Защита общедоступных персональных данных

[Ussean]

Добрый день.
Подскажите, как правильно защитить ИСПДн с точки зрения 152-ФЗ, ПП 1119, приказа ФСТЭК №21 и остальных законов о перс.данных.
Имеется информационная система - справочник о сотрудниках с ФИО, датой рождения, телефоном, электронной почтой, должностью.
Все сотрудники имеют доступ к данному справочнику (кроме обслуживающего персонала).
С сотрудников берется согласие на обработку ПДн согласно 152-ФЗ ст.8 п.1 (Общедоступные источники персональных данных).
Согласно ПП 1119 данная ИСПДн классифицируется как 4 уровень защищенности (общедоступные, сотрудники, менее 100000б 3 тип угроз).
Согласно 21 приказу ФСТЭК необходимо обеспечить ряд мер и закрыть их средствами защиты, "прошедшими в установленном порядке процедуру оценки соответствия" (читай - сертифицированными).

А теперь собственно сам вопрос, кого считать пользователями ИСПДн? Сотрудников, вносящих информацию в справочник (сисадмины) или всех сотрудников (у остальных доступ только на чтение).
И соответственно кому устанавливать СЗИ - только сисадминам или всем?

 

[Archi00]

Меры и средства СЗИ нужно применять ко всем сотрудникам, которые имеют доступ к ИСПДн

 

[z3r0c10wn]

Добрый день.
Подскажите, как правильно защитить ИСПДн с точки зрения 152-ФЗ, ПП 1119, приказа ФСТЭК №21 и остальных законов о перс.данных.
Имеется информационная система - справочник о сотрудниках с ФИО, датой рождения, телефоном, электронной почтой, должностью.
Все сотрудники имеют доступ к данному справочнику (кроме обслуживающего персонала).
С сотрудников берется согласие на обработку ПДн согласно 152-ФЗ ст.8 п.1 (Общедоступные источники персональных данных).
Согласно ПП 1119 данная ИСПДн классифицируется как 4 уровень защищенности (общедоступные, сотрудники, менее 100000б 3 тип угроз).
Согласно 21 приказу ФСТЭК необходимо обеспечить ряд мер и закрыть их средствами защиты, "прошедшими в установленном порядке процедуру оценки соответствия" (читай - сертифицированными).

А теперь собственно сам вопрос, кого считать пользователями ИСПДн? Сотрудников, вносящих информацию в справочник (сисадмины) или всех сотрудников (у остальных доступ только на чтение).
И соответственно кому устанавливать СЗИ - только сисадминам или всем?

Могу проконсультировать - за копеечку (имею серт) вопросы в личку

При любых раскладах вам дадут УЗ3 - и даже не будут думать! База большая в практике даже если насильно попробуете закрутить в УЗ4 не выйдет. Проблема решается ОРД+не много софта.

 

[Ussean]

При любых раскладах вам дадут УЗ3 - и даже не будут думать! База большая в практике даже если насильно попробуете закрутить в УЗ4 не выйдет. Проблема решается ОРД+не много софта.

УЗ3 тут никак не выйдет, это УЗ4 в чистом виде. ИСПДн категорируется комиссией внутри организации, кого вы имели ввиду под "вам дадут УЗ3" не понятно.
А немного софта это понятие растяжимое, понятно что не требуется ничего сложнее СЗИ от НСД, вопрос в количестве - на 10 АРМ или на 400.

 

[z3r0c10wn]

Менее 100000 на сколько менее? Вот в чем вопрос;
Пользователь ИСПДН - любой человек имеющий доступ к системе как на чтение так и на запись.

ПП
информационная система обрабатывает общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;” Если данные получены не из оф общедоступных источников - то ваша система не категоризируется как общедоступная.


