Блог Артема Агєєва Якщо ви поставили ViPNet
Якщо ви поставили ViPNet.
Всі вищезазначені вимоги обов'язкові (щоправда, перевіряють поки що тільки держ. організації). Прецеденти з покараннями є.
Створено за 152 наказом ФАПСІ та Типовим вимогам щодо використання СКЗІ для захисту ПДн ФСБ (було ліньки вставляти посилання на конкретні пункти вимог).
[UPDATE] Забув ще вказати, що віпне з ключиком повинні передаватися спец.зв'язком або окремо окремо в різних опечатаних конвертиках з супровідним листом. бо не дай Боже. [UPDATE2] Регламент перевірок ФСБ зі зручною табличкою http://www.fsb.ru/fsb/science/single.htm%21id%3D10435396%40fsbResearchart.html
Що далі в ліс, то товщі партизани! Виходить, що поставили тобі криптографію – відгріб проблем! а по суті, ФСБ знайшло гарну лазівку нагинати за використання СКЗІ, тепер куди до держ не прийди, скрізь зустрінеш подібну картину, весело!
так це для ліцензіатів ФСБ вимоги. Звичайним людям для зв'язку з податковою/ПФР майже нічого з цього не потрібно.
це вимоги саме для звичайних людей, які захотіли складати звітність до ПФР через інтернет.
А на основі чого зроблено висновок, що це все поширюється на звичайних людей? Чи можна цитати з документів?
Треба враховувати, що звичайна організація не є оператором ПДН у частині передачі даних до ПФР. Тому що цілі та умови такої обробки визначає не організація, а ПФР. Обов'язок передачі встановлюється ФЗ і регламентується підзаконними актами. Тож очевидний оператор тут – ПФР. А в організації (обробники ПД) є користувачі системи ПФР і повинні виконувати тільки вимоги ПФР.
а як пов'язане поняття "оператор" та обов'язок захисту ПДН? захищати ПДН зобов'язаніУсе.
Обробник зобов'язаний виконувати вимоги законодавства та вимоги оператора (див. п.3 ст.6 152-ФЗ).
і до питання про ІСПДн чи ПК на якому стоїть віпне для надсилання звітності до ПФР. ПФР, окрім регламенту підключення, жодних документів своїм контрагентам не видає. Ані акт класифікації, ані модель загроз. Вимагати з них цього не вийде, а при перевірці пред'явити доведеться навіть якщо ти не оператор.
+ як правило на АРМ, який передає відомості до ПФР, ці самі відомості можуть просто мирно лежати в татку - наприклад, ексель-файлики зі співробітниками. Ось цей процес (лежання в татку) і утворює ІСПДн, оператором якої вже є господар АРМ.
#ЛіжанняВ татці - ваще підле питання! Адже матуся може бути віддаленою (не в сенсі фізичного видалення). І де тоді ІСПДн: на сервері, у адміна чи у юзверя?) Зовсім западло, коли ІСПДн разом із дампами 1С лежать у непримітних Temp'ах.
На рахунок різниці оператора та обробника я докладно писав тут http://sborisov.blogspot.com/2011/12/2.html.
Вимоги законодавства мають виконувати все. Але ж вимоги для всіх різні. Акти, моделі - це не входить у обов'язок оброблювача. Якщо тільки Оператор не доручить йому (Якщо ПФР у регламенті підключення не висуне таких вимог). Але це все загалом. А зараз конкретика.
У документі ФСБ "Типові вимоги щодо організації та забезпечення функціонування шифрувальних (криптографічних) засобів, призначених для захисту інформації, що не містить відомостей, що становлять державну таємницю у разі їх використання для забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних"
До області дії типових вимог входять усі. Але в документіспеціально виділені розділи вимог для оператора та користувачів СКЗІ. Ці вимоги різняться. І обробник якраз потрапляє до користувачів СКЗІ (тільки якщо оператором йому не доручено додаткових обов'язків).
Артеме, прошу ще раз проаналізувати вимоги для користувачів СКЗІ – можливо у твоєму переліку відбудуться зміни.
А щодо наявності інших ІСПДн в організації можеш не турбуватися. Це різні ІСПДн. Різні ІСПД навіть можуть з один одним взаємодіяти. Цей варіант передбачено підзаконними актами регуляторів.
Модель загроз має бути. Якщо її не зробив оператор, то обробник робить її самостійно.
Акт класифікації теж необхідний, т.к. клас ІСПДн визначає разом із МУ вимоги до технічного захисту ІСПДн. Тому якщо оператор доручив, але не класифікував (як ПФР), то класифікує обробник.
Буде великою помилкою вважати оброблювача просто користувачем СКЗІ. У тому ж доку обов'язки і оператора і обробника збігаються (див. п.2.3 "Типових вимог") і включають всі описані мною процедури.
Користувач СКЗІ – це співробітник оператора. Тому жодних змін у переліку не відбудеться.
На рахунок ІСПД все-таки турбуюся :).. бо грань тут дуже тонка. Коли я заходжу на сайт вконтакте я не створюю у себе ІСПДн (або створюю, тому що мій браузер кешує сторінки?). Але це вже зовсім інша тема розмови.
Артеме, щоб не бути голослівним і розставити всі крапки треба i прошу привести цитати вимог, які зобов'язують обробника провести класифікацію і розробити моджель погроз? Я таких вимог в обов'язках оброблювача із 152-ФЗ не бачу.
На рахунок Типових вимог ФСБ цитую їх: "2.3. При розробці та реалізації заходів щодо організаціїта забезпечення безпеки персональних даних при їх обробці в інформаційній системі оператор або уповноважена оператором особа здійснює:"
Визначення уповноваженого у цьому документі немає. Дивлячись у словниках. http://slovari.yandex.ru/
УПОВНОЧЕНА ОБЛИЧЧЯ — особа, наділена офіційними повноваженнями управління, вчинення певних дій.
Тобто якщо при підключенні до Оператора нас наділили необхідними повноваженнями - на виконання всіх заходів, то звичайно, будь ласка, виконати.
Але подивимося що від нас вимагає ПФР насправді: http://www.kontur-extern.ru/files/picfiles/reglament_obespechenija.doc Там немає більшості заходів, які ви ставите в провину бідним людям.
Так я все-таки хочу знати - НА ЯКІМ ПІДСТАВИ.
Тобто. обробник повинен виконувати всі вимоги закону та підзаконних нормативних актів та вимоги оператора.
тепер, щоб зрозуміти, що таке "уповноважена особа" дивимося "Типові вимоги ФСБ" п. 1.3.
1.3. Ці вимоги: - є обов'язковими для оператора, що здійснює обробку персональних даних, а також особи, якій на підставі договору оператор доручає обробку персональних даних та (або) особи, якій на підставі договору оператор доручає надання послуг з організації та забезпечення безпеки захисту персональних даних при їх обробці в інформаційної системи з використанням криптосредств. При цьому істотною умовою договору є обов'язок уповноваженої особи забезпечити конфіденційність персональних даних та безпеку персональних даних при їх обробці в інформаційній системі у випадках, передбачених чинним законодавством;
т.ч. з пункту видно, що наша "уповноважена особа" є обробником.
Далі дивимося знову п.2.3 "Типових вимог":
2.3. При розробці та реалізації заходів щодо організації та забезпечення безпеки персональних даних при їх обробці в інформаційній системі оператор або уповноважена оператором особа здійснює: - розробку для кожної інформаційної системи персональних даних моделі загроз безпеки персональних даних під час їх обробки; .
тобто. або модель загроз розробляє оператор або обробник.