуатацию средств защиты информации в соответствие с эксплуатационной и технической документацией;

Акт ввода в эксплуатацию системы защиты персональных данных.

5. Документы подтверждающие обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

Либо сертификат о соответствующих курсах, либо отметка об ознакомлении с руководством пользователя СЗИ (СКЗИ).

6. Документы, подтверждающие учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

Либо Журнал учёта средств защиты информации из тех же рекомендаций ФСТЭК ЮФО, либо Журнал поэкземлярного учёта СКЗИ из 152 приказа ФАПСИ.

7. Документы, подтверждающие учет лиц, допущенных к работе с персональными данными в информационной системе;

Приказ о допуске к ИСПДн или любой похожий документ.

8. Документы, подтверждающие контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

Инструкция о проведении контроля и акты проверки.

9. Документы, описывающие систему защиты персональных данных.

Либо проект, либо описание системы защиты из рекомендаций ФСТЭК ЮФО.

Думаю, этот перечень поможет вам определиться с составом документов по защите перс.данных, пока требования в очередной раз не поменялись :)
 

10 комментариев:

  1. Откуда подборка?
    Из административного регламента или этот перечень реально спрашивался при проверке?

    ОтветитьУдалить
  2. в смысле боевой?
    можно какой-нибудь скан запроса или типа того?

    ОтветитьУдалить
  3. На счет второго пункта. Есть сомнения что протоколы аттестационных испытаний будут достаточны.
    Противодействие не всем угрозам можно испытать. И уж тем более не всё испытывают при аттестации.

    На счет четвертого пункта. Достаточно ли одного акта? У нас ведь периодически происходят изменения, ломаются АРМ, появляются новые пользователи и приходится устанавливать СЗИ не один раз.
    Может быть журнал учета СЗИ?

    На счет шестого пункта, возможно самым правильным будет ссылаться на Приложение 1 из ТИПОВЫХ ТРЕБОВАНИЙ по организации и обеспечению функционирования шифровальных криптографических) средств, в случае их использования для обеспечения безопасности персональных данных
    при их обработке в информационных системах персональных данных

    На счет 8 пункта, случаем нет примера инструкции?

    ОтветитьУдалить
  4. 2. Одной из задач аттестации является подтверждение того, что каждой угрозе противопоставлена соответствующая контрмера, либо риск реализации этой угрозы признан приемлемым руководством компании (что так же фиксируется в протоколе). Т.ч протоколов аттестации будет вполне достаточно. К тому они сделаны лицензиатом ФСБ, контролировать которого задача у проверяющего не стоит.

    4. Акта достаточно. В купе с заключением о возможности эксплуатации средств защиты информации требования проверяющего перекрывается полностью.

    6. тут чистый учёт. А там где учёт - там журнал учёта.

    8. думаю, сделаю отдельный пост по этой теме.

    ОтветитьУдалить
  5. 2. Например, угроза нарушения доступности ПДн в случае случайного удаления пользователем данных.
    В качестве контермеры выбраны средства резервного копирования и восстановления.
    Вы при аттестации будите испытывать?

    Например, угроза хищения физического носителя (флешки с ПДн) из помещения, в качестве контрмеры к которым выбраны сейф, СКУД, журналы приема-выдачи ключей.
    Вы на аттестации это проверяете и в протокол заносите такую информацию?

    ОтветитьУдалить
  6. Наши угрозы, конечно, звучат несколько по-иному.
    Однако для этих угроз аттестационным бы испытанием было:
    1. убедиться что есть такой документ и указать его;
    2. сослаться на устное свидетельство ответственного лица а том, что подобные работы проводятся;
    3. наблюдать резервную копию защищаемой информации.

    для второго случая:
    1. документ описывающий принятые меры;
    2. устное свидетельство ответственного лица о том как он хранит и учитывает флешки;
    3. собственное наблюдение эксперта ("флешки в сейфе, в журнале описаны").

    PS удаление данных это все-таки нарушение целостности.

    ОтветитьУдалить
  7. Ну если вы все это делаете на аттестации, то снимаю шляпу.
    Это круто и это уже как полноценный аудит.

    С теми аттестациями с которыми я встречался - испытания делались по одной и той-же методике, которая когда то один раз была согласована с ФСТЭК

    ОтветитьУдалить
  8. Здравствуйте! Предстоит проверка ФСБ в органе ЗАГС. Слышала, что сотрудники ФСБ требуют, чтобы все помещения были опечатаны. Так ли это?

    ОтветитьУдалить