Обоснование наличия администратора безопасности ИСПДн - Форум по вопросам информационной безопасности

Dmitriy, Prominform | 53098

Ликбез по поводу функций администратора безопасности и требований к ИС можно было не проводить. Все это прекрасно представляют и к чему Вы привели все эти пункты непонятно. Вопрос состоял совершенно в другом - обоснование со ссылками на НМД наличия в штате данной должности.
Sekira дал исчерпывающий ответ и обсуждать более нечего

Для Дмитрия.

"Аттестация ИСПДн осуществляется по приказу ФСТЭК от 11.02.2013г. №17"
Это где такое написано?

"оценка соответствия выполняется по приказу ФСТЭК от 18.02.2013г. № 21"
И здесь поподробнее!? Номер пункта НМД и название где такое написано!?

"Зачастую не смотря на наличие ЭВМ обработка происходит без средств автоматизации"
ФЗ 152 ст. 3 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
В топку ППр !!

"Администратор защиты (Security administrator)"
Администратор информационной безопасности????

"Чем занимается администратор по безопасности?"
Где написано чем он должен (обязан!) заниматься!!? Остальное ИМХО.

Про должностные обязанности... Есть такой нормативный документ. Называется: Единый квалификационный справочник должностей руководителей, специалистов и служащих, раздел Квалификационные характеристики должностей руководителей и специалистов по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, противодействию техническим разведкам и технической защите информации, утв. приказом минздравсоцразвития рф от 22 апреля 2009 г. N 205.
Должность: Администратор по обеспечению безопасности информации.

С учетом написанного выше ...

3. Квалификационные характеристики могут применяться в качестве нормативных документов или служить основой для разработки должностных инструкций, содержащих конкретный перечень должностных обязанностей работников с учетом особенностей организации производства, труда и управления, а также их прав и ответственности. При необходимости должностные обязанности, включенные в квалификационную характеристику определенной должности, могут быть распределены между несколькими исполнителями.
При разработке должностных инструкций допускается уточнение перечня работ, которые свойственны соответствующей должности в конкретных организационно-технических условиях, и установление требований к необходимой специальной подготовке работников.
4. Квалификационная характеристика каждой должности имеет три раздела: "Должностные обязанности", "Должен знать", "Требования к квалификации".
В разделе "Должностные обязанности" установлены основные трудовые функции, которые могут быть поручены полностью или частично работнику, занимающему данную должность, с учетом технологической однородности и взаимосвязанности работ, позволяющих обеспечить оптимальную специализацию служащих."

То есть не должен !
А как решите при организации в своей организации (простите за каламбур..:))) ... справочник вам в помощь.

Для sekira:
1. Читайте приказ ФСТЭК № 17 п.17 " Аттестация информационной системы и ввод её в действие". Если у вас система не государственная, но обрабатывает государственные информационные ресурсы, то аттестация по СТР-К (основание СТР-К п. 2.3).
2. Читайте приказ №21. ФСТЭК п.6. Какие документы и как должны быть оформлены - читайте нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России.
3. Откройте Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения", утвержден решением председателя Гостехкомиссии России от 30 марта 1992 года. и прочитайте определение кто такой Администратор защиты (безопасности)( Security administrator)
4. Не поленитесь открыть постановление правительства № 687 от 15 сентября 2008 года и прочитать внимательно пункт 1 и пункт 2 этого действующего документа.

"1. Читайте приказ ФСТЭК № 17 п.17 " Аттестация информационной системы и ввод её в действие". Если у вас система не государственная, но обрабатывает государственные информационные ресурсы, то аттестация по СТР-К (основание СТР-К п. 2.3). "
Приказ 17 для ИС ГИС не для ИСПДН!

"2. Читайте приказ №21. ФСТЭК п.6. Какие документы и как должны быть оформлены - читайте нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России."
В приказе 21 и в "нормативные документы ФСТЭК России, Роскомнадзора и ФСБ России" ни слова о порядке проведения "оценки соответствия"!

"3.прочитайте определение кто такой Администратор защиты"
Прочитал а теперь кто такой "Администратор информационной безопасности" (автор темы про него спрашивал) и причем тут "администратор защиты" И как связаны РД НСД ФСТЭК и ИСПДн?

" Не поленитесь открыть постановление правительства № 687 от 15 сентября 2008 года и прочитать внимательно пункт 1 и пункт 2 этого действующего документа"

Не поленился прочитать выше...
В целях реализации Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:...
ФЗ первичен ППр его исполняет. Если правительство написало ахинею то в соответствии с неахинеей в ФЗ ахинею правительства я исполнять не обязан!

