Каталог средств ЗИ
Весь каталог

Реклама
Коллегия адвокатов ваш адвокат новосибирск.

deHack.ru » О персональных данных » Персональные данные - практика!

Персональные данные - практика!



В данной статье хотелось бы поподробнее осветить весь процесс аудита и аттестации информационных систем персональных данных (ИСПДн), - а как оно на практике?


Имея более пяти лет опыта работы в этой сфере, могу сказать, что на практике приходится выкручиваться как угодно, но опять же в рамках закона.


В общих чертах: аудит и аттестация похожи, но аудит требует больше бумажной работы, чем аттестация. Однако после аттестации Вы получаете Аттестат соответствия, а по окончании аудита - только рекомендации или не имеющее юридической силы свидетельство. Поэтому в статье некоторые моменты будут отнесены как к аудиту, так и к аттестации.


И еще! Данная статья предназначена не для специалистов по защите информации (хотя, и им может быть интересна), а для обычных сотрудников обычной фирмы, которым пришлось (или придется) столкнуться с реалиями информационной безопасности.

Итак, начнем!

Представим, что вам позвонила некая организация, желающая провести аудит (или аттестацию) информационной безопасности своей ИСПДн. Или же вы сами позвонили в организацию с намерением провести аудит (аттестацию) своей ИСПДн.


С государственными структурами всё ясно – их обязуют аттестовать свои ИСПДн. Это прописано в специальных требованиях и рекомендациях по защите конфиденциальной информации (СТР-К). Кто-то может подумать: «А причем тут СТР-К?». Дело в том, что СТР-К прописывает требования к автоматизированным системам (АС). А ИСПДн – не что иное, как АС, просто в ней обрабатываются персональные данные (ПДн).


Все коммерческие организации, зачастую стараются как можно меньше потратить средств на защиту своих ИСПДн. Всё верно, ведь нужно “толкать” бизнес, развивать его, на пустую подстраховку нет желания выделять средства… Но защита Ваших собственных интересов, разработок и коммерчески ценной информации в целом тоже является продвижением бизнеса! Это страховка на тот случай, если кто-то захочет получить тот секрет, при помощи которого ваша организация существует и зарабатывает деньги.


Кто-то скажет, что безопасность, такая, какой её видит грамотный специалист по информационной безопасности, не нужна и слишком дорого обходится, и что достаточно все бумажки положить в сейф. Но вы же не станете сами сидеть в этом сейфе, в котором, спрятавшись от всех внешних угроз, сможете спокойно работать? Вы используете множество средств связи и коммуникации, допускаете к своим тайнам посторонних, по сути, людей (работников собственной организации). Считаете, что они не посторонние? Давайте разберемся… Сотовая связь и коммуникации, - от этого всегда можно защититься при наличии головы на плечах и, если необходимо, денег. Защита от утечки по техническим каналам возможна. Но как быть с людьми, которые на вас работают? Человеческий фактор присутствовал всегда. Это подверженность настроениям, желаниям, эмоциям и чувствам. На сегодняшний день общество имеет тенденцию к эгоизму, причем более всего это заметно в больших городах с большими деньгами. Человек сначала хочет золотые горы, а уже потом будет работать, этакий отголосок жадности. Плюс ко всему, сейчас мало кого волнуют межличностные отношения, и не редко сотрудники идут по головам своих коллег для того, чтобы получить лучшее рабочее место с более высокой зарплатой. Всё это не придает никакой уверенности в том, что ваш, например, бухгалтер не уйдет к вашему же конкуренту на более высокий оклад и при этом не сдаст вас с потрохами. Поэтому защищать информацию нужно, как от внешних угроз так, и от внутренних.

Но вернемся к нашей ситуации. Вам позвонила организация, которая хочет, чтобы Вы провели аудит (или аттестацию) информационной безопасности.