Я знаю что вы можете сказать что - это противоречит принципам из 152-ФЗ статья 18 часть 4. Но ФЗ дело рук одной структуры - а проверять будут другая структура У них своя методичка и бодать эту тему можно будет только в суде!
Соответственно без доп инфы я и сказал что скорее всего можно попасть УЗ3

Не много софта - тут все просто, допустим у вас один сервак и 10 пользователей то есть 10 ПК получается вам к примеру нужна ФСТЕК Винда на 10 ПК и 1 Сервер + на софт = не верно, Защита ПДН софтом применяется там где данные обрабатываются и хранятся - если вы не храните данные на ПК то вам нужен только лицензия на сервер. Еще момент - нижний уровень Серта защищает данные на верхнем уровне, что имеется ввиду - абстрактный пример "SQL сервер без серта на ПДН находящийся под Виндой с сертом на ПДН- считается защищенным по ПДН" - то есть серт системы будем влиять на софт. (а это вам уже пример из практики)

 

[z3r0c10wn]

90% ОРД и 10 % SOFT

 

[Ussean]

Менее 100000 на сколько менее? Вот в чем вопрос;
Пользователь ИСПДН - любой человек имеющий доступ к системе как на чтение так и на запись.

ПП
информационная система обрабатывает общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;” Если данные получены не из оф общедоступных источников - то ваша система не категоризируется как общедоступная.


Я знаю что вы можете сказать что - это противоречит принципам из 152-ФЗ статья 18 часть 4. Но ФЗ дело рук одной структуры - а проверять будут другая структура У них своя методичка и бодать эту тему можно будет только в суде!
Соответственно без доп инфы я и сказал что скорее всего можно попасть УЗ3

Не много софта - тут все просто, допустим у вас один сервак и 10 пользователей то есть 10 ПК получается вам к примеру нужна ФСТЕК Винда на 10 ПК и 1 Сервер + на софт = не верно, Защита ПДН софтом применяется там где данные обрабатываются и хранятся - если вы не храните данные на ПК то вам нужен только лицензия на сервер. Еще момент - нижний уровень Серта защищает данные на верхнем уровне, что имеется ввиду - абстрактный пример "SQL сервер без серта на ПДН находящийся под Виндой с сертом на ПДН- считается защищенным по ПДН" - то есть серт системы будем влиять на софт. (а это вам уже пример из практики)

Вы конечно хорошо все расписали, но зачем то строите теории про ту часть, где и обсуждать нечего. Я прекрасно знаю как классифицируются ИСПДн, поэтому и подробно описал исходные данные. У нас общедоступные данные на 500 человек и УЗ4 и это не обсуждается.
Поясню ещё раз суть вопроса. По факту это телефонный справочник. Именно обработкой (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) ПДн занимаются сисадмины. Остальные 98% сотрудников могут его только посмотреть.
Необходимо ли считать всех 500 сотрудников пользователями или можно сказать, что 10 человек это пользователи, а далее общедоступные ПДн раскрываются неопределенному кругу лиц (распространяются)?
Разница в количестве закупаемых СЗИ в 50 раз, пусть даже сертифицированная винда за 1500руб, это уже разница в 700000 руб. (не говоря уж о том, что это нам не подходит, т.к. ещё нет сертификата ФСТЭК на Win10).

 

[z3r0c10wn]

Вы конечно хорошо все расписали, но зачем то строите теории про ту часть, где и обсуждать нечего. Я прекрасно знаю как классифицируются ИСПДн, поэтому и подробно описал исходные данные. У нас общедоступные данные на 500 человек и УЗ4 и это не обсуждается.
Поясню ещё раз суть вопроса. По факту это телефонный справочник. Именно обработкой (сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) ПДн занимаются сисадмины. Остальные 98% сотрудников могут его только посмотреть.
Необходимо ли считать всех 500 сотрудников пользователями или можно сказать, что 10 человек это пользователи, а далее общедоступные ПДн раскрываются неопределенному кругу лиц (распространяются)?
Разница в количестве закупаемых СЗИ в 50 раз, пусть даже сертифицированная винда за 1500руб, это уже разница в 700000 руб. (не говоря уж о том, что это нам не подходит, т.к. ещё нет сертификата ФСТЭК на Win10).

