Общее·количество·просмотров·страницы

понедельник, 16 ноября 2015 г.

Проверка из ФСБ по Персональным Данным

Значит, так. К нам пришла ФСБ (с плановой проверкой по защите персональных данных). Выглядело это так (я справа)


-Ты пойми, пока мы договаривались - слишком много людей полегло.
-Ну, граждане, должна же быть какая-то возможность выбора...
-Але! А че сразу граждане? 


Далее - под кат.

Когда "идут ФСБ" - ну это страшно. Мне точно. Вообще-то я - 1С-программист, в первую очередь. Ну да ладно, еще на нескольких языках программирования писать умею. Но так как тут получилось, что я и за сервера отвечаю - научился "админить" линухи там всякие, с WinServer вообще никаких проблем. Но информационной безопасности как таковой меня, конечно, никто не обучал.

Вообще я о проверке знал заранее, но это мне ничего не дало. Я почитал документы (законы, приказы), на которые ссылается ФСБ, но эту вашу юридическую фигню я никогда не понимал (и вряд ли когда буду). Потому сделал, что мог, а в остальном ждал самой проверки и конкретных "указок" что доделать от ФСБ.

Например, меня волновал вопрос - смотрят ли они лицензии на ПО, и если да - то на какое. Я в любом случае пытаюсь делать так, чтобы организация все покупала, но вдруг какой юзер сам что-нибудь установит, а мне потом "вставят" за это.


Ну да ладно, давайте по порядку. Я знаю, что придут комрады из ФСБ. Логично, что они приходят. Картинку сверху я не зря прилепил - кто видел фильм "День Выборов", вот там встреча есть с бандюгами. Их двое было, и один более-менее адекватный, а другой - словно на любой ответ палкой уе.ать хочет (надеюсь, по айпи меня вычислять не станут). Собственно, такие же двое и пришли.

Ну и начали гонять. Список вопросов примерно следующий:

То, что требовали:
- Где договора на 1С ИТС?
- Где договора с казначейством по СУФД?
- Где договора с клиент-банками?
- Где договор с Контуром?
иными словами - договора на все системы, в которых вы обрабатываете персональные данные (и используете ключи защиты; ну или не используете)

- Где лицензии на КриптоПро (тут и бумаги, и может потребоваться показать, что криптопро реально активирован реально этим ключом) 
- Где лицензии на Антивирус (бумаги, факт активации)
- Продемонстрируйте актуальность антивирусных баз на машинах, обрабатывающих перс данные (!проверьте. У меня на одной сбойнуло автообновление, за что получен лишний абзац в справке о проведенной проверке)
- Копия уведомления об обработке перс данных (со всех казенных / бюджетных / автономных требуется, кадровики должны знать)
- Документы на покупку ПК (дата покупки) , на которых обрабатываются перс данные (возможно, это необязательное требование, но нас спросили)

- Сертификаты соотв на КриптоПро с Сайта КриптоПро (и тут я узнал, что одна из наших "КриптоПро" уже не обладает сертификатом соответствия)
- Внутреннее положение о защите персональных данных (или как у Вас в орг-ции называется)
Там должны быть правила работы с персональными данными, информация о каком-то разграничении доступа  и тд

То, что не требовали, но лишним не было:

Журнал выдачи паролей на АРМ, с подписями сотрудников
-  Приказы о наделении сотрудников правом подписи от имени организации в различных информационных системах

-  Хранение паролей всех пользователей (на случай забывчивости) не "на рабочем столе", а в сейфе на флэшке. Да и от серверов "светить" не стоит.


То, что требовали, но не получили:
- Есть ли сигнализация в серверной?
- Ведется ли контроль за использованием переносимых устройств (журнал, проверка соблюдения)
?
- Ведется ли контроль за использованием средств защиты (ключей СКЗИ) (журнал выдачи)? 
- Отражен ли в должностных обязанностях "Программиста" контроль за технической стороной защиты персональных данных?
 
То, что потребовали устранить по итогам проверки:
1)Поставить только актуальные КриптоПро
2)Завести журнал контроля переносимых устройств, вести проверки
3)Завести журнал выдачи СКЗИ
4)Определить угрозы безопасности (!!!) Персональных Данных
5)Определить перечень информационных систем ПД, провести классификацию



Послесловие.
На Хабре есть статьи с похожей тематикой, но там скорее информация о том, как подготовиться к проверке ФСБ по ПД. Я же хотел привести пример конкретный, что пришли и проверили. Чтобы администраторы, или там кто-угодно, кого назначат реализовывать техническую сторону защиты ПД могли лишний раз что-то проверить и подготовить, зная, на что ИМЕННО обращают внимание.



Комментариев нет:

Отправить комментарий