27.1.10

Рекомендации по ПДн имени Леты

Наверное уже все видели/слышали про 80-тистраничные рекомендации компании Leta-IT по выполнению требований ФЗ-152. Если не брать в расчет несоблюдение федерального закона об использовании государственной символики, то данные рекомендации направлены на описание 11-ти шагов, которые должен пройти оператор ПДн для выполнения требований ФЗ-152:
  • Шаг 1. Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн 
  • Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн 
  • Шаг 3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме 
  • Шаг 4. Определить порядок реагирования на запросы со стороны субъектов персональных данных 
  • Шаг 5. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление 
  • Шаг 6. Выделить и классифицировать ИСПДн
  • Шаг 7. Разработать модель угроз для ИСПДн
  • Шаг 8. Спроектировать и реализовать систему защиты персональных данных
  • Шаг 9. Провести аттестацию ИСПДн по требованиям безопасности или продекларировать соответствие 
  • Шаг 10. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации 
  • Шаг 11. Обеспечить постоянный контроль защищѐнности ПДн.
Не совсеми рекомендациями можно согласиться - очень уж они ФСТЭК-ориентированные. Если вы не знаете, что такое ГОСТ П 51583-2000, решение Гостехкомиссии №42, Постановление СовМина РСФСР №912-51, то без лицензиата вам не обойтись. А кто первый кандидат на эту роль? Правильно ;-) Вы уже догадались.

Честно говоря, я ничего нового в этом документе для себя не нашел. Полезного, в общем-то тоже. Попытка систематизации материала неплохая, но учитывая практичексую невозможность выполнения ряда шагов и полное отсутствие примеров, ставит крест на практическом применении этих рекомендаций. Хотя для новичков они могут быть полезными в части запугивания.

Мы, в рабочей группе при ЦБ и АРБ, постарались все эти стандартные минусы исключить и сосредоточиться на реальных и практически применимых рекомендациях, к которым будет приложена не только отраслевая модель угроз, но и набор из 40 с лишним документов, которые можно будет сразу брать и применять в своей работе. Но эти отличия были понятны с самого начала - ЦБ и АРБ не зарабатывают денег на теме персданных, а хочет наоборот помочь операторам ПДн (в первую очередь из финансовой сферы, конечно).

ЗЫ. Что мне не нравится в таких документах, так это то, что в них никогда не упоминаются имена авторов. Особенно, если они не работают в компании, чье имя стоит на титуле.

26 коммент.:

Анонимный комментирует...

Скажите пожалуйста, в каких случаях все таки нужна криптография? теперь только если система класса К1?

Станислав комментирует...

Алексей!
А когда же станут доступны разрабатываемые ЦБ и АРБ документы?

Алексей Т. комментирует...

Согласен с автором - на первый взгляд документ нравится, когда пытаешься почерпнуть что-нибудь полезное из документа - оказывается, что использовать фактически нечего. :-( ДЕйствительно, такая ненавязчивая рекламка Леты, о которой трубят СОТРУДНИКИ Леты на всех форумах. :-) Нескромно как-то. Демонстрируйте свои достижения, проекты, что-то отличающееся от серой картины защиты ПДн. Поддержу Станислава: когда можно почитать документы ЦБ и АРБ?

Алексей Лукацкий комментирует...

Станиславу: В пятницу тут будет заметка про рекомендации ЦБ ;-)

Tiger комментирует...

АЛ
(Мы, в рабочей группе при ЦБ и АРБ, постарались все эти стандартные минусы исключить и сосредоточиться на реальных и практически применимых рекомендациях)

Так это потому, что вы исходите из рекомендаций ЦБ, из ОТРАСЛЕВЫХ стандартов и отраслевой модели угроз. Лета же исходит из существующего на сегодняшний день законодательства.
Проблемы то на парламентских слушаниях были подняты, сроки сдвинули, но законодательство ведь не поменялось ни коим образом.
Потому для интеграторов по прежнему поле деятельности на

<зарабатывании денег на теме персданных

не уменьшилось.

