ИСПДН - Форум по вопросам информационной безопасности

Здравствуйте!
Я только-только начал работать в сфере инф беза в небольшой организации, если не сложно, ответьте на пару моих вопросов.
1) У нас в организации есть пропускной режим т.е. каждый вход и выход сотрудника фиксируется на турникете, а позже выгружается из программы связанной с этим турникетом. Потом в виде отчета эти данные передаются директору. Вопрос: является ли программа, из которой выгружаются данные о сотрудниках ( Perco S20) информационной системой ПДн? Нужно ли утвердить ее как ИСПДн?
2) Так же у нас имеется программа Microsoft Ofice, которой мы активно пользуемся. Это программа версии 2010 года и скачена с какого-то левого сайта. Если придет проверка и обнаружит у нас такую версию Ofice – то нас поругают?
3) Так же на АРМ на которых обрабатываются ПДн нет Антивируса, за это тоже поругают? Обязаны ли мы устанавливать антивирус на свои АРМ?
4) У нас в организации есть 2 ИСПДН. 1.Бухгалтерский и кадровый учет, в состав которой входит программный комплекс 1С.
2. Медицинская программа(она не так называется, но это не важно). Из этих ИС данные выгружаются для печати в Microsoft Ofice, но Ofice не включен в программный комплекс входящий в состав ИСПДН . это ошибка?
Для вас вопросы скорее всего покажутся глупыми, но в любом случае буду благодарен, если ответите

to Фронкс:

1) Сами по себе турникет или программа выгрузки данных не являются ИСПДн. Если, например, объединить в одну систему турникет с автоматизированным рабочим местом, на которым обрабатываются персональные данные с турникета и формируются отчеты для руководителя, то с такая система может быть ИСПДн.
2) В этом случае если и поругают, то нарушение авторских прав. ФСТЭК и ФСБ не уполномочены проверять авторские права на ПО в ИСПДн. И ещё дополнительно: никакое программное обеспечение само по себе не является ИСПДн.
3) Меры антивирусной защиты в ИСПДн предусмотрены для всех 4-х уровней защищенности ПДн (см. Состав и содержание мер, утв. приказом ФСТЭК от 18.02.2013 № 21).
4) В чем именно был здесь вопрос?
2. Смотря где установлены медицинская программа и MS Office: в ИСПДн или в разных ИСПДн? Если в одной ИСПДн, то получается, что MS Office просто не отражён в составе системы. Если ничего не мешает его туда включить, то включите и проблема уйдет. Если медицинская программа и MS Office установлены в разных информационных системах, тогда имеет место быть передача ПДн из одной системы в другую. Для дальнейшего обсуждения тут нужна конкретика.

Спасибо за ответ.
но, т.к. я не

1)Данные о проходе сотрудников через турникет, передаются на мой компьютер( База данных Perco S-20, в который выгружаются данные с турникета, находится на моем компьютере). Далее я выгружаю эти данные с помощью Microsoft Word на компьютер и печатаю их. потом данные передаются руководителю и он проверяет, кто когда пришел и т.д.
вопрос: Обязательно ли утверждать это как ИСПДН? вообще нужно как-то эту программу учитывать?
4) "в чем здесь был вопрос" я просто перечислил две Информационные системы и хотел узнать, ошибка ли не включать туда Microsoft Office. Насколько я понял, сотрудник который был до меня, не включал это программу в ИСПДн т.к. она была не лицензирована, а руководство не выделяло деньги на покупку платной версии. Теперь, как я понял, нет проблем в том, что она не лицензирована и я могу ее включать во все Информационные системы.

******
но т.к. я пока слабо разбираюсь во всем этом, есть пару уточнений.

*******

to Фронкс:

> вопрос: Обязательно ли утверждать это как ИСПДН?
В силу фактической обработки ПДн нужно и создавать ИСПДн и защищать ПДн в соответствии с законодательством о персональных данных. Обратите внимание, что в состав ИСПДн следует включить то, посредством чего организована передача данных между турникетом и Вашим компьютером.
Турникет и Ваш компьютер могут уже входить в состав какой-то созданной информационной системы в организации. Если такая в этой системе предусмотрена обработка ПДн и требования по их защите, то можно не создавать отдельную ИСПДн, а использовать ее (скорректировав документацию по ней в случае необходимости).

> вообще нужно как-то эту программу учитывать?
Наверное зависит от вида и цели учета. Если речь идёт про бухгалтерский учет, то здесь будет зависеть от учетной политики на предприятии. Если речь идёт про отражение программы в технической и организационно-распорядительной документации , то это будет зависеть от состава проектной, рабочей и эксплуатационной документации и локальных нормативных актов в организации. При паспортизации системы сведения об используемом программном обеспечении указываются.

