четверг, 31 марта 2011 г.

Работы по защите ПДн (часть 1)

Довольно часто бываю на различных форумах, связанных с защитой информации, в том числе, с защитой персональных данных. Довольно часто задают вопрос: как привести себя в соответствие. Действительно, это не простая задача, в условиях финансовых, временных и квалифицированных трудовых ресурсов. Но решать ее надо и ограничения на ресурсы ни кого не волнуют :).
Я хочу опубликовать свое представление о приведении ИСПДн в соответствии с 152-ФЗ требования регуляторов по защите ПДн. В настоящей публикации не будут рассматриваться вопросы связанные с согласием на обработку ПДн, с обработкой ПДн на бумажных материальных носителях, внесением изменений в договор с клиентом/работником и т.д.
Хочу подчеркнуть, что защита ПДн своими силами и силами интеграторов - разные вещи.

Какие же работы предстоит провести специалистам по ИБ и/или специалистам по ИТ в области защиты ПДн собственными силами? Самый верхний уровень перекрывают три основных вида работ:
1. Обследование ИСПДн.
2. Проектирование системы защиты ПДн (СЗПДн).
3. Внедрение СЗПДн.

Обследование ИСПДн - самый утомительный этап, так как на нем Вы занимаетесь рутиной работой, например, определение (описание) АРМ, Серверов и коммуникационного оборудования (маршрутизаторы, коммутаторы, межсетевые экраны и т.д.). Как происходит описание? Написать, что в состав ИСПДн входит 5 серверов и 300 станций - не получится (можно конечно, но такое описание сразу показывает небрежность специалиста, занимающегося предметной областью). Скорее всего процесс описания АРМ, Серверов...... должен заключаться в выявлении следующих характеристик объекта: "Тип объекта" (Системный блок марки IN-WIN) и "Заводской/Инвентарный номер" (зачастую на системных блоках нет заводского номера, а вот инвентарный всегда есть и должен быть наклеен на системный блок - ведь это активы организации, которые должны подвергаться периодической инвентаризации силами бухгалтерии и/или материально-ответственной группой :)). Далее рисуем топологию, определяем класс строим модель угроз, ТЗ и ........ все эти вопросы опишу в "части 2".

Проектирование СЗПДн - проектные работы связанные с большим количеством написанных по различным ГОСТ документам - это не правда. Прежде чем начинать озадачивать себя изучением не актуализированных ГОСТ РФ задумайтесь: а для чего это нужно? Ведь рамочки в документе, размер шрифта, отступы и т.д. не гарантируют Вам грамотно спроектированной СЗПДн, отвечающей бизнес целям организации. Выполнение работ по проектированию СЗПДн, я бы сопровождал короткими аналитическими обоснованиями и решениями разбитыми по подсистемам СЗИ в разрезе Приказа №58 или отраслевых документов. Например, аналитическое обоснование средств защиты НСД для ИСПДн. В аналитическое обоснование я бы включил раздел по анализу существующих средств. В качестве основных критериев выбрал бы цена/качество/требование к системным ресурсам. Такое обоснование направленно в первую очередь на топ-менеджеров организации :). В следующем пункте обозначил бы какие компоненты СЗИ куда ставятся и какие конкретные угрозы из модели угроз перекрывают.

Внедрение СЗПДн - это работы, связанные с закупкой и установкой СЗПДн. Думаю, что проблем по внедрению выбранных средств не должно вызывать трудностей у специалистов ИБ/ специалистов ИТ. Самое основное - не забывайте о актах ввода в эксплуатацию СЗПДн :).  

5 комментариев:

Эльдар комментирует...

Инвентарные номера уже никто не смотрит, они нужны были для аттестации, которая уже не нужна.

Сергей Ерохин комментирует...

Альтернатива серийным номерам/инвентарным - имя ПК, упрощает задачу, но от этого работа не становится веселее. Я рассматриваю номера только для того, чтобы идентифицировать конкретный сервер и/или АРМ.

Ригель комментирует...

> Скорее всего описание должно

Судя по тому, что оно Вам должно, кое-то путает "описание" и "опись".

Сергей Ерохин комментирует...

Ригель, есть такая проблема, но это не самое важное ;)

Владимир комментирует...

Иногда заказчик просит разработку паспортов помещений, в которых ведется обработка ПДн. В таком случае инвентарники собираются в ходе предпроектника.