нужна помощь - Форум по вопросам информационной безопасности

Всем привет, у меня огромная проблема, работаю а администрации поселка, не какого отношения к ЗИ не имею. Но после прошедшей проверки и возложения штрафа на мое доблестное начальство на меня возложили функции по защите информации, а я ну полный 0 в этой теме. Люде добрые помоги решить 2 задачи буду рад любой помощи и информации.
1) определение угроз безопасности информации, формирование на их основе модели угроз.
2) Разработка на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования.
буду рад любой помощи!!!!

Классифицировали то как, вашу АС? или вы на бумажке работаете?)

Хм, у вас наверно автономка? под перечень попали в ходе проверки? под обязательную аттестацию попадаете или нет?


Все от класса вашего зависит!
И вас еще должны отправить на обучение, на вас не имеют право возлагать такие обязанности, еще штраф выпешут, начальству привет!

Да тут такое дело, во время самой проверки я отсутствовал, но мне вручи постановление о назначении административного наказания, в нем доходящего объяснены все нарушения, по государственной тайне у нас все норм. проверку прошли идеально а вот на счет систем общего пользования выдали список нарушений. На обучение отправят но это будет только ближе к лету, а исправлять все надо в ближайшее время, нет у нас не автономка все объединены в локалку. это все что я пока в этом знаю.

Arihon, я понимаю, что спрашиваю невозможное, но можно ли здесь обезличенно (затерев или не написав) конкретные названия, личные данные, привести полный перечень нарушений.

Понимаю, что у нас всё устроено также. Есть и бухгалтерия и отдел кадров и прочие документы, немного относящиеся к ДСП. Всё объединено в локалку, со всех мест есть интернет. Корпоративная почта на ПОЧТА.RU.

Что у нас не так?...

to 111
*в сторону* пожалуй, все не так, начиная с корпоративной почты (если она, конечно, не по дико продуманному договору с хостером в части политики ИБ)...
Если чуть более серьезно - посмотрите требования тех же 21 и 17 (ДСП же?) приказов ФСТЭК. Прикиньте класс/уровень защищенности ИС. И прикиньте, чем у вас это все закрыто/реализовано. А заодно пробегитесь по "бумажной части" (всякие Положения, приказы и проч. организационно-распорядительная документация). Ответ станет намного яснее...

Выдержка из постановления:
25 октября 2016 г. установлено что в нарушении п. 12 Требований №416/489 в администрации муниципального образования городской округ ............ :
1) определение угроз безопасности информации, формирование на их основе модели угроз Не выполнено
2) разработка на основе моделей угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации , предусмотренных для соответствующего класса информационных систем общего пользования Не выполнена.
3) проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации Не выполнено.
4) установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией Не выполнено
5) обучение лиц, использующих средства защиты информации информации, применяемые в информационной системе общего пользования, правилам работы с ними Не выполнено
6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним Не ведется
7) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, Не осуществляется.
8) описание системы их защиты Отсутствует
9) разбирательства и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информации системы общего пользования, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений Не проводились.

Эти нарушения нам выдвинула проверка от ФСБ России, с 2008 года в направлении защиты информации не каких действий администрация поселка не принимала вообще, нет даже банальной ежегодной отчетности.
Прошёлся по всей "бумаге" которая есть в нашей администрации, множество постановлений, приказов, распоряжений. Все дотированы 2008 годом, постановления пересылаемые нам с области оседали в неизвестной мне папке и удалялись в неизвестном же мне направлении, в итоге, я не имею абсолютно нечего и начинать приходиться все с 0. корпоративной почты у нас нет, нечто подобное только в приемной администрации, так у каждого сотрудника в обязательном порядке свой почтовый ящик.

У нас 11 отделов все используют персональные данные, ну плюс используют СУФД, СМЭВ, Бюджет-смарт Контур. Ну и все это в локалке. Считай все тоже самое.

Спасибо что откликнулись.

Arihon
В вашем случае речь о защите информации в информационной системе "общего пользования". Требования, по которым вам предъявляют претензии, изложены в Приказе ФСБ РФ N 416, ФСТЭК РФ N 489 от 31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования". Думаю, есть смысл начать с его изучения.

to Arihon
Начните с:
1. Классификации своей ИСПДн. В ходе классификации возможно разбить ее на сегменты и каждый сегмент (с меньшим уровнем защищенности) защитить отдельно (будет легче и дешевле).
2. Определения всех машинных ресурсов, хранящих, передающих и обрабатывающих (служащих как средство обработки) ПДн.
3. Определения всех сотрудников, которым доступ к ПДн необходим во имя исполнения служебных обязанностей.
4. Определения всех уже используемых СЗИ и/или СКЗИ. Если ФСБ приходила, то уже должна была указать, какие СКЗИ у вас используются в ненадлежащем виде и с невыполнением требований по их эксплуатации.

На базе собранной информации распишите условную Частную модель угроз. Лучше всего запросить шаблон или Общую модель у вышестоящей организации или другой муниципальной администрации, уже прошедшей подобную проверку. Только копировать ее не под шаблон, а разбираться в сути написанного (надеюсь, более-менее грамотно написанного). Также ознакомьтесь с Базовой моделью угроз и методикой определения актуальных угроз за 2008 г. ФСТЭК России.
Ознакомьтесь с требованиями ПП 1119 и Приказа 21 ФСТЭК. Посмотрите, какие из требований у вас выполняются, а какие нет. Подтяните соответствующие (или обоснуйте их неактуальность в Модели угроз).
Ознакомьтесь с требованиями Роскомнадзора в части сопроводительных бумаг. Положения, приказы, перечни и инструкции, которые должны быть у вас разработаны.
При условии наличия СКЗИ для защиты ПДн в вашей ИС - ознакомьтесь с 378 Приказом ФСБ России и методикой ФСБ России по ПДн за 2015 г.
Все указанные документы есть в открытом доступе в Сети.
После всего этого - внедряйте СЗИ/СКЗИ там, где необходимо (не защищено) и приглашайте организацию-лицензиата ФСБ/ФСТЭК для проведения контроля и выдачи экспертного заключения (можно и в форме Аттестата соответствия).

Или, если нет сил/желания/времени разбираться самостоятельно - просто объявляйте конкурс на работы по защите информации в части ПДн, составляйте ТЗ (примеров много в Сети, но опять-таки не следует работать под копирку) и "ждите в гости" лицензиатов. Повезет - все сделают как надо (и фактическую защиту, и бумаги). Не повезет - прикроют вас ворохом бумаг, явно расходящихся с реальностью, до следующей серьезной проверки...