Прошу посмотреть вопросы и ответы и оценить правильность и полноту ответов.

1. Обязательна ли аттестация для ИСПДн? Почему?
Аттестация для ИСПДн обязательна.
В соответствии с Федеральным законом №152 «О персональных данных», статьи 18,1 и 19, аттестация ИСПДн обязательна для юридических лиц, индивидуальных предпринимателей и физических лиц, обрабатывающих персональные данные.
Федеральный закон №152 «О персональных данных», статьи 18,1 и 19, требуют от оператора выполнение требований закона. А именно, защиты и аттестации систем.

2. Какой на ваш взгляд правильный порядок разработки следующих документов
1) Модель угроз.
Необходимость разработки модели угроз регламентирована рядом нормативных документов. Например статья 19 закона №152-ФЗ «О персональных данных».
Первоначально необходимо определить:
1- описание информационной системы;
2 - структурно-функциональные характеристики;
3 - описание угроз безопасности информации;
4 - модель нарушителя;
5 - возможные уязвимости информационной системы;
6 - способы реализации угроз;
7- последствия от нарушения свойств безопасности информации;

2) Техническое задание на создание системы защиты персональных данных.
Для исключения возможности несанкционированного доступа к информации, обрабатываемой в системе оператора, приведения к соответствию процессов обеспечения безопасности защиты информации требованиям законодательства Российской Федерации, а также методических документов ФСТЭК России и ФСБ России. Документ должен учитывать перечень актуальных угроз безопасности информации Модели угроз системы заказчика.

3) Технический проект на создание системы защиты персональных данных.
Является завершающей стадией проектирования системы защиты информации. В документе описываются конкретные организационные и технические мероприятия, которые необходимо осуществить для той или иной меры из окончательного списка мер технического задания.

3. При разработке Технического задания на систему защиты персональных данных какими нормативными документами вы бы руководствовались?
Руководствуясь:
1 - ПП-1119
2 - Приказ ФСТЭК №21
3 - Приказ ФСТЭК №17
4 - Приказ ФСБ №378

4. При разработке Модели угроз для информационной системы персональных данных какими нормативными документами вы бы руководствовались?
Руководствуясь:
1 - Федеральный закон №152 «О персональных данных» п.1 п.2 ст.19
2 - ПП-1119
3 - Приказ ФСТЭК №21
4 - Приказ ФСТЭК №17
5 - Приказ ФСБ №378
6 - «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК)»
7 - «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (ФСТЭК)»



5. При разработке Технического проекта на создание системы защиты персональных данных какими нормативными документами вы бы руководствовались?
1 - Федеральный закон №152 «О персональных данных»
2 - Приказ ФСТЭК №21
3 - Приказ ФСТЭК №17
4 - ПП-1119
5 - Приказ ФСБ №378

6. Опишите как бы вы рекомендовали потенциальному клиенту выполнить меру защиты ЗИС.3 «Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи»
Требования к реализации ЗИС.3: Оператором должна быть обеспечена защита
информации от раскрытия, модификации и навязывания (ввода ложной информации)
при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за
пределы контролируемой зоны.
Защита информации обеспечивается путем защиты каналов связи от
несанкционированного физического доступа (подключения) к ним и (или) применения в
соответствии с законодательством Российской Федерации средств криптографической
защиты информации или иными методами.

Требования защиты ЗИС.3 (Эшелонированная защита информационной автоматизированной системы) имеет смешанный тип.
Способы реализации:
1 - рекомендуемые: Организационные меры.
2 - возможные: Средства обнаружения/предотвращения вторжений / обнаружения атак (СОВ/СПВ/СОА), межсетевые экраны (МЭ).
Для реализации возможно применение некоторых продуктов:
InfoWatch ARMA (Firewall, Endpoint, Management)


7. Необходимо ли применять в обязательном порядке для ИСПДн сертифицированные средства защиты?
Приказ ФСТЭК №21 п.4 «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
В формулировке нет требования использования сертифицированных СЗИ. Т.к. Форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор м

*в сторону*
Нихрена себе социологи / кадровики (от модного "HR" откровенно тошнит) / лентяи нетрудоустроенные / иные странные личности обалдели. Видать здорово недавние изменения 152-ФЗ на страну повлияли, ага...

to sangraf:

Какой-то социологический опросник с далеко не самыми корректными формулировками. Да ещё, видимо, и полностью скопированными (судя по оборванному предложению в конце). Выражу несколько мыслей по заданным вопросам.

