В ст.19, а так же в 21м приказе ФСТЭК есть очень интересные требования к оператору - он должен оценивать эффективность принимаемых мер по безопасности ПДн при их обработке. Правда есть отличия. В ФЗ152 говорится об оценке эффективности до ввода ИСПДн в эксплуатацию. В Приказе №21 ФСТЭК - про регулярную, не реже 1 раза в три года, оценку эффективности принятых мер.

И кажется, надо начать объяснять с Приказа 21, как более узкого по охвату.

Итак, Приказ 21 детализирует технические меры защиты в привязке к уровням защищенности по Постановлению Правительства №1119 от 01.11.2012. В нем много-много требований по различным аспектам. Меньше всего обязательных для 4го УЗ, и далее по возрастающей.

Что тут хотели сказать законодатели, если простым языком и в привязке к оценке эффективности? DPO должен регулярно и в отношении каждой ИСПДн проверять как выполняется применимый к ней набор мер. Результат оценки оформлять актом и далее организовывать устранение недостатков или планировать следующую дату проверки. И так для каждой ИСПДн. Естественно, это не обязательно должен делать сам DPO. Его главная задача организовать такие активности и получить положительный результат. Ну или добиться, чтобы все двигались в сторону его скорейшего получения.
Почему DPO? Привет статье 22.1 и ее ч.4 с обязанностями ответственного за организацию обработки.

Возникает вопрос - а кто все таки точно должен реализовывать всю технику? Конечно, все зависит от внутренней кухни организации. Но издревле, еще с начала нулевых (точно видел этот принцип в страшных СТР-К), реализацию мер по безопасности обеспечивает эксплуатирующее подразделение. Этой же логики придерживается и вся последующая нормативка, вплоть до КИИшных документов. Это и надо учитывать.

А про эффективность по ФЗ152 и вообще зачем это надо обязательно расскажу. Но чуть позже.

Про эффективность и защиту ПДн. Часть 2.

Теперь поднимемся на уровень выше, п.4 ч.2 ст. 19 говорит нам, что обеспечение безопасности персональных данных достигается, в частности:
"оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных"

Если сделать разбор этого положения, то увидим:
1. Оценка проводится для ИСПДн.
2. Оценка проводится до ввода ИСПД в эксплуатацию.
3. Не уточняется какие именно меры должны быть оценены.
4. Не уточняется в какой форме должна быть проведена оценка.

Итак, требование ФЗ конечно же шире, чем приказа одного из ведомств. Но имеет и условия применения, а так же очень широкие, даже размытые границы определения этой самой эффективности. По этому сами и будем определять что и как.

Начнем от триггера - ввод ИСПДн в эксплуатацию. Т.е. внедряется некая система, где будут обрабатываться ПДн. И мы должны оценить, как хорошо защищены в ней ПДн. Причем не только технически, но и организационно. Меры бывают разные, да. Я могу тут выделить три уровня:
1. Общий организационный. Проверить, есть ли достаточный комплект ЛНА для целей обработки в ней. Например, учтены ли цели, сроки обработки. Это все можно выписать в блок требований №1
2. Локальный организационный. Оформить все документы, что от нас просят в ПП1119, ФСТЭК21 и т.п. На выходе будет акт оценки уровня защищенности, перечень допущенных к обработке лиц, приказ о назначении ответственного за безопасность в ИСПДн (для УЗ3+). И так далее. Будет блок требований №2
3. И в конце проверить, как реализуются технические меры защиты. Может и не самому DPO это проверять, но точно надо организовать. Сам не сделаешь,. никто не сделает. Тут смотрим в первую очередь на приказ ФСТЭК №21, на модель угроз и выписываем что получилось. Есть артефакты по технике и в самом ФЗ (те же требования применять для уничтожения сертифицированные средства защиты информации). Вот и самый большой блок требований, №3

Логично, что весь результат нужно будет оформить в некий акт оценки эффективности. Чтобы он был под рукой, на него можно было любоваться и восхищаться собственными достижениями.

Ну а какая в этом практическая польза? Попробую рассказать в следующем посте.

Такие дела.

#ФЗ152 #Оценка_эффективности #СЗИ

Про эффективность и защиту ПДн. Часть 3. Возвращение короля.

Итак, все ЛНА утверждены, оценка проведена, акты подписаны, планы намечены, KPI поставлены. Все при деле. Осталось только понять, “зачем все это, зачем?”

Все достаточно просто и очевидно.

Во-первых, это очень хороший повод распределить ответственность по мерам защиты ИСПДн. Что делает DPO, что делает ИБ, ИТ и, самое главное, кто в ответе за сделанное. Это важно, сразу распределить тяжесть гордости за работу. DPO же не сможет проверить, что там устроили ИТ. Зато сможет спросить у аудиторов потом, все ли так, как сказали? Спросить и порадоваться за коллег, что все так.

Во-вторых, это точки контроля DPO за деятельностью организации в ИТ сфере. Тоже абсолютно легальные и правильные. Помним же, про оценить до введения в эксплуатацию? Вот тут и административный ресурс DPO появляется, так как его мнение нужно учитывать. Можно, даже нужно, трактовать «до введения ИСПДн в эксплуатацию» несколько шире. Ведь может внедряться не ИСПДн целиком, а некая модификация, касающаяся обработки. Тоже повод проверить, как на самом деле доработали. И учесть изменения ИСПДн.

И в-третьих, очень важно, такие акты и вся оценка эффективности - полноценное свидетельство работы Компании и ее усилий по защите ПДн. И есть мнение, что они могут послужить смягчением наказаний за утечку, как минимум по чч.15 и 18 ст.13.11 КоАП. Которые про повторные утечки. Основание – п.2 ч.3.4-2 ст.4.1 КоАП (сам удивился, что такая нумерация есть): «оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта проведенного в течение двенадцати месяцев, предшествующих моменту выявления административного правонарушения»
В общем, благодаря этой норме DPO может стать весьма уважаемым и полезным работником.

Такие дела.

P.S.: Да, по сути оценка эффективности это финал всех работ по защите ПДн. Когда угрозы смоделированы, ЛНА выпущены, СЗИ внедрены и оценены на соответствие. Долго, сложно, особенно с моделями и оценкой соответствия СЗИ, с уничтожением. Но можно и нужно.

#ФЗ152 #Оценка_эффективности #СЗИ