Второй день на курсах был более насышенным.
Сначала мы быстро посмотрели на возможности Microsoft NAP, о котором я ранее даже не слышал. Правда не совсем понятна область применения. Возможно, при рассмотрении модели угроз, ясность появится.
Максим (наш лектор) рассказывал о технических каналах утечки. Рассказал и забавную историю о том, что при поиске "закладок" ("жучков"), при обнаружении такой закладки, прежде чем сообщать об этом заказчику, нужно направить запрос в ФСБ - узнать не они ли её установили.
Большую часть дня мы потратили на рассмотрение ОРД. Он обратил внимание на то, что когда приходит проверка, проверяющие могут не требовать какие-то конкретные документы для предоставления, а просить информацию в виде: "А каким образом вы закрываете требование 152 ФЗ, ст.19, п2., пп. 8 (например)". Как-то раньше о таком подходе я не задумывался, в основном искал именно список документов, которые требуют проверяющие. Надо будет взять 152 ФЗ, все подзаконные акты и пройтись по ним, составить свой список и сравнить с тем, который он нам дал.
Всего в списке Максима 31 документ, каждый мы быстро рассмотрели, хотя там всё понятно и из названия (типа "Политика безопасности", "Список лиц, допущенных к обработке ПДн" и т.д.).
Кроме того, он даёт такой список работ (в общем виде):
1. Выделение процессов обработки ПДн.
2. Выделение ИСПДн в различные подсистемы.
3. Классификация ИСПДн.
4. ТЗ на СЗПДн.
В принципе, примерно такой же план, давали и в ОмГУ. Первый пункт, этого плана, в свою очередь, делится на следующие шаги:
1. Назначение ответственного и комиссии.
2. Изучение внутренней и внешней ОРД - т.е. всех документов циркулирующих на предприятии.
3. Интервьюирование должностных лиц - определяем кто и что конкретно делает, выделяем цели обработки ПДн.
4. Идентификация точек входа и выхода информации, пути её перемещения на предприятии.
5. Изучение содержимого входящих и исходящих потоков информации - на этом этапе можно попытаться найти лишнюю информацию.
6. Выявление информации обрабатывающейся без использования средств автоматизации и с их использованием.
7. Анализ и уточнение оснований обработки, установка условий начала и прекращения обработки ПДн, определение категорий, обрабатываемых ПДн.
8. Определение структурных подразделений и должностных лиц, использующих ПДн в своей работе.
9. Составление и утверждение перечня ПДн, с учётом целей, оснований и сроков обработки.
В итоге, на выходе будет: перечень ПДн; список лиц, допущенных к обработке ПДн; описание процессов обработки ПДн.
Для описания самих процессов, по словам Максима, удобно использовать нотацию IDEF0, а для описания логики IDEF3. Честно говоря, с трудом представляю себе размер такой схемы для нашего предприятия, но, возможно, для небольших предприятий такой подход подойдёт.
Что будет дальше - будем посмотреть.
Сначала мы быстро посмотрели на возможности Microsoft NAP, о котором я ранее даже не слышал. Правда не совсем понятна область применения. Возможно, при рассмотрении модели угроз, ясность появится.
Максим (наш лектор) рассказывал о технических каналах утечки. Рассказал и забавную историю о том, что при поиске "закладок" ("жучков"), при обнаружении такой закладки, прежде чем сообщать об этом заказчику, нужно направить запрос в ФСБ - узнать не они ли её установили.
Большую часть дня мы потратили на рассмотрение ОРД. Он обратил внимание на то, что когда приходит проверка, проверяющие могут не требовать какие-то конкретные документы для предоставления, а просить информацию в виде: "А каким образом вы закрываете требование 152 ФЗ, ст.19, п2., пп. 8 (например)". Как-то раньше о таком подходе я не задумывался, в основном искал именно список документов, которые требуют проверяющие. Надо будет взять 152 ФЗ, все подзаконные акты и пройтись по ним, составить свой список и сравнить с тем, который он нам дал.
Всего в списке Максима 31 документ, каждый мы быстро рассмотрели, хотя там всё понятно и из названия (типа "Политика безопасности", "Список лиц, допущенных к обработке ПДн" и т.д.).
Кроме того, он даёт такой список работ (в общем виде):
1. Выделение процессов обработки ПДн.
2. Выделение ИСПДн в различные подсистемы.
3. Классификация ИСПДн.
4. ТЗ на СЗПДн.
В принципе, примерно такой же план, давали и в ОмГУ. Первый пункт, этого плана, в свою очередь, делится на следующие шаги:
1. Назначение ответственного и комиссии.
2. Изучение внутренней и внешней ОРД - т.е. всех документов циркулирующих на предприятии.
3. Интервьюирование должностных лиц - определяем кто и что конкретно делает, выделяем цели обработки ПДн.
4. Идентификация точек входа и выхода информации, пути её перемещения на предприятии.
5. Изучение содержимого входящих и исходящих потоков информации - на этом этапе можно попытаться найти лишнюю информацию.
6. Выявление информации обрабатывающейся без использования средств автоматизации и с их использованием.
7. Анализ и уточнение оснований обработки, установка условий начала и прекращения обработки ПДн, определение категорий, обрабатываемых ