Довольно часто бываю на различных форумах, связанных с защитой информации, в том числе, с защитой персональных данных. Довольно часто задают вопрос: как привести себя в соответствие. Действительно, это не простая задача, в условиях финансовых, временных и квалифицированных трудовых ресурсов. Но решать ее надо и ограничения на ресурсы ни кого не волнуют :).
Я хочу опубликовать свое представление о приведении ИСПДн в соответствии с 152-ФЗ требования регуляторов по защите ПДн. В настоящей публикации не будут рассматриваться вопросы связанные с согласием на обработку ПДн, с обработкой ПДн на бумажных материальных носителях, внесением изменений в договор с клиентом/работником и т.д.
Хочу подчеркнуть, что защита ПДн своими силами и силами интеграторов - разные вещи.
Какие же работы предстоит провести специалистам по ИБ и/или специалистам по ИТ в области защиты ПДн собственными силами? Самый верхний уровень перекрывают три основных вида работ:
1. Обследование ИСПДн.
2. Проектирование системы защиты ПДн (СЗПДн).
3. Внедрение СЗПДн.
Обследование ИСПДн - самый утомительный этап, так как на нем Вы занимаетесь рутиной работой, например, определение (описание) АРМ, Серверов и коммуникационного оборудования (маршрутизаторы, коммутаторы, межсетевые экраны и т.д.). Как происходит описание? Написать, что в состав ИСПДн входит 5 серверов и 300 станций - не получится (можно конечно, но такое описание сразу показывает небрежность специалиста, занимающегося предметной областью). Скорее всего процесс описания АРМ, Серверов...... должен заключаться в выявлении следующих характеристик объекта: "Тип объекта" (Системный блок марки IN-WIN) и "Заводской/Инвентарный номер" (зачастую на системных блоках нет заводского номера, а вот инвентарный всегда есть и должен быть наклеен на системный блок - ведь это активы организации, которые должны подвергаться периодической инвентаризации силами бухгалтерии и/или материально-ответственной группой :)). Далее рисуем топологию, определяем класс строим модель угроз, ТЗ и ........ все эти вопросы опишу в "части 2".
Проектирование СЗПДн - проектные работы связанные с большим количеством написанных по различным ГОСТ документам - это не правда. Прежде чем начинать озадачивать себя изучением не актуализированных ГОСТ РФ задумайтесь: а для чего это нужно? Ведь рамочки в документе, размер шрифта, отступы и т.д. не гарантируют Вам грамотно спроектированной СЗПДн, отвечающей бизнес целям организации. Выполнение работ по проектированию СЗПДн, я бы сопровождал короткими аналитическими обоснованиями и решениями разбитыми по подсистемам СЗИ в разрезе Приказа №58 или отраслевых документов. Например, аналитическое обоснование средств защиты НСД для ИСПДн. В аналитическое обоснование я бы включил раздел по анализу существующих средств. В качестве основных критериев выбрал бы цена/качество/требование к системным ресурсам. Такое обоснование направленно в первую очередь на топ-менеджеров организации :). В следующем пункте обозначил бы какие компоненты СЗИ куда ставятся и какие конкретные угрозы из модели угроз перекрывают.
Внедрение СЗПДн - это работы, связанные с закупкой и установкой СЗПДн. Думаю, что проблем по внедрению выбранных средств не должно вызывать трудностей у специалистов ИБ/ специалистов ИТ. Самое основное - не забывайте о актах ввода в эксплуатацию СЗПДн :).
5 комментариев:
Инвентарные номера уже никто не смотрит, они нужны были для аттестации, которая уже не нужна.
Альтернатива серийным номерам/инвентарным - имя ПК, упрощает задачу, но от этого работа не становится веселее. Я рассматриваю номера только для того, чтобы идентифицировать конкретный сервер и/или АРМ.
> Скорее всего описание должно
Судя по тому, что оно Вам должно, кое-то путает "описание" и "опись".
Ригель, есть такая проблема, но это не самое важное ;)
Иногда заказчик просит разработку паспортов помещений, в которых ведется обработка ПДн. В таком случае инвентарники собираются в ходе предпроектника.
Отправить комментарий