АЛ
(учитывая полное отсутствие примеров, ставит крест на практическом применении этих рекомендаций)

Да даже если б были примеры то, как вы правильно пишите существует:
<практическая невозможность выполнения ряда шагов

а кроме того все равно дорого и не факт, что защищает права субъектов ПДн.

Tiger комментирует...

Ну а реальную ценность документа каждый сам для себя определит.
Сами шаги имхо внимания заслуживают
(исходя из существующего законодательства), ибо это у банков есть отраслевые стандарты, про другие отрасли не слыхал такого...

Алексей Лукацкий комментирует...

Tiger: Мы не исходим из рекомендаций ЦБ и отраслевых стандартов. Мы работали параллельно с доработкой СТО. Но так совпало, что по ключевым вопросам наши позиции совпали ;-)

И мы исходим из существующего законодательства. Только мы стараемся идти по пути решения реальных проблем операторов, а Лета - по пути наименьшего сопротивления, решая сразу три задачи:
- отличный PR-повод и привлечение внимания
- рост заработка
- нежелание ссориться с регуляторами.

Что же касается нерешаемых задач, то да, есть такие. Но есть и решаемые. Одна из них - модель угроз. Можно долго кричать, что модель угроз создать сложно, приходите к нам... а можно просто привести пример модели. Можно говорить, что документы должны быть такие-то и такие-то, а можно просто дать эти шаблоны документов.

Алексей Лукацкий комментирует...

Tiger: Про другие отрасли читай завтра ;-)

Tiger комментирует...

АЛ
(Что же касается нерешаемых задач, то да, есть такие. Но есть и решаемые. Одна из них - модель угроз. Можно долго кричать, что модель угроз создать сложно, приходите к нам... а можно просто привести пример модели. Можно говорить, что документы должны быть такие-то и такие-то, а можно просто дать эти шаблоны документов.)

Угу, причем с разъяснениями)
Здесь согласен.

АЛ
(Tiger: Про другие отрасли читай завтра ;-))

Ждем)

Анонимный комментирует...

Модель угроз выложить - жаба душит )))) несклько месяцев работы, ломания мозга, споров, личного времени, выученые наизусть документы (почти не утрирую). Сокращенная модель у меня в простейшем случае составляет порядка 150-200 страниц. Ну выложу я ее. Операторам она - как новые ворота. Ее же понять еще нужно. Под себя заточить. А это по сути сделать все, что до этого делал я и затратить не меньше времени. Помочь коллегам=конкурентам? Где тогда бизнес-смысл? Теперь еще аргумент - а ну как модель не понравиться супер московскому интератору со связями? У них мега кусок отрывают. Какая от них реакция пойдет?
Такими вещами ДОЛЖНЫ заниматься государственные органы, а не бизнес (реальную ситуацию понимаю полностью).
Сразу оговорюсь - революционный способ изменения менталитета и сложившегося уклада я не рассматриваю. Хотя (на мой взгляд) ЦР-АРБ пытаются идти именно этим путем.
Ну а совсем гражданское мнение - все должно быть доступно, не обязательно (кроме уголовки), коррупции быть не должно, суды должны быть сверхпрофессиональны во всех областях права и в конкретных делах, правительство должно работать на человека, солнце должно светить... И будет ли это - зависит от каждого конкретно. Что ты сделал, что бы стало лучше по ПДн? (Алексей делает - призыв не к нему :) )
Кстати, как мне кажется, они попытались сделать вторую версию моей памятки, только на своем уровне.
ZZubra

Алексей Лукацкий комментирует...

В одном крупном банке ФСТЭК завернул модель угроз, содержащую список из нескольких тысяч пунктов ;-) Сказал "многа букафф" ;-) А ты 200 страниц. У ЦБ модель угроз по ПДн всего 8 страниц ;-) Так что надо делиться ;-)

Анонимный комментирует...

Особенно ЛЕТА "зажгла" на 3 шаге здесь:

"..Субъект должен быть предупрежден о том, что игнорирование обращения к нему (за согласием) со стороны оператора может быть расценено как его согласие на обработку его персональных данных..."

