17.09.2009

ФСТЭК проверил 80 тысяч ИСПДн

Вот читаю на портале ИСПДН.ру обзор сочинской конференции по ИБ в разрезе темы персданных. Ну про отказ от переноса сроков, обязательность требования закона особенно для банков, добрую волю регуляторов "на совершенствование методической базы и всяческой поддержки операторов персональных данных" мы слышали неоднократно. А вот резюме доклада представителя ФСТЭК вызывает определенный интерес.

Как и, главное, когда ФСТЭК успела проверить 80 тысяч ИСПДн в части соответствия четверокнижию, я не понимаю ;-( Но интересен перечень обнаруженных недостатков. Могу предположить, что именно их и будут "искать" представители ФСТЭК при осуществлении функции госконтроля и надзора (если найдут правовые основания для проверок и обойдут требования ФЗ-294). Итак перечень таков:
  • Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации. Почти 100% обнаруженное нарушение - мало кто вообще в ТЗ и проекте на свою созданную когда-то систему защиты включал этот раздел, т.к. и требований-то таких раньше не было.
  • Незавершенность классификации ИСПДн или ее ошибочность. Интересно на основании какого документа ФСТЭК определяет ошибочность, учитывая что за классификацию отвечает оператор ПДн, а не регулятор.
  • Невыполнение работ по анализу угроз информационной безопасности. Интересно, сколько из 80 тысяч ИСПДн относилось к разряду специальных? Если это типовой сценарий, то получается, что многие классифицирует свои системы как специальные. А если большинство систем типовых, то значит и для них потребуется разработка модели угроз, несмотря на наличие базовой модели.
  • Незавершенность разработки необходимого комплекта организационно-распорядительной документации. За 20 дней прочитать все документы (помимо остальных проверок) и определить незавершенность? Монстры!
  • Отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам.А ФСТЭК-то тут причем? Это прерогатива РКН проверять такой вопрос. К защите ПДн он точно не относится; скорее к защите прав субъектов.
  • Отсутствие необходимых мер и сервисов защиты информации. Сервисов ИБ? Прогресс однако в используемой терминологии. Скоро начнут использовать термин "аутсорсинг" ;-)
  • Использование несертифицированных СЗИ. Т.е. либо проверяли по классическому четверокнижию типовые ИСПДн, либо требование по сертификации стали распространять и на спецсистемы, либо проверяемые не знали, что и когда могут проверять надзорные органы. Либо проверяли лицензиатов ФСТЭК. Но где ж их нашли столько, что у них набралось 80 тысяч ИСПДн?
  • Невыполнение работ по аттестации ИСПДн. Ну это понятно ;-)
  • Непринятие мер по учету машинных носителей. Ну это совсем клиника. Считать каждую флешку (а я видел варианты с наклейкой голограмм на каждую флешку) - это увеличение числа сотрудников ИБ в разы. Зато занятость населения возрастет. Все-таки большую социальную задачу решает ФСТЭК своими требованиями.
  • Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите. А откуда это требование появилось? По ПП-781 у нас должен быть назначен всего один ответственный и, как правило, это руководитель отдела ИБ.
  • Отсутствие достаточного количества квалифицированных специалистов. А сколько достаточно? В документах ФСТЭК про это ни слова. Или считается, что при лицензировании нужно минимум 2 специалиста со свидетельствами государственного образца? Но тогда получается, что либо всем надо пойти получать такое свидетельство, либо ФСТЭК проверял организации, где специалистов по ИБ вообще не было.

ЗЫ. Позиция АРБ в желании "ухода" из под ФСТЭК, РКН и ФСБ в части персданных названа эгоистичной ;-) Еще бы. Самые "денежные" организации уходят из под бдительного ока.

ЗЗЫ. А ФСБ всем рекомендовала переходить в части криптографии на аутсорсинг ;-)

10 коммент.:

Алексей комментирует...

80000 - это я думаю для красоты привели. Начали с рально 3-5 тысяч обследованных (и то оптимистично, потому что проверять некому :-() и каждый последующий начальник дорисовывал, пока к такой цифре не пришли. И замечания похожи на типовые, которые еще 2-3 года назад все приписывали системам класса 1Г. ТАк что анализировать пока нечего. :-(

Алексей Лукацкий комментирует...

Ну то, что цифры с потолка, это понятно. Сам список недочетов интересен тем, что их и будут выискивать, т.к. уже рука набита ;-(

Алексей комментирует...

Еще раз повторю главную мысль - НЕКОМУ выискивать. Инспекторов со знаниями в области защиты от НСД практически не было, а сейчас и те уволились. Кто, что и как будет проверять вопрос открытый. Самое неприятное, если НИКТО, НИЧТО и НИКАК. Тогда в следующий раз на законы по защите какой-нибудь информации все будут смотреть с безразличием. А это нам (зарабатывающим деньги на вопросах защиты) будет ооооочень невыгодно. :-(

Ригель комментирует...

"ФСТЭК проверила до фига тысяч ИСПДн и отметила ошибочность классификации" = кто-то попытался заявить каждый АРМ как отдельную ИСПДн четвертого класса ))

Алексей Лукацкий комментирует...

Алексею: Если воспринимать ИБ - как обязательное требование закона, то да, проблема есть. А если воспринимать ее как способ поддержания или развития бизнеса, то есть требование закона или нет, не так важно.

Ригелю: Тоже вариант. Но очень уж для продвинутых.

Анонимный комментирует...

Три копейки:
Еще представитель ФСТЭК заявил, что в 50% случаях при классификации ИСПДн ее класс, с точки зрения ФСТЭК, завышен, а в 50% - класс занижен.
А про ИСПДн он сказал, что 80тыс.ИСПДн и около 20 тыс.операторов.

Анонимный комментирует...

Очевидно, что такой закон - это раздолье для корпоративных юристов. Я вообще не очень понимаю зачем крупной компании серьезно заморачиваться на выполнение всех требований закона. То что легко и не дорого - можно и выполнить. По остальным проще ждать проверки, а потом судиться. Нет?

Алексей Лукацкий комментирует...

Анонимному 1: 20 тысяч операторов?! Это круче РКН. И все втихаря. Вот школа!!!

Анонимному 2: Все верно. Но не все готовы судиться. Репутационные риски достаточно велики.

Анонимный комментирует...

ну а какие риски?
крупные компании постоянно судятся по самым разным поводам, в т.ч. и с гос-вом.
одним судом больше, одним меньше
тем более при таких самых разных нестыковках в законе - раздолье для юристов

вообще у меня такое стойкое ощущение, что можно всем сидеть ровно и решать вопрос через суд, если что. тем более квалификация проверяющих будет на порядки ниже квалификации крутых корп. юристов.
Это из той же серии, что в арбитражах налоговая проигрывает до 90% дел. И это налоговая!
А тут то о чем можно говорить ...

Алексей Лукацкий комментирует...

А Сбербанк и УРСА-банк проиграли дела по персданным ;-(