Вот читаю на портале ИСПДН.ру обзор сочинской конференции по ИБ в разрезе темы персданных. Ну про отказ от переноса сроков, обязательность требования закона особенно для банков, добрую волю регуляторов «на совершенствование методической базы и всяческой поддержки операторов персональных данных» мы слышали неоднократно. А вот резюме доклада представителя ФСТЭК вызывает определенный интерес.
Как и, главное, когда ФСТЭК успела проверить 80 тысяч ИСПДн в части соответствия четверокнижию, я не понимаю ;-( Но интересен перечень обнаруженных недостатков. Могу предположить, что именно их и будут «искать» представители ФСТЭК при осуществлении функции госконтроля и надзора (если найдут правовые основания для проверок и обойдут требования ФЗ-294). Итак перечень таков:
- Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации. Почти 100% обнаруженное нарушение — мало кто вообще в ТЗ и проекте на свою созданную когда-то систему защиты включал этот раздел, т.к. и требований-то таких раньше не было.
- Незавершенность классификации ИСПДн или ее ошибочность. Интересно на основании какого документа ФСТЭК определяет ошибочность, учитывая что за классификацию отвечает оператор ПДн, а не регулятор.
- Невыполнение работ по анализу угроз информационной безопасности. Интересно, сколько из 80 тысяч ИСПДн относилось к разряду специальных? Если это типовой сценарий, то получается, что многие классифицирует свои системы как специальные. А если большинство систем типовых, то значит и для них потребуется разработка модели угроз, несмотря на наличие базовой модели.
- Незавершенность разработки необходимого комплекта организационно-распорядительной документации. За 20 дней прочитать все документы (помимо остальных проверок) и определить незавершенность? Монстры!
- Отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам.А ФСТЭК-то тут причем? Это прерогатива РКН проверять такой вопрос. К защите ПДн он точно не относится; скорее к защите прав субъектов.
- Отсутствие необходимых мер и сервисов защиты информации. Сервисов ИБ? Прогресс однако в используемой терминологии. Скоро начнут использовать термин «аутсорсинг» 😉
- Использование несертифицированных СЗИ. Т.е. либо проверяли по классическому четверокнижию типовые ИСПДн, либо требование по сертификации стали распространять и на спецсистемы, либо проверяемые не знали, что и когда могут проверять надзорные органы. Либо проверяли лицензиатов ФСТЭК. Но где ж их нашли столько, что у них набралось 80 тысяч ИСПДн?
- Невыполнение работ по аттестации ИСПДн. Ну это понятно 😉
- Непринятие мер по учету машинных носителей. Ну это совсем клиника. Считать каждую флешку (а я видел варианты с наклейкой голограмм на каждую флешку) — это увеличение числа сотрудников ИБ в разы. Зато занятость населения возрастет. Все-таки большую социальную задачу решает ФСТЭК своими требованиями.
- Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите. А откуда это требование появилось? По ПП-781 у нас должен быть назначен всего один ответственный и, как правило, это руководитель отдела ИБ.
- Отсутствие достаточного количества квалифицированных специалистов. А сколько достаточно? В документах ФСТЭК про это ни слова. Или считается, что при лицензировании нужно минимум 2 специалиста со свидетельствами государственного образца? Но тогда получается, что либо всем надо пойти получать такое свидетельство, либо ФСТЭК проверял организации, где специалистов по ИБ вообще не было.
ЗЫ. Позиция АРБ в желании «ухода» из под ФСТЭК, РКН и ФСБ в части персданных названа эгоистичной 😉 Еще бы. Самые «денежные» организации уходят из под бдительного ока.
ЗЗЫ. А ФСБ всем рекомендовала переходить в части криптографии на аутсорсинг 😉
80000 — это я думаю для красоты привели. Начали с рально 3-5 тысяч обследованных (и то оптимистично, потому что проверять некому :-() и каждый последующий начальник дорисовывал, пока к такой цифре не пришли. И замечания похожи на типовые, которые еще 2-3 года назад все приписывали системам класса 1Г. ТАк что анализировать пока нечего. 🙁
Ну то, что цифры с потолка, это понятно. Сам список недочетов интересен тем, что их и будут выискивать, т.к. уже рука набита ;-(
Еще раз повторю главную мысль — НЕКОМУ выискивать. Инспекторов со знаниями в области защиты от НСД практически не было, а сейчас и те уволились. Кто, что и как будет проверять вопрос открытый. Самое неприятное, если НИКТО, НИЧТО и НИКАК. Тогда в следующий раз на законы по защите какой-нибудь информации все будут смотреть с безразличием. А это нам (зарабатывающим деньги на вопросах защиты) будет ооооочень невыгодно. 🙁
"ФСТЭК проверила до фига тысяч ИСПДн и отметила ошибочность классификации" = кто-то попытался заявить каждый АРМ как отдельную ИСПДн четвертого класса ))
Алексею: Если воспринимать ИБ — как обязательное требование закона, то да, проблема есть. А если воспринимать ее как способ поддержания или развития бизнеса, то есть требование закона или нет, не так важно.
Ригелю: Тоже вариант. Но очень уж для продвинутых.
Три копейки:
Еще представитель ФСТЭК заявил, что в 50% случаях при классификации ИСПДн ее класс, с точки зрения ФСТЭК, завышен, а в 50% — класс занижен.
А про ИСПДн он сказал, что 80тыс.ИСПДн и около 20 тыс.операторов.
Очевидно, что такой закон — это раздолье для корпоративных юристов. Я вообще не очень понимаю зачем крупной компании серьезно заморачиваться на выполнение всех требований закона. То что легко и не дорого — можно и выполнить. По остальным проще ждать проверки, а потом судиться. Нет?
Анонимному 1: 20 тысяч операторов?! Это круче РКН. И все втихаря. Вот школа!!!
Анонимному 2: Все верно. Но не все готовы судиться. Репутационные риски достаточно велики.
ну а какие риски?
крупные компании постоянно судятся по самым разным поводам, в т.ч. и с гос-вом.
одним судом больше, одним меньше
тем более при таких самых разных нестыковках в законе — раздолье для юристов
вообще у меня такое стойкое ощущение, что можно всем сидеть ровно и решать вопрос через суд, если что. тем более квалификация проверяющих будет на порядки ниже квалификации крутых корп. юристов.
Это из той же серии, что в арбитражах налоговая проигрывает до 90% дел. И это налоговая!
А тут то о чем можно говорить …
А Сбербанк и УРСА-банк проиграли дела по персданным ;-(