С точки зрения Исполнителя всё просто. Для работы вам необходимо получить от Заказчика необходимые сведения о его организации. В идеале это:
• Техническое задание (ТЗ) на объект информатизации (ОИ; объектом информатизации может являться АС, а следовательно, и ИСПДн). Самое обыкновенное техническое задание с описанием того, чего Заказчик ждёт от Исполнителя.
• Технический паспорт на ОИ. Этот документ должен описывать техническую сторону ИСПДн: сколько рабочих мест, серийные номера компьютерной техники, их месторасположение в кабинетах (схемы, планы помещений) и др.
• Приемо-сдаточная документация на ОИ. Сюда можно отнести протоколы заземления, установки охранной и пожарной сигнализации и т.д.
• Акт классификации автоматизированной системы (АС).
• Состав технических и программных средств, входящих в состав АС. В данном документе указываются программные и технические средства обработки информации (программное обеспечение, используемое на рабочих местах, сетевое оборудование: маршрутизаторы, коммутаторы и т.д.).
• Планы размещения основных технических средств и систем (ОТСС) и вспомогательных технических средств и систем (ВТСС). То есть план помещения с указанием на нем расположения рабочих станций, непосредственно участвующих в обработке ПДн, и технических средств, не задействованных в этом процессе, но находящихся в этом же помещении.
• Состав и схемы размещения средств защиты информации (СЗИ). Описание того, какие активные средства защиты информации используются в Вашей организации (генераторы электромагнитного шума, например).
• План контролируемой зоны (КЗ) предприятия. То есть подведомственной вашей организации территории.
• Схемы и характеристики линий передачи данных (ЛВС), охранно-пожарной системы, телефонной линии, электропитания и заземления ОИ. Данную информацию можно получить у электриков.
• Перечень защищаемых в АС ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса. Грубо говоря, Компьютер №1, D:Пользователь1; Компьютер №2, D:Пользователь1 и так далее.
• Организационно - распорядительная документация разрешительной степени доступа персонала к защищаемым ресурсам АС. То есть список лиц, имеющих допуск к ИСПДн, а значит, и к ПДн, обрабатываемым в вашей организации.
• Описание технологического процесса обработки информации в АС. В этом документе описываются все процессы и этапы обработки информации, от момента сбора (получения) информации до момента ее уничтожения (помещения в архив).
• Инструкции пользователям АС и администратору безопасности информации.
• Инструкции по эксплуатации СЗИ.
• Сертификаты соответствия требованиям по безопасности информации на средства и системы обработки и передачи информации, используемые СЗИ. То есть если у вас государственная организация, и вам положено аттестовывать ИСПДн, вы можете использовать только те СЗИ (генераторы шума, системы защиты от несанкционированного доступа), которые имеют сертификат соответствия ФСТЭК России.
• Данные по уровню подготовки кадров, обеспечивающих ЗИ. То есть, информация о курсах повышения квалификации или прохождении какого-либо обучения в области защиты информации. Если такого не было, ничего страшного, но лучше всё же пройти обучение, чтобы понимать, чем вы занимаетесь.

Но с точки зрения исполнителя такая работа слишком объёмна! Часто Заказчику приходится ходить к комендантам (если здание, в котором расположена организация, арендуемое), общаться с электриками, системными администраторами. Некоторые документы у Заказчика должны быть, но... как показывает практика, их не бывает! Поэтому Исполнитель добавляет в договор такой раздел, как «Разработка организационно-распорядительной и технической документации», что оборачивается для Заказчика дополнительными затратами денежных средств.


Поэтому, если в вашей организации будет иметься хотя бы что-то из того, что написано выше, это уже заметно облегчит работу обеим сторонам и поможет снизить затраты.

Далее: предварительное обследование объекта.
Бывает так, что до предоставления Заказчиком исходных данных описанных выше, Исполнитель не принимается за работу. А бывает так, что до предоставления исходных данных Исполнитель уже выезжает к Заказчику, чтобы на месте выяснить все нюансы работы, обсудить документы, которые нужно доделать, и получить дополнительную исходную информацию, которую Заказчик должен предоставить Исполнителю для работы. В целом ничего предосудительного в этом нет, такой вариант, напротив, ускоряет процесс аудита (аттестации). Но для заказчика это оборачивается тем, что все необходимые сведения приходится искать второпях, и часто бывает так, что того или иного должностного лица, имеющего необходимую информацию, просто нет на месте. В итоге процесс затягивается.


Правильнее было бы Заказчику осведомиться у Исполнителя о требованиях, которые необходимо выполнить перед аудитом (аттестацией), до того как Исполнитель прибудет с предварительным обследованием. Иногда Исполнитель, приехав на объект, замечает, что проводка электропитания выполнена ненадлежащим образом (не в металлорукаве), что нет охранной сигнализации или охранная сигнализация выполнена таким образом, что передача информации между извещателем и контрольной панелью осуществляется по радиоканалу. В целом, это не страшно, но если Вам предписано использовать генератор электромагнитного шума (нужно или нет, можно узнать у Исполнителя по телефону еще до заключения договора и предварительного обследования), то про радиоканал можно забыть, потому как генератор шума перекроет канал передачи, по которому сообщается контрольная панель и извещатель. Всё это работает при условии, что извещатель постоянно сообщается с контрольной панелью. Поэтому при проведении аудита (аттестации) важно сообщить Исполнителю все нюансы работы тех или иных систем.


В помещении обязательно должны быть пожарные извещатели. Желательно, чтобы было как можно меньше техники, не относящейся к основным техническим средствам и системам, которые непосредственно используются при обработке информации.


О генераторах шума: бывает, что пользователи, которым предписано включать во время работы генераторы шума, не делают этого, опасаясь пагубного воздействия генераторов на здоровье. Могу сказать лишь то, что у генератора шума должно быть заключение Минздрава РФ, подтверждающее его безопасность. Выбирайте внимательнее!

