Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
[ Закрыто ] Самостоятельная реализация соответствия ФЗ-152
Коллеги, добрый день.
Встал вопрос по защите данных в соответствии с ФЗ-152.

Насколько я понимаю, мы можем это выполнить своими силами. Для этого, руководствуясь различными законами, положениями и прочей нормативной базой мы должны разработать и определить:
1. Общий порядок по обработке данных. К какому классу они относятся.
2. Подготовить документ, описывающий обработку перснональных данных.
3. Определить круг лиц, имеющих право на обработку ПДн.
4. Перечень возможных угроз ИБ при обработке персональных данных и методы борьбы с ними.
5. Определить требования к защите информации содержащей ПДн на бумажных и физических носителях. В каких помещениях храним, кто имеет доступ.
6. Состав ИС систем в которых обрабатываются ПДн, отнесение их к нужному классу, проработку угроз.
7. Реализация защиты ИС от НСД. Установка спец. средств.
8. Проведение внутренних испытаний. Ввод принятие комплекса мер к эксплуатации в компании.
9. Аттестация системы.

Прошу подсказать по следующим вопросам:
1. Правильно ли я понял подход к аттестации?
2. Мы можем это сдлелать сами?
3. Выдвигаются какие-либо дополнительные требования к установке от СЗИ.
4. Как проходить фактическую аттестацию системы.

Заранее благодарен за вашу помощь
Своими силами выполнить можно.
В целом порядок правильный.
Замечания.
1. Пункты 1 и 6 можно объединить.
2. Классов персональных данных нет, есть уровни защищенности.
3. Закончить можно пунктом 8, сформулировав "оценка эффективности принятых мер защиты ПДн".
4. Аттестация ИСПДн не обязательна (за исключением случая, если ИСПДн имеет статус ГИС (государственная информационная система).
AlexG, спасибо Вам за ответ.

По теме остались и возникли еще следующие вопросы:

1. Если прохождение аттестации не обязательно, то определение соответствия системы требованиям ФЗ мы определяем сами? На основании внутренних испытаний и ввода ее в эксплуатацию?
2. В любом случае, независимо от того, является ли наша система ГИС или нет (в нашем случае не является), мы должны уведомить уполномоченный орган об обработке ПДн.
3. Насколько я понимаю, возможны плановые проверки. В этом случае, факт ввода в действие подтверждается нашими внутренними актами, а сами ревизоры проверяют уже насколько мы это хорошо реализовали?
4. Объем документации. Я видел весь состав, он достаточно большой. У нас обрабатывается маленький объем ПДн. Хватит ли нам документов в следующем составе:
- Уведомление об обработке персональных данных
- Приказ «Об утверждении формы согласия на обработку ПДн»
- Согласие в письменной форме субъекта персональных данных на обработку его персональных данных
- Приказ «Об утверждении Положения об обработке ПДн»
- Положение по обработке ПДн
- Приказ «Oб утверждении журнала учёта средств защиты информации»
- Журнал учёта средств защиты информации
- Протокол заседания по определению класса ИСПДн
- Акт классификации ИСПДн
- Приказ «O назначении сотрудника/подразделения, ответственного за осуществление мероприятий по защите информации»
- Приказ «O допуске сотрудников к обработке ПДн»
- Приказ «Oб утверждении регламента проведения внутренних проверок соблюдения правил защиты информации»
- Регламент проведение внутренних проверок соблюдения правил защиты информации
- План проведения внутренних проверок соблюдения правил защиты информации
- Приказ «Oб утверждении инструкции по резервному копированию»
- Инструкция по резервному копированию
- Приказ «Oб утверждении частной модели угроз безопасности ПДн в ИСПДн»
- Частная модель угроз безопасности ПДн в ИСПДн
- Приказ «O вводе системы защиты информации в эксплуатация»
- Техническое задание на создание СЗИ
- Описание системы защиты информации
- Заключение о готовности к эксплуатации системы защиты информации
- Приказ «Oб утверждении журнала учета носителей информации, содержащих защищаемую информацию»
- Журнал регистрации носителей информации
- Технический паспорт (перечень ОТСС организации, перечень ВТСС организации, перечень используемого ПО, список помещений для хранения и обработки ПДн; список мест хранения ПДн в ИСПДн; список сейфов и других мест хранения Пдн; схема ЛВС; схема ОПС; схема сетей электропитания и заземления)»
- Приказ «Oб утверждении инструкции пользователя ИСПДн»
- Инструкция пользователя ИСПДн
- Приказ «Oб утверждении инструкции администратора ИСПДн»
- Инструкция администратора ИСПДн
- Приказ «Oб утверждении инструкции по антивирусному контролю»
- Инструкция по антивирусному контролю
- Приказ «Oб утверждении мест хранения и обработки ПДн»
Приложения: Список помещений для хранения и обработки ПДн; Список мест хранения ПДн в ИСПДн; Список сейфов и других мест хранения Пдн; Допуск сотрудников в защищаемые помещения
- Приказ «Oб утверждении списка лиц, допущенных к работе с СКЗИ»
- Акт ввода СКЗИ в эксплуатацию
- Модель угроз безопасности информации (по методикам ФСБ)
5. Если список документов можно сократить, то подскажите, пожалуйста, как его можно было бы минимизировать.
6. Можем ли мы сами установить СКЗИ и ввести его в действия, не имея лицензий, но умея это делать. Работы будем делать для себя.
7. Нужен ли какой-то внутренний акт, что мы себя считаем аттестованными для обработки ПДн? Если ли его какие-нибудь формы и шаблоны.
8. Нужно ли помимо приказов, закрывать работы по защите ИСПДн протоколами внутренних испытаний?

Заранее, Огромное спасибо!
1. Закон 152-ФЗ требует оценить эффективность мер защиты ПДн. В какой форме не указано, а согласно закона "О технич. регулировании" оценку можно провести в форме испытаний (своей комиссией) либо в форме приемки (в эксплуатацию). Выбор за вами.
2. Уведомление в РКН подавать надо, правда, в законе есть исключения (когда можно не подавать, кажется, статья 22). Нужно четко понимать, попадаете вы под исключения или нет, при проверке придется доказывать.
3. Да.
4., 5. Документов многовато, можно сократить. К сожалению, времени на подробный анализ нет.
Вместо акта классификации - Акт установления уровня защищенности (см. остан. Прав-ва 1119). Протокол заседания по определению класса и приказ об утверждении модели угроз я бы точно выкинул, чушь какая-то. Хотя регуляторы любят бумажки :)
6. По идее, установка СКЗИ является лицензируемым видом деятельности (Постановление 313). ФСБ косо смотрит на установку без лицензии. Кое-кто устанавливает себе сам, но большинство обращаются к лицензиатам.
7. См. пункт 1. Это может быть Акт испытаний системы защиты ПДн (вашей комиссией), либо Заключение об эффективности защиты ПДн, либо еще что-то...
8. Не помешают, тогда и Акт испытаний будет более обоснованным. Но не обязательно, т.к. нигде об этом прямо не указано.
Страницы: 1
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)