нужна помощь - Форум по вопросам информационной безопасности

to Arihon
Добрый день.
В чем выразилось административное наказание? Если штраф, можете сказать сумму, хотя бы примерно?

Спасибо большое за советы и наставления я вам всем очень благодарен, если есть еще что то полезное, поделитесь будьте так добры.) Штраф на мера городского округа в размере 5 зарплат, точная сумму затерли на документах которые мне выдали.

Сдается мне, что Приказ 416/489 к Вам никакого отношения не имеет:

"Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации"

Обычный наезд ФСБ, при котором они, ссылаясь на приказ, наказывают тех, кто под этот приказ никаким боком не подпадает.
Причины бывают разные: неграмотный проверяющий, поступила команда вздрючить мэра, нужно выполнить план по проверкам и штрафам, и т.п.

По идее, вас должны были наказать за незащиту ПДн, но они защищаются совсем по другим документам. Проверяющему было лень вникать.

Напишите дурацкие бумажки, о которых указано в акте "проверки". А вот ПДн защитите, Вам тов. oko написал, что нужно сделать.

to Arihon
Здесь шаблоны ОРД по ИСПДн.
https://bezoblog.ru/wp-content/uploads/2016/05/%D0%9E%D0%A0%D0%94.zip

Оценил ссылку на шаблоны... как же много бумаги для розжига печи зимой... смысловая нагрузка в таком "комплекте" соответствующая...
Модель вообще убила - построена по принципу "побольше сферической формализации, чтобы никто это не читал" по всей видимости. Хотя стройность внутренняя есть, уязвимостей (опять-таки) слегка касаются, но, е-мое, как же много лишних нагромождений и, меж тем, отсутствие конкретики в итоговых выводах. Также порадовали ссылки на литературу, которая уже частично мертва (по совокупности факторов)...

to oko
А есть пример модели нормальной? Чтобы с конкретикой. Я без сарказма.

Именно бумажки очень любят наши регуляторы. Особенно в случаях, когда проверяющий не знает, что ему проверять. В примере, описанном топикстартером, это отлично видно. Был бы ворох бумажек - все было бы ОК, мне кажется.

to Вилли
Шаблонов как по ссылке выше нет. Поскольку для каждой ИС Модели сильно различаются (кроме случаев типовых подведомственных систем, и то не всегда). И вообще шаблоны и всяческая полновесная автоматизация разработки Модели - это плохо (DocShell тому подтверждение)...
Примеров хватает, но их надо обезличивать перед сливом в Сеть. Что повлечет за собой еще большую путаницу - объект-то совершенно не будет раскрыт и, следовательно, все выводы модели будут порождать у стороннего читателя такой обезличенной лабуды два извечных вопроса: "как?" и... мнэ... "зачем?".
Структура же типовой Модели легко расписывается как по нормативке 2008 (в части ПДн), так и по 2015 (не утвержденные методики от обоих регуляторов). Как говорится - выбирай на вкус...

to WORM
Это, увы, понятно. Скорее всего регулятор бы поставил "+" за наличие и даже трогать такой ворох бумаг бы не стал...
Но и обратная сторона медали тоже имеет место - иногда случается, что бумаг много, но "дерут" за полный крах фактической системы защиты. Особенно по явному факту успешного НСД...

Спасибо большое за советы и примеры.
Вопрос, как совместить организационные мероприятия и защиту от НСД на уровне, просто на мой взгляд улучшение одного влечет крах другой? Или это просто моя не опытность в этом вопросе сказывается?

to Arihon
Орг. мероприятия - это в первую голову учет и контроль, а уже потом подготовка бумаг на все случаи жизни. Банальный пример: контроль отсутствия посторонних лиц в кабинетах во время обработки информации ограниченного доступа. Или притча во языцех - запрет хранения паролей на бумажке, приклеенной к монитору.
Техн. мероприятия - это использование технических решений для ограничения действий сторонних лиц и штатных пользователей, а также много чего еще. И эти две группы мероприятий должны идти нога в ногу (использоваться комплексно), иначе толку не будет. Простейший пример: имеется кпп с ответственным дежурным, который не допускает сторонних лиц на территорию без сопровождения/согласования. Но также имеется и комплекс технических средств системы контроля доступа - те же proximity-считыватели карт на дверях помещений с э/м-замками. Надежность такой системы много выше, чем выделение одного рьяного, но очень ответственного сотрудника, который будет бегать по кабинетам и дергать всех незнакомых людей за рукав со словами "А вы, собственно, кто и по какому вопросу?" Хотя и такой метод на безрыбье допускается - лишь бы плоды приносил...
А бумажки... они не столько отдельно, сколько органично должны во всю эту структуру вписываться. И нужны в первую голову для надзора (как внутреннего - со стороны руководства организации и ответственных лиц, так и внешнего - со стороны регуляторов). Опять-таки простейший пример: ответственное лицо в некоем кабинете с ПЭВМ, предназначенной для работы с защищаемой информацией, обнаруживает подключенную к ней "черную коробочку" (под столом, ага). Поднимает "Технический паспорт", смотрит серийный номер и решает что делать. Может статься, что это не "коробочка", а самая что ни на есть "закладка" от конкурентов, решивших украсть эту самую защищаемую информацию. А, возможно, "коробочка" - это всего лишь носитель ключевой информации, предназначенный для работы лицензионной программы, установленной на ПЭВМ.

ЗЫ Примеры, конечно, не под ПДн особо. Но, надеюсь, наглядные и понятные.