Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Учить!

СОИБ. Анализ. Учить!

В предыдущей статье я отметил что в ряде свежих нормативных документов не уделяется внимания квалификации, повышению осведомленности и обучению ответственных лиц.

 

Давайте порассуждаем логически – может ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким знаниями в этой теме обеспечивать работоспособность и эффективность системы защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором? Если ответственные лица не будут знать и уметь, то меры защиты перестанут или даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут убраны на полку.

 

Если кратко то, ответственному за защиту ПДн необходимы как минимум следующие знания и навыки (даже если оператор обращается к интегратору за помощью):

·         знание области действия и основные положения нормативных правовых актов, регламентирующих вопросы обработки и обеспечения безопасности персональных данных (как правило в внутреннем комплекте ОРД отражают основные моменты из нормативных актов, а не дублируют их полностью, так что в некоторых ситуациях нужно обращаться непосредственно к нормативным правовым актам РФ);

·         знание основных видов нарушителей и угроз безопасности персональных данных в информационных системах персональных данных (в соответствии с последними методиками в рабочей группе по определению актуальности нарушителей и угроз обязательно должны быть представители Оператора, зачастую они лучше знают ситуацию на местах чем эксперты консультант);

·         знание мер обеспечения безопасности персональных данных;

·         знание порядка определения состава мер ОБПДн;

·         знание порядка создания ИС / СЗПДн (чтобы нормально принимать работы интегратора, нужно хотя бы примерно понимать типовые этапы работ)

·         знание типов СЗИ и их соответствие требуемым мерам ОБПДн;

·         знание условий и ограничения использования средств защиты информации;

·         ответственным за эксплуатацию СЗИ лицам кроме этого необходимо уметь обнаруживать неработоспособность СЗИ, в журналах СЗИ находить информацию об НСД, добавлять/удалять пользователей, следить за корректностью текущего обновления СЗИ, осуществлять резервное копирование и восстанавливать настроки (переустанавливать без изменения настроек) СЗИ.

 

Аналогично лицо ответственное за организацию обработки ПДн, лица, допущенные к обработке ПДн и пользователи СЗИ должны обладать определенными минимальными знаниями в области ПДн и защиты информации.

 

Откуда эти знания могут взяться? Обучение во всех возможных формах: обучение в учебном центре, внутреннее обучение (если есть кому учить), внутренние инструктажи, ознакомление с документами, внутренние информационные рассылки, скринсейверы, автоматизированные системы повышения осведомленности. Не забываем и про проверку знаний во всех формах: тестирование при обучении в УЦ, внутренняя проверка (если есть кому проверить), проверка интегратором при создании системы, проверка аудитором при тестировании защиты, автоматизированные системы тестирования.

 

Посмотрим всё же на нормативные документы РФ, может быть всё-таки есть обязательные требования, которые надо учитывать при этом (кроме приведенных в предыдущей статье):


152-ФЗ: “Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.”

 

Постановление Правительства РФ №211:“1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:

е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;”

 

Приказ ФСТЭК №17: “Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы

18.1. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:

информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение;”

 

Приказ ФСБ №378: “16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.”


Типовые требования ФСБ России № 149/6/6-622: “2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:

— обучение лиц, использующих криптосредства, работе с ними;”

 

ГОСТ Р 51583 – 2014: “АСЗИ - автоматизированная система в защищенном исполнении;

6.13.2 На этапе "Подготовка персонала" проводят:

обучение персонала АСЗИ и проверку его способности обеспечивать функционирование системы ЗИ и АСЗИ в целом;

проверку и подготовку специалистов структурного подразделения или должностного лица (работника), ответственных за ЗИ в АСЗИ.”

 

ГОСТ РО 0043-004-2013 Программа и методики аттестационных испытаний: ”Д.3.5 Проверка уровня подготовки специалистов и распределения ответственности пользователей АС

Проверку проводят на основе следующих показателей:

оценка знания инструкций по безопасности информации пользователями АС;

- наличие системы распределения ответственности пользователей АС за выполнение требований безопасности информации.

На основании опроса пользователей АС проверяют знание ими руководящих документов и инструкций.

Проводят выборочную проверку персонала из каждой категории организационно-штатной структуры АС на предмет владения технологиями безопасной обработки информации и знания соответствующих инструкций.

Проверяют организацию обучения и повышения квалификации пользователей АС.

Проверка считается успешной, если уровень подготовки пользователей АС обеспечивает выполнение требований безопасности информации.”

 

Как видно требования к обучению и проверке знаний всё-таки имеются. Наиболее логичный шаг – разработать программу обучения, повышения осведомленности пользователей и проверки знаний и реализовывать её с учетом рекомендаций из первой части статьи.

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>