Для sekira:
1. Из приказа № 17: п.5 "При обработке в государственной информационной системе информации, содержащей персональные данные, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, ..."
п.6 "По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах."
2. О том как проводится оценка эффективности реализованной защиты или оценка защищенности (что в принципе одно и тоже) можно рассказать, только это тема отдельной лекции. Для получения таких знаний обращаются к учебным заведениям, которые проводят курсы по защите информации. У меня же такой лицензии на оказание образовательных услуг нет.
3. Автор темы спрашивал о Администраторе безопасности. Согласно терминологии Администратор безопасности и Администратор защиты одно и то-же. А будет в штате отдельная должность, или обязанности администратора безопасности будут возложены на одного из сотрудников организации (прошедшего курсы повышения квалификации) - это решать руководителю организации - оператора.
4. Откройте и прочитайте ФЗ.152 (раз на него ссылаетесь) статью 4, пункты 3 и 4.
так вот согласно международным документам (международной конвенции) по защите персональных данных есть только два способа обработки информации: не автоматический (с участием человека) и автоматический (без участия человека). Из-за неточности перевода в свое время и была путаница с "четверокнижием". (Было указано автоматический, автоматизированный и не автоматический.) С выходом ПП №1119 введены требования к обработке ПДн в ИСПДн. А особенности обработки без использования средств автоматизации указаны нормативно-правовым документом - Постановлением Правительства 687. Данным постановлением подробно разъясняется в каких случаях обработка рассматривается как "без использования средств автоматизации", и какие предъявляются требования.При чем при рассмотрении ИСПДн необходимо пользоваться обоими документами. Редко встречается автоматизированная обработка в чистом виде. В основном идет "смешанная". Так что ахинеи нет.

Для sekira (продолжение):
"И как связаны РД НСД ФСТЭК и ИСПДн?"
А, простите, на основании каких документов и методик вы будете оценивать выполнение требований к системе защиты от несанкционированного доступа? В нашей стране есть один регулятор, который разработал соответствующие документы. Создаваемая система защиты должна соответствовать действующим ГОСТам и требованиям, предъявляемым регуляторами.
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
Персональные данные являются разновидностью конфиденциальной информации (в случае если они не отнесены к ГТ). В связи с этим требования к защите ПДн предъявляются согласно ПП1119 и ПП687, а методики оценки соответствия берутся согласно СТР-К. Исключением является использование криптографии.

"По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться"
МОГУТ!! Я о чем и говорю. Но не должны! А вы написали должны!

"О том как проводится оценка эффективности"
Все перепутали "оценки соответствия" не "оценка эффективности".

Пр 21 п. 6. Оценка эффективности!! реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию.
И..
ФЗ 152 ст 18 п1 пп 4) осуществление внутреннего контроля и (или) аудита соответствия!!!обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
cт 19 п. 1
3) применением прошедших в установленном порядке процедуру оценки соответствия!!! средств защиты информации;
4) оценкой эффективности !!! принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

Понятно почему вопрос теперь возник?

"Согласно терминологии Администратор безопасности и Администратор защиты одно и то-же."
Это вы так решили? Где это закреплено? Смысл в том что нигде об этом я и говорю. Все решает оператор, требований иметь администратора защиты или администратора безопасности нет! Как и нет требований что он должен делать! Все решается оператором для каждого конкретного случая.

"Откройте и прочитайте ФЗ.152 (раз на него ссылаетесь) статью 4, пункты 3 и 4. "
Почитал. п. 3 не противоречит ст.3 п.п 4)
по п.4
Конвенция
о защите физических лиц при автоматизированной обработке персональных данных
(Страсбург, 28 января 1981 г.)
ст 2 п с. "автоматическая обработка" включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение;
Где противоречия с ст.3 п.п 4)?
Так что ППр с ахинеей опять идет лесом ФЗ первичен!

"А, простите, на основании каких документов и методик вы будете оценивать выполнение требований к системе защиты от несанкционированного доступа? "

Все смешалось люди кони.
Для ИСПДн ФЗ 152, ППр 1119, Приказ 21 - в них требования к защите НСД.
РД НСД АС ФСТЭК никоим образом не касается ИСПДН!!
Хотите как оператор что бы касалось пожалуйста но НЕОБЯЗАНЫ!

"а методики оценки соответствия берутся согласно СТР-К "
Да где такое написано?
СТР-К - методичка для оператора ИСПДн которую он может почитать надосуге. Выполнять ее он не обязан!
Еще раз не "оценки соответстия" а оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.

"Создаваемая система защиты должна соответствовать действующим ГОСТам и требованиям, предъявляемым регуляторами."
ГОСТам нет читайте ФЗ "О техническом регулировании".
Требованиям регуляторов да если есть требования в ФЗ или ППр выполнять требования регуляторов. В ФЗ 152 и ППр 1119 есть отсыл к Приказу 21.
И все ни к РД ни к СТР-К отсыла нет!