То есть, по ЛЕТЕ можно послать субъекту форму согласия на обработку его ПДн и в случае молчания субъекта принимать это за согласие.
Нонсенс.

Алексей Лукацкий комментирует...

Это не то, чтобы нонсенс. При некоторых конклюдентных действиях молчание может быть засчитано за согласие, но данная ситуация явно к ним не относится, это верно.

Анонимный комментирует...

По пути предупреждения субъектов о намерениях совершить трансграничную передачу ПДн и принятии молчания за знак согласия пошел джии мани банк. Пятьсот тыщ доларей только на почтовый спам потратили. Интересно своими ли они мозгами до этого додумались? :)
Не говоря уже о том, что, по идее, добрая часть их ПДн еще до этих уведомлений уже находилась за границей, на серверах матушки.

Алексей Лукацкий комментирует...

Интересно куда они его направляли, если понадобилось уведомлять. По закону уведомлять надо при обработке в странах, не ратифицировавших Конвенцию или не имеющих собственного законодательство по ПДн. А штаб-квартира GE Money находится в стране с адекватной защитой прав субъектов.

Анонимный комментирует...

А ЦОД с основной АБС - в другой стране :)
Ведь надо не столько уведомлять, сколько сперва спрашивать разрешение.

Анонимный комментирует...

> По пути предупреждения субъектов о намерениях совершить трансграничную передачу ПДн и принятии молчания за знак согласия пошел джии мани банк.

А как они при трансграничке шифрацию обосновали? Ведь для систем 1К обязательна шифрация (ГОСТом, разумеется), а это влечёт за собой экспорт криптосредств, что требует лицензию СВР. Так что несмотря на формальное разрешение, прописанное в ФЗ-152, "Рекомендации" фактически запрещают трансграничку.

Именно так объясняет ситуацию "Эшелон". Они правы?

Анонимный комментирует...

<А как они при трансграничке шифрацию обосновали? Ведь для систем 1К обязательна шифрация (ГОСТом, разумеется), а это влечёт за собой экспорт криптосредств, что требует лицензию СВР.

Лицензия СВР нужна при вывозе криптосредства за пределы РФ только в определенных случаях, как правило, для использования его в посольствах и других важных для обороны страны объектах. Здесь необходима лицензия ФСБ на экспорт.
А на счет рекомендация Леты, думаю они писались в первую очередь для операторов, у которых нет больших средств на услуги интеграторов по ПДн. Городские школы, детские сады не знают порой с чего начать строить защиту ПДн, а тут хоть какая то помощь...

Анонимный комментирует...

> Здесь необходима лицензия ФСБ на экспорт.

А легко ли получить такую лицензию ФСБ? И получал ли Дми Мани такую лицензию?

Анонимный комментирует...

Все страны подключаются по единой технологии, о шифровании гостовыми средствами не может быть и речи.

Анонимный комментирует...

> Все страны подключаются по единой технологии, о шифровании гостовыми средствами не может быть и речи.

Сможете такое заявить проверяющим из ФСТЭКа?

Анонимный комментирует...

Я не сотрудник и отношения к реализации этих технологий не имею, как и к работе с ними. :)

Анонимный комментирует...

Алексей, было бы интересно выше мнение о Методических рекомендациях по защите ПДн от Минздрава
http://www.minzdravsoc.ru/docs/mzsr/informatics/5

Алексей Лукацкий комментирует...

Напишу на следующей неделе. И не только про них.

Анонимный комментирует...

Прочитал комментарий Алексея Т. "Демонстрируйте свои достижения, проекты, что-то отличающееся от серой картины защиты ПДн." и стало интересно, а кто из интеграторов озвучивает конкретные выполненные проекты. По итогам поиска нашел только ссылку на проект "Открытых технологий" в Башкирском регистре социальных карт и ссылки на четыре проекта все той же Леты.
Там и банк и РАО ЕЭС и Росатом. Так что похоже они успевают по всем фронтам.

Алексей Т. комментирует...

2 Анонимный.
Все успевают. :-) Работы ведь немерено.