Итак, вы заключили договор, обменялись информацией для работы (исходными данными), далее следует сам процесс аудита (аттестации).
Разведём понятия: процесс аудита заключается в тщательном анализе всей информационной системы организации, всех процессов обработки информации. Важно понимать и знать, как информация попадает в ИСПДн, как осуществляется обработка, какие циклы проходит эта информация до направления на уничтожение или в архивное дело. Основное отличие аудита от аттестации в том, что по окончании аудита вы получаете большой пакет документации на Вашу ИСПДн, а по окончании аттестации – меньше документов (которые, тем не менее, необходимы) и Аттестат соответствия, дающий вам право заниматься обработкой информации.


При аттестации к вам приедут специалисты органа по аттестации с незнакомыми широкому кругу лиц приборами: комплект приёмных антен, анализатор спектра, токосъемник, пробник напряжени и т.д.

Приемная антенна с диапазоном 0,5 ГГц - 7,5 ГГц

Приемная антенна с диапазоном 9 КГц - 20 МГц

Приемная антенна с диапазоном 200 МГц - 500 МГц

Анализатор спектра с диапазоном от 100 кГц до 18 ГГц

Пробник напряжения

Токосъемник напряжение

Генератор ВЧ сигналов

Установят на Ваше автоматизированное рабочее место (АРМ) специальную тест-программу, которая будет формировать информативный сигнал на экране монитора (внешне выглядит как рябь на телевизоре), после чего при помощи анализатора спектра и приемных антен различного диапазона будут искать частоты, на которых Ваш монитор излучает информативный сигнал. Так же будут искать наводки информативного сигнала в сети электропитания, телефоннной линии и трубах системы отопления. Кроме того, установят программное средство – систему защиты информации от несанкционированного доступа (СЗИ от НСД). Настроят нужным образом, чтобы Пользователь № 1 не имел доступа к папке Пользователя № 2. В целом, доступ пользователей к ресурсам АРМ настраивается так, как удобно Заказчику, но по согласованию с Исполнителем. Бывает, что СЗИ от НСД настолько усложняет работу пользователя, что приходится не один раз рассказывать, куда нажимать и в какой последовательности. Особенно это затрудняет работу пользователей предпенсионного возраста, чьё и без того непростое «общение» с этой «умной машиной» осложняется запоминанием ряда новых обязательных требований. Но иначе нельзя.


После всего этого специалисты органа по аттестации составляют протоколы, пишут заключения и, если всё хорошо, выдают организации Аттестат соответствия. В принципе, если выполнены все требования Исполнителя по организации рабочих мест, электропитания и т.д., то Аттестат вы все равно получите. Но если, например, излучение вашего монитора превышает норму, вас попросят установить генератор шума, что и решит проблему.

Контроль! Обязательно нужно контролировать объекты информатизации, потому что пользователи, по неосторожности или злому умыслу, могут «снести» СЗИ от НСД, настроить ее как им нужно, или переставить АРМ поближе к окну... В общем, вот перечень наиболее распространенных нарушений:
• Изменение расположения защищенного объекта. Нельзя (!!!) передвигать/переносить/переставлять аттестованый объект. При аттестации замеры проводятся с учётом всех условий расположения АРМ в помещении, его удаленности от труб системы отопления (на них наводится информативный сигнал), телефонной линии и просто от стены, за которой сидит другая, неподведомственная Вам организация. Поэтому при любой перестановке придется заново делать замеры и рассчеты, составлять протоколы и заключения, что требует финансовых затрат.
• Неверная настройка СЗИ от НСД.
• Наличие на АРМ программного обеспечения, не относящегося к служебным обязанностям сотрудника.
• Неизмененные пароли доступа пользователей. Часто после настройки СЗИ от НСД, специалист органа по аттестации ставит простые пароли пользователям (111111 или 222222 и т.п.), которые впоследствии дожны быть изменены. Но их не меняют.

По сути, любые изменения должны согласовываться с органом по аттестации, или, в случае аудита, с организацией, проводившей аудит. Но в последнем случае это не так критично.


Компании, занимающиеся аудитом информационной безопасности, помогают вашей организации грамотно подготовить документы, которые необходимы для обработки конфиденциальной информации (в данном случае – ПДн).


Как-то меня спросили: «А готова ли ваша организация в случае, если документы не удовлетворят контролирующий орган, нести ответственность, вплоть до лишения лицензий?» Господа! Лицензий на проведение аудита информаицонной безопасности не нужно! Аудитом занимаются люди, имеющие опыт в области информационной безопасности, готовые помоч Вашей организации привести себя в порядок, на коммерческой основе. И ответственность компания-аудитор будет нести только в рамках договора, который заключен между вами.


А вот органы по аттестации действительно отвечают лицензией. Потому как если они выполнят свою работу халатно, контролирующий орган может присвоить им нарушение одной из трех категорий и лишить лицензии.

Иногда современная защита информации может доходить до абсурда. «Менять компьютерную мышку по согласованию с вами?» - «Да! Именно так!».

Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе