Проблема №1. Введение клиента в заблуждение Вранье
Тут, наверное, сразу стоит начать с примеров.
На одном из сайтов на первой же странице написано, что максимальный штраф за нарушение правил обработки персональных данных — 300 000 рублей. Это неправда. На данный момент статья КоАП РФ 13.11 предусматривает максимальный штраф для юридических лиц — 10 тысяч рублей. Тут, видимо, речь идет о законопроекте № 683952-6, который предусматривает расширение статьи 13.11 КоАП и действительно увеличивает максимальный штраф до 300 000 рублей, но законопроект как прошел первое чтение осенью прошлого года, так и подвис. И будет ли принят окончательно — неизвестно. Вывод: авторы сайта либо не в курсе ситуации, либо намеренно пытаются эксплуатировать чувство страха перед огромными штрафами, что тоже не есть хорошо.
Второй пример: другой сервис торжественно обещает успешное прохождение любой проверки любых контролирующих органов в сфере защиты персональных данных с их документами. Во-первых, сервис не генерирует такой важный документ как «Модель угроз», который требует показать даже Роскомнадзор и без его наличия успешно не пройти даже документарную проверку. Во-вторых, ФСТЭК и ФСБ проверяют далеко не только бумажки. В-третьих, я уже писал в своей старой статье о том, что в некоторых регионах (не во всех) действует палочная система и успешно пройти проверку не представляется возможным, как бы качественно мы к ней ни готовились.
Проблема № 2. Отсутствие индивидуализации
Само собой, практически все сервисы по подготовке комплекта документов вам расскажут о гибкой персонализации комплекта документов сугубо под вас, но это утверждение вполне можно было бы привести как третий пример проблемы № 1.
Честно говоря, в свое время сам написал на Java подобный «заполнятор» шаблонов, но в работе как-то не прижилось, максимум что можно сделать это автоматом вписать название организации и прочие часто повторяющиеся вещи в документах. И вот почему — если цель стоит написать качественную документацию, то ее придется писать руками с учетом всех особенностей как бизнес-процессов организации, так и особенностей IT-платформы, на которой построена информационная система персональных данных. У меня на работе, как правило, именно такая задача, а кому нужно «отмазаться от проверки» мы даем приведенный ниже комплект шаблонов. Бесплатно. Но здесь нужно помнить, что регуляторы тоже не стоят на месте и пройти проверку с набором шаблонных, не адаптированных документов семилетней давности становится все сложнее и сложнее.
Поясню, почему при разработке полноценного и полезного комплекта документов «заполняторы» шаблонов не помогут. Возьмем, например, важный и полезный документ «Инструкция администратора безопасности». Конечно, когда документ делается для галочки, в нем пишется много воды и совсем немного конкретики. В случае, если мы делаем полноценный документ, нам необходимо описать все обязанности и действия администратора безопасности в зависимости от условий функционирования информационной системы персональных данных. И тут оказывается, что на содержание документа влияет огромное количество факторов:
— используется ли виртуализация?
— используются мобильные средства?
— резервное копирование, какими средствами оно производится, с какой периодичностью, где хранятся резервные копии?
— и т.д. и т.п.
Конечно, можно попробовать все это учесть и в шаблоне, но тогда пользователям сервисов придется собирать и вводить огромное количество количество данных, что противоречит принципу «просто и легко, только платите деньги».
Все что может сносно сделать «заполнятор» шаблонов это различные приказы о назначении ответственных лиц или каких-либо комиссий. Как только начинаются вопросы, связанные с бизнес-процессами или особенностями IT-инфраструктуры, начинаются проблемы.
Проблема № 3. Сомнительное качество самих документов
Отчасти проблема перекликается с предыдущей, но если в проблеме №2 речь больше шла об особенностях автоматизированного заполнения, то тут речь о том тексте шаблонов, который не подвергается изменению. Накосячить умудряются в самых простых инструкциях.
Пример. Обычно в информационной системе назначается два ответственных по защите персональных данных — ответственный за организацию персональных данных (больше по орг вопросам) и администратор безопасности информации (по техническим вопросам — настройка средств защиты и т.д.). Соответственно сокращаются эти роли обычно как — «Ответственный» и «Администратор». Так вот, один из сервисов обозвал этих двух друзей как «ответственный за организацию обработки персональных данных» и «ответственный за обеспечение безопасности персональных данных», сократили их, как вы уже наверное догадались как «Ответственный» и (внезапно!) «Ответственный». В приказе о назначении этих ответственных никакого подвоха не чувствуется, жесть начинается, когда авторы документов начинают описывать взаимодействие этих двух разных людей, получается что-то типа «Ответственный на Ответственном и Ответственным погоняет».
Проблема № 4. Безопасность
Как ни странно, сервисы, которые призваны повысить информационную безопасность, сами вызывают ряд вопросов, начиная от банального отсутствия шифрования при отправке форм с конфиденциальными данными, заканчивая как эти данные хранятся на сервисе, как организован физический доступ к серверам и многое другое. При этом мы помним, что пока что сервисы работают по принципу «легко и просто» и не собирают большого количества информации, но могут и «усовершенствоваться». Но тем не менее, как минимум персональные данные ответственных и членов различных комиссий, а также базовые данные по информационной системе придется предоставить.
К чему это все?
Я убежден, что продавать болванки документов, даже под соусом автоматического заполнятора шаблонов за деньги это прошлый век. Я убежден, что запугивание потенциальных клиентов и их обман это тупиковая маркетинговая модель. Стоимость подписки на такие сервисы составляет от 10 до 50 тысяч рублей в год. За эти деньги можно привлечь специалиста, который подготовит качественный комплект с полноценным аудитом бизнес-процессов и IT-инфраструктуры (да, в кризис опытный специалист может согласиться поработать даже за 10 тысяч рублей). Но если выбор пал на шаблоны, то платить за это деньги не вижу никакого смысла. К тому же разные документы можно вполне бесплатно нагуглить. Как я и обещал, для упрощения этой задачи, выложил некоторую подборку здесь.
Комментарии (59)
Spewow
29.03.2016 09:46Бумага она и бумага.
А как насчет технической защиты ПДн?
Обычное предложение интегратора коммерческому клиенту, потратить кучу денег и поставить на все машины исключительно серт. средства, VipNet клиентов + SecretNet в придачу, апеллируя к требованиям 21 приказа и еще большим страшилкам и карам.
Loreweil
29.03.2016 10:25Это еще один аргумент не в пользу заполняторов, сейчас документы ФСТЭК позволяют исключать меры, заменять их компенсирующими, в том числе и придуманными самостоятельно оператором. К тому же прямо сказано, что система защиты не должна мешать выполнять непосредственную функцию информационной системы. То есть к набору СЗИ можно подойти очень творчески, а необходимость использования сертифицированных СЗИ в негосударственных ИСПДн под большим вопросом. Заполняторы, которые умеют в техзадание на систему защиты решают эту проблему в лоб — предлагают только сертифицированные СЗИ (а вдруг госорган?) по базовым мерам в зависимости от уровня значимости персональных данных. Интеграторы о которых вы говорите скорее всего пользуются подобными системами сами, ну либо в голове еще со времен 58 приказа отложилось шаблонное мышление, никакой гибкости. У меня был очень интересный проект по защите ПДн в крупной коммерческой организации с международными инвесторами, там сразу было оговорено о том, что о нагромождении каких-то дополнительных СЗИ не может быть и речи. Поэтому проект СЗПДн был реализован штатными средствами ОС и некоторыми, использующимися в системе продуктами от McAfee и Symantec (не сретифицированными конечно же). То есть описывали как то или иное требование выполняется этими средствами, особо неудобные требования исключали и описывали какими компенсирующими мерами мы закрываем актуальные угрозы. Поскольку организация сейчас является одним из крупнейших налогоплательщиков региона, там проходят проверка за проверкой, в том числе и по ПДн. Вопросов и претензий у регуляторов пока не возникало.
Spewow
29.03.2016 13:13Проверял то роскомнадзор? Они проверяли соответствие требованиям 21 приказа фстэк? Не их ведь епархия.
rennok
29.03.2016 14:01Они одно время пытались с собой таскать сотрудника МВД для проверки этой части.
Многие пускали, но это зря.
Loreweil
30.03.2016 01:50Да, роскомнадзор проверял. Как тут ниже сказано, ФСТЭК коммерсов не проверяет, а у ФСБ повода нет, так как криптография хоть и используется по факту, но это незаделкарировано. Роскомнадзор проверяет соответствие 152-ФЗ и постановленям Правительства 1119 и 687, и у них не было вопросов насчет использования в системе несертифицированных СЗИ. Учитывая, что ФСТЭК никогда не придет в коммерческую организацию с проверкой, я думаю итеграторов с кучей сертифицированных СЗИ в коммерческой организации можно смело и далеко посылать.
rennok
29.03.2016 12:57Роскомнадзор не имеет права запрашивать модель угроз, это сфера регулирования ФСТЭК.
ФСТЭК сейчас не имеет права проводить проверки негосударственных организаций.
Высокоуровневые документы довольно однообразны, если смотреть в разрезе отрасли, и теоретически могут быть сгенерированы на основании анкет. Нюансы — они в деталях. Сам сервисами не пользовался и качество их документов оценить не могу, но задача решаема. Особенно для мелкого бизнеса.
В остальном — конечно имеет смысл делать все по уму, с анализом бизнес-процессов и т.д. Но это далеко не всем по силам.Loreweil
30.03.2016 02:03Имеет, так как разработка модели угроз обусловлена в 152-ФЗ, а не только документами ФСТЭК. Плюс оператор должен определить возможный ущерб субъекту в случае разглашения ПДн, это тоже есть в 152-ФЗ и РКН просит показать оценку возможного ущерба. Методики определения ущерба нет и единственное что можно за уши притянуть к определению ущерба это определение опасности угроз (там определение опасности напрямую связано со степенью возможного ущерба субъекту). Другой вопрос конечно, что РКНовцы ничего не понимают в содержании МУ. Тем не менее, были прецеденты в моей практике, когда модель угроз была на 20 страниц, 10 из которых термины и определения и РКН придрался к качеству документа. Поэтому для РКН главное чтобы документ был в наличии и чтобы там побольше всякого непонятного написано было =) Ну и насчет придирок во время проверки — неважно что говорят и к чему придираются, главное что напишут в акте. Буквально недавно мне рассказывали как РКН неправомерно в ходе проверки предъявлял претензии (например, проверяющим взбрело в голову, что Бухгалтерия и Кадры должны быть описаны как 2 разные ИСПДн), но в акте в итоге было написано "нарушений не выявлено".
DonAlPAtino
30.03.2016 11:28Ну вот и порекомендовали бы какую-нибудь готовую модель угроз для предоставление в РКН "на отвали" :-) Коль говорите что "для РКН главное чтобы документ был в наличии и чтобы там побольше всякого непонятного написано было =) "
Loreweil
31.03.2016 02:20+1Ну вот, что-то нашел: http://rghost.ru/8VwRTXb8d
Мне не нравится документ, но для галочки сойдет, правда там есть неактуальные вещи, например само определение "персональные данные" устаревшее. Документ просмотрел по диагонали, также там старая классификация ИСПДн, в общем подпилить придется. Насчет классификации, то ее вообще можно удалить, это какая-то устаревшая мода пихать в модель угроз все подряд.
Насчет мысли обозвать модель угроз по-другому, это конечно занятно. Можно конечно на яблоке написать, что это груша, но суть от этого не изменится. Не знаю как у вас, но у нас РКН прямо так и говорит: "А где ваша модель угроз?". Хотя что касается РКН, то они действительно могут сегодня спросить, а завтра не спросить. Да и на 2-3 листа отписаться не получится, особенно если вспомнить что угроза это совокупность условий и факторов, приводящих к нарушению безопасности информации, а не просто уязвимость или канал утечки. К тому же не забываем про модель нарушителя.Spewow
01.04.2016 15:14ФСТЭК постоянно мудрит с этой моделью угроз. Натянуть какие-то модели на вероятности, псевдоформулы и псевдорасчеты событийной реальности.
Кто этим будет пользоваться?
Пока-что самая нормальная методика угроз из последних у ФСБ, все прозрачно и понятно. Да, даже у банка России в стандарте все прозрачней.
Dumutpu
30.03.2016 11:30Такого документа как «Модель угроз» у вас вообще может и не быть. Закон устанавливает, что «обеспечение безопасности персональных данных достигается, в частности: 1) _определением угроз безопасности_ персональных данных при их обработке в информационных системах персональных данных». Словосочетания «Модель угроз» ни в одном нормативном акте нет, кроме самой Базовой модели угроз… А эти ФСТЭКовские документы («Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн» и «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн») являются просто методическими документами. Поэтому можно оформить это _определение актуальных угроз_ обычным Актом на пару-тройку листов без лишней воды. Например, таблицей.
Вообще тут большой простор для размышлений. В соответствии с ч.5 ст.19 152-ФЗ (отсылка к этой норме есть также и в 1119 постановлении) «Федеральные органы исполнительной власти… принимают _нормативные правовые акты_, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах ...» Можно ли сюда притянуть «Базовую модель угроз...» сказать сложно. Мне кажется, что методический документ это не нормативный правовой акт. Кроме того, он должен быть зарегистрирован в Минюсте. И только после этого будет считаться полноправным НПА.
Ну а про проверку Выполнения требований по обеспечению безопасности ПДн — всегда поразному, зависит от региона. Где-то проверяют, где-то — частично проверяют и только на словах, а где-то вообще не касаются 19 статьи.BigW
30.03.2016 16:02Это вы все верно написали, но ФСТЭК в лице проверяющих до сих пор еще ссылается на СТР-К, который вообще ДСП… И формально даже после 17 и 21 приказа он не отменен. И там есть и про техпаспорт и про модель угроз, хотя про модель — тоже косвенно.
DonAlPAtino
30.03.2016 16:39Вот по причине всего вышеописанного писать честную модель угроз не хочется. Хочется талмуд для проверяющих с минимумом затрат (моих сил ибо начальство ситуацию видит и ресурсов не выделяет)
Loreweil
31.03.2016 02:26У меня есть мысль написать статью (и приложить к ней болванку документа) по моделированию угроз, но уже по новой методичке. Осталось дело за малым: дождаться публикации документа, самому в нем разобраться (есть информация, что финальный документ будет сильно отличаться от проекта), найти время на написание статьи =)
Dumutpu
30.03.2016 18:53Давно не поднимал СТР-К. Не буду утверждать, что там написано касательно персональных данных. Да здесь всё гораздо проще — ссылаемся на иерархическую систему нормативных правовых актов РФ: Федеральный закон №152-ФЗ «О персональных данных» и принятые в соответствии с ним подзаконные акты (1119 постановление, 17 и 21 приказ) будут иметь _бОльшую юридическую силу_ по отношению к СТР-К. Если эти доводы на проверяющих не повлияют, у вас есть право на обжалование и судья 100% будет на вашей стороне
Loreweil
31.03.2016 02:24Про СТР-К и РД АС ФСТЭК ясно написал в своем информационном сообщении от 15 июля 2013 г. № 240/22/2637. Если коротко, то СТР-К действительно не отменен, но применяется только как метода для защиты от утечек информации по техническим каналам (ПЭМИН, акустика, виброакустика и тд), а также может применяться для информационных систем, которые не являются ни ГИС (МИС), ни ИСПДн.
BigW
31.03.2016 18:34Позволю себе немного подправить:
могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации для защиты информации, содержащей сведения конфиденциального характера (Указ Президента РФ от 6 марта 1997 г. N 188), обрабатываемой в информационных системах, не отнесены к государственным информационным системам.
И вот по опыту — техпаспорт то они все равно спрашивают, а техпаспорт есть только в СТР-К… Да и при лицензировании им надо отправлять набор документов, среди которых опять же техпаспорт есть....Loreweil
01.04.2016 01:13Да, техпаспорт в любом случае делаем по форме из СТР-К. Да, действительно, оператор тоже может принять решение защищаться по СТР-К, но это честно говоря немного странно строить защиту информации по документу 15-летней выдержки.
BigW
По поводу новой модели угроз:
И это только то, что возникло при поверхностном знакомстве с проектом новой модели…
Так что… работаем как и раньше — делаем фуфел для проверяющих и строим совместно с техотделом реальную защиту реальными инструментами, а не сертифицированной, прости господи, виндой (зы работаю с госами в основном)...
Loreweil
Огромное количество угроз, связанных с BIOS/UEFI в банке угроз ФСТЭК это еще не настолько весело, как немалое количество угроз, связанных с грид-системами и суперкомпьютерами. У нас же в каждой второй организации суперкомпьютер =) Насчет методы по моделированию угроз, то думаю нужно будет обсуждать именно утвержденный документ. Его обещали выпустить осенью прошлого года, а теперь обещают в мае этого года. Есть информация, что такой лаг на полгода связан с внесением большого количества изменений. А проект да, действительно вызывает много вопросов.