Все 500 сотрудников имеют доступ к ПДн - даже если они могут только его смотреть соответственно со всех зарегистрировать и внести в журнал пользователей ПДН + расширеную матрицу доступов с описанием под подписью ответственного за ПДН ! Защита должна быть на стороне сервера а не клиента (что вы там на 700000 собрались по СЗИ закупать?)- еще раз объясню (выше я просто привел пример)обработка идет на стороне сервера, основных функций сервер винды достаточно для УЗ4 почти в 95% Случаев - есть нюансы на регионы, трансграничку например и другое(этого я у вас не знаю).
Итак пример:
Дано
1с запущена на серваке Винды с лицензией ФСТЕК - пользователи конектятся ремоутно к 1С
Вопрос - нужно ли всем пользователям покупать СЗИ, нужно ли 1С покупать версию ФСТЕК, нужно ли винду серверную покупать версию ФСТЕК
Ответ
Пользователям которые будут находится в одном офисе - ничего не нужно кроме ОРД и нормальной матрицы доступов и запрет хранить данные на ПК(так как вся обработка должна быть на сервере а не на их ПК) - можно даже отобрать компы и поставить терминалки
Покупаем винду сервер ФСТЕК - итог 1с как средство обработки информации по ПДН будет считаться защищенной так как будут во многом применятся контроли винды (нижний уровень кроет верхний)

И еще нюанс - СЗИ применяются в соответствии с таким документом как модель угроз! Я опять же не знаю модель угроз вашу! Как вы опишите свою модель угроз так и будете закупать СЗИ
Кто разрабатывал вам модель угроз? Какие уровни выставлены объекту? Чаще всего все уходят в маловероятную модель и описывают минимальные действия для защиты.
Модель угроз может быть пересмотрена:
-по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы; (Вот вы сами)
-по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе (вот он наш РКН)

 

[Ussean]

Все 500 сотрудников имеют доступ к ПДн - даже если они могут только его смотреть соответственно со всех зарегистрировать и внести в журнал пользователей ПДН + расширеную матрицу доступов с описанием под подписью ответственного за ПДН ! Защита должна быть на стороне сервера а не клиента (что вы там на 700000 собрались по СЗИ закупать?)- еще раз объясню (выше я просто привел пример)обработка идет на стороне сервера, основных функций сервер винды достаточно для УЗ4 почти в 95% Случаев - есть нюансы на регионы, трансграничку например и другое(этого я у вас не знаю).
Итак пример:
Дано
1с запущена на серваке Винды с лицензией ФСТЕК - пользователи конектятся ремоутно к 1С
Вопрос - нужно ли всем пользователям покупать СЗИ, нужно ли 1С покупать версию ФСТЕК, нужно ли винду серверную покупать версию ФСТЕК
Ответ
Пользователям которые будут находится в одном офисе - ничего не нужно кроме ОРД и нормальной матрицы доступов и запрет хранить данные на ПК(так как вся обработка должна быть на сервере а не на их ПК) - можно даже отобрать компы и поставить терминалки
Покупаем винду сервер ФСТЕК - итог 1с как средство обработки информации по ПДН будет считаться защищенной так как будут во многом применятся контроли винды (нижний уровень кроет верхний)

Откуда вывод о защите только сервера? Можно ссылку на юридическое обоснование?
Если мы заявляем, что все 500 человек имеют доступ к ПДн (равно осуществляют обработку), то АРМ всех 500 сотрудников являются частью ИСПДн, и соответственно подлежат защите.
Банально "ИАФ.5 Защита обратной связи при вводе аутентификационной информации" или "УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)" должны закрываться на каждом АРМ, а не только на сервере.
А закрываться должно сертифицированными средствами, пусть и сертифицированной Виндой. Отсюда и 500*1500руб=750000руб

 

[z3r0c10wn]

в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ(ССЗИ) для вас не обязательны.

В пункте 2 статьи 19 152-ФЗ - нужно использовать СЗ,которые прошли проверку в установленном порядке оценки соответствия:

Обеспечение безопасности персональных данных достигается:

 применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

В пункте 13 ПП-1119 также есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства:

 использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Пункт 4 Приказа ФСТЭК № 21 практически дублирует пункт ПП-1119:

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

А теперь самое интересное – во всем этом нет ТРЕБОВАНИЯ использовать ССЗИ. Вариантов оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна один из вариантов причем насильственно диктуется как обязательный что в корне не верно. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать РКН (а тут в оборот вступают ОРД) при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.

Если же оператор решает использовать сертифицированные средства защиты, то нужно выбирать СЗИ в соответствие с УЗ, о чем явно указано в Приказе ФСТЭК № 21:

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.

ИТОГО - Где вы видите что закон требует обязательного использования сертифицированных средств; Поэтому я вам и написал стандартный способ обхода этой ситуации! Совсем не использовать ничего без ФСТЕК лицензии - это значит нарваться на 100500 вопросов и гемора! ПОэтому и юзают описаной мною схему для того что бы минимизировать затраты на ССЗИ.
В Вашем случае все решает грамотно описаная модель угроз!

 

[Ussean]

в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ(ССЗИ) для вас не обязательны.

В пункте 2 статьи 19 152-ФЗ - нужно использовать СЗ,которые прошли проверку в установленном порядке оценки соответствия:

Обеспечение безопасности персональных данных достигается:

 применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

В пункте 13 ПП-1119 также есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства:

 использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Пункт 4 Приказа ФСТЭК № 21 практически дублирует пункт ПП-1119:

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

А теперь самое интересное – во всем этом нет ТРЕБОВАНИЯ использовать ССЗИ. Вариантов оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна один из вариантов причем насильственно диктуется как обязательный что в корне не верно. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать РКН (а тут в оборот вступают ОРД) при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.

Если же оператор решает использовать сертифицированные средства защиты, то нужно выбирать СЗИ в соответствие с УЗ, о чем явно указано в Приказе ФСТЭК № 21:

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.

ИТОГО - Где вы видите что закон требует обязательного использования сертифицированных средств; Поэтому я вам и написал стандартный способ обхода этой ситуации! Совсем не использовать ничего без ФСТЕК лицензии - это значит нарваться на 100500 вопросов и гемора! ПОэтому и юзают описаной мною схему для того что бы минимизировать затраты на ССЗИ.
В Вашем случае все решает грамотно описаная модель угроз!

Все, на основные вопросы ответил! Нужна консультация - в личку велком. (Сертификат могу скинуть если не доверяете). Дальше это уже не ответы на форуме а волонтерство

Спасибо за затраченное время, не буду больше задерживать.
Отмечу только то, что вариантов оценки соответствия действительно несколько и могло бы подойти "декларирование соответствия", вот только регламента на это не существует.
Соответственно любое декларирование будет неким "костылем", которое практически со 100% вероятностью вызовет вопросы у проверяющих.
Плюс единственная официальная позиция ФСТЭК, изложенная в информационном сообщении ФСТЭК № 240/24/1701 от 4 мая 2012 года, это подтверждает. И да, я в курсе, что оно ссылается на Положение с грифом ДСП.
"В соответствии с указанным Положением оценка соответствия средств, предназначенных для защиты информации конфиденциального характера, средств, в которых они реализованы, а также средств контроля эффективности защиты информации (далее - средства защиты информации конфиденциального характера), используемых в целях защиты государственного информационного ресурса и (или) персональных данных, осуществляется в форме обязательной сертификации. "