Вчера, в субботу, закончились мои курсы по "Защите персональных данных".
В понедельник меня ожидает зачет и, либо получение свидетельства о повышении квалификации, либо ничего. В любом случае курсом я очень доволен.
Были не очень понятные моменты, такие как, разбор предыдущей редакции закона о персональных данных - на это мы потратили два часа. Можно было провести это время более полезно. Второе, что не понравилось - составление частной модели угроз мы "рассмотрели" за 45 минут. Рассмотрели в кавычках, поскольку мы просто посмотрели "рыбу" документа "Частная модель угроз безопасности персональных данных" - из каких разделов она состоит и куда там можно запихнуть выдержки из "Базовой модели угроз". Подробного рассмотрения базовой модели тоже не было.
По плану на составление МУ было отведено 12 часов. Из-за того что преподователь чувствовал себя неважно, мы уложились в 2-3 часа. Считаю, что это очень мало, тем более, что частная модель угроз - это основной документ, от которого очень сильно зависит выбор средств защиты.
Из того, что лично мне понравилось больше всего - это формулировка об СТР-К.
"Поскольку персональные данные относятся к конфиденциальной информации, мы должны руководствоваться всеми документами по защите конфи, в том числе и СТР-К. Таким образом, коммерческое предприятие, руководствуясь СТР-К, делает вывод о том, что в соответствии с СТР-К, использование СТР-К для нее носит рекомендательный, а не обязательный характер.".
Это шикарно, я считаю. Мы, руководствуясь СТР-К, определяем, что мы не обязаны руководствоваться СТР-К.
Второй любопытный момент - вчера нам показывали SecretNet. Штука конечно интересная, но понравился комментарий преподователя о том, что в сетевой версии всегда присутствует центральная машина, на которую собираются ВСЕ логи с остальных машин сети, из-за чего сеть может проседать и в некоторых случаях приходилось отказываться от использования сетевой версии - т.е. на каждой машине в ИСПДн нужно устанавливать и настраивать SecretNet. Это, конечно, ппц.
Оказалось, что в случае если вендор не продлевает сертификат на какой-то продукт, мы можем сами запросить у ФСТЭК продление этого сертификата для ЕДИНИЧНОГО продукта. Т.е. никто не имеет права пользоваться этой штукой, а мы имеем. Здорово. В некоторых случаях, для упрощения продления сертификата, имеет смысл обратиться в одну из лабораторий, благо в Омске их штуки четыре есть.
По итогам курса выработал для себя определенный план действий, надеюсь, начальство его примет.
Поскольку ФСТЭК делает "замену" 58-му приказу (в соответствии с 19-й статьей измененного 152 ФЗ), работы по ТЗКИ лучше отложить до выхода новых положений (вот тут есть об этом). Хотя, конечно, если вдруг нарвемся на проверку будет плохо. Но предприятие, вроде готово к этому - от юристов и ген. директора поступало предложение оттянуть внедрение мер по защите как можно дольше.
Однако, до внедрения средств защиты можно сделать кучу вещей. Заняться организационно-распорядительной документацией, составить тот же перечень ПДн и матрицы доступа, в конце концов - эти работы все равно придется проводить. Стоит подумать о том нужно ли нам брать согласие на обработку персональных данных с сотрудников и с клиентов - возможно, это облегчит нам жизнь. Например, если водители не дадут согласие на обработку своих ПДн для печати доверенностей - тем лучше, будут вписывать паспортные данные самостоятельно, а мы уберем десяток рабочих мест из ИСПДн.
В общем, думаю, что теперь мне будет чем заняться на работе - время и деньги потрачены не зря. Знания систематезированы, какой-то порядок в голове появился - это хорошо.
В понедельник меня ожидает зачет и, либо получение свидетельства о повышении квалификации, либо ничего. В любом случае курсом я очень доволен.
Были не очень понятные моменты, такие как, разбор предыдущей редакции закона о персональных данных - на это мы потратили два часа. Можно было провести это время более полезно. Второе, что не понравилось - составление частной модели угроз мы "рассмотрели" за 45 минут. Рассмотрели в кавычках, поскольку мы просто посмотрели "рыбу" документа "Частная модель угроз безопасности персональных данных" - из каких разделов она состоит и куда там можно запихнуть выдержки из "Базовой модели угроз". Подробного рассмотрения базовой модели тоже не было.
По плану на составление МУ было отведено 12 часов. Из-за того что преподователь чувствовал себя неважно, мы уложились в 2-3 часа. Считаю, что это очень мало, тем более, что частная модель угроз - это основной документ, от которого очень сильно зависит выбор средств защиты.
Из того, что лично мне понравилось больше всего - это формулировка об СТР-К.
"Поскольку персональные данные относятся к конфиденциальной информации, мы должны руководствоваться всеми документами по защите конфи, в том числе и СТР-К. Таким образом, коммерческое предприятие, руководствуясь СТР-К, делает вывод о том, что в соответствии с СТР-К, использование СТР-К для нее носит рекомендательный, а не обязательный характер.".
Это шикарно, я считаю. Мы, руководствуясь СТР-К, определяем, что мы не обязаны руководствоваться СТР-К.
Второй любопытный момент - вчера нам показывали SecretNet. Штука конечно интересная, но понравился комментарий преподователя о том, что в сетевой версии всегда присутствует центральная машина, на которую собираются ВСЕ логи с остальных машин сети, из-за чего сеть может проседать и в некоторых случаях приходилось отказываться от использования сетевой версии - т.е. на каждой машине в ИСПДн нужно устанавливать и настраивать SecretNet. Это, конечно, ппц.
Оказалось, что в случае если вендор не продлевает сертификат на какой-то продукт, мы можем сами запросить у ФСТЭК продление этого сертификата для ЕДИНИЧНОГО продукта. Т.е. никто не имеет права пользоваться этой штукой, а мы имеем. Здорово. В некоторых случаях, для упрощения продления сертификата, имеет смысл обратиться в одну из лабораторий, благо в Омске их штуки четыре есть.
По итогам курса выработал для себя определенный план действий, надеюсь, начальство его примет.
Поскольку ФСТЭК делает "замену" 58-му приказу (в соответствии с 19-й статьей измененного 152 ФЗ), работы по ТЗКИ лучше отложить до выхода новых положений (вот тут есть об этом). Хотя, конечно, если вдруг нарвемся на проверку будет плохо. Но предприятие, вроде готово к этому - от юристов и ген. директора поступало предложение оттянуть внедрение мер по защите как можно дольше.
Однако, до внедрения средств защиты можно сделать кучу вещей. Заняться организационно-распорядительной документацией, составить тот же перечень ПДн и матрицы доступа, в конце концов - эти работы все равно придется проводить. Стоит подумать о том нужно ли нам брать согласие на обработку персональных данных с сотрудников и с клиентов - возможно, это облегчит нам жизнь. Например, если водители не дадут согласие на обработку своих ПДн для печати доверенностей - тем лучше, будут вписывать паспортные данные самостоятельно, а мы уберем десяток рабочих мест из ИСПДн.
В общем, думаю, что теперь мне будет чем заняться на работе - время и деньги потрачены не зря. Знания систематезированы, какой-то порядок в голове появился - это хорошо.
Комментариев нет:
Отправить комментарий