По пункту (1):
Уточните, пожалуйста, какая именно формулировка из п.п. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ говорит обязательности проведения аттестации ИСПДн? Если это п. 4 ч. 2 ст. 19, то закон не говорит, что оценка эффективности принимаемых мер по обеспечению персональных данных должна проводиться именно в форме аттестации. Может в отношении рассматриваемой Вами ИСПДн имеются принятые ведомственные или локальные нормативные акты, предусматривающие их аттестацию? Встречал, когда такое требование к своим ИСПДн предъявляли органы государственной власти и местного самоуправления. Но речь ведь именно про п.п. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ.

По пункту (2):
Видится не корректным рассмотрение порядка разработки документов в отрыве от стадий создания АС/ИС (включая ИСПДн) и этапов проводимых работ. Документы разрабатываются не сами по себе. Они связаны со стадиями создания системы и отражают результаты этапов выполняемых работ. Примерами такой связи служат наиболее часто используемые стандарты: ГОСТ Р 59793 (ранее 34.601) и ГОСТ Р 51583. Для определения видов и комплектности разрабатываемых документов, как правило, применяют ГОСТ 34.201 и ГОСТ Р 59795 (ранее РД 50-34.698-90).
Указанные стандарты для ИСПДн носят рекомендательный характер. Стадии / этапы и состав разрабатываемых документов задаются для каждой такой системы (например, в техническом задании на создание или модернизацию ИСПДн / системы защиты ИСПДн).
Для разработки Модели угроз в основном применяется Методика оценки УБИ, утв. ФСТЭК России от 05.02.2021, и методические рекомендации, утв. ФСБ России от 31.03.2015 № 149/7/2/6-432. Модель угроз и ТЗ на создание системы защиты ИСПДн относятся к документам формирования требований к защите информации. Нейтрализация актуальных угроз осуществляется мерами по обеспечению безопасности ПДн, а не требованиями в ТЗ. Эти меры выбираются в ходе проектирования и применяются на последующих стадиях ИСПДн. Пункт 8.13 "Состава и содержания мер...", утв. приказом ФСТЭК России от 18.02.2021 № 21, для этого оперирует понятием "проектные решения".
Если рассматриваемый Вами технический проект включает в себя рабочую документацию, то такой проект будет завершать проектирование системы защиты ИСПДн. Т.к. допускается объединять стадии технического проекта и рабочей документации в в одну стадию технорабочего проекта (см. п. 4.2 ГОСТ Р 59793). Общее наименование итогового комплекта проектной документации может быть называться техническим проектом.

По пунктам (3)-(5):
Формально законодательство не запрещает использовать в ходе создания системы защиты ИСПДн все приведенные Вами нормативные документы. Но некоторые документы в этом случае будут избыточны. Например, приказ ФСТЭК России от 11.02.2013 № 17 или Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн от 14.02.2008. Тем более, что последний документ был отменен с вводом Методики оценки УБИ от 05.02.2021 (см. п. 1.8 данной Методики).
Но если все они помогают Вам в разработке документации и приносят пользу в обеспечении безопасности персональных данных в ИСПДн, то почему бы их все и не использовать... В конце концов оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения своих обязанностей, предусмотренных Федеральным законом "О персональных данных" (см. ч. 1 ст. 18.1 закона).

По пункту (6):
Формально описание меры ЗИС.03 в "Составе и содержании мер...", утв. приказом ФСТЭК России от 18.02.2013 № 21, ничего про "эшелонированность" не говорит. Как в прочем и во всем документе сей термин не используется. Поэтому без отвлечения на него можно сказать так, что в ходе определения базового набора мер по обеспечению безопасности персональных данных, его адаптации, уточнения и дополнения или при разработке компенсирующих мер (в случае их необходимости) вполне может быть выбрано решение с продуктами компании InfoWatch. В том числе указанный InfoWatch ARMA (Firewall, Endpoint, Management).

По пункту (7):
Именно из-за отсутствия слова "сертифицированных" тема обсуждения использования средств защиты в ИСПДн является "заезженной" уже много лет. И это касается не только формулировки пункта 4 "Состава и содержания мер...", утв. приказом ФСТЭК России от 18.02.2013 № 21, но и схожих формулировок в п. 3 ч. 2 ст. 19 Федерального закона от 27 июля 2006 № 152, п .13 (г) Требований, утв. постановлением Правительства РФ от 01.11.2012 № 1119, и п 5 (г) "Состава и содержания орг и тех мер...", утв. приказом ФСБ России от 10.07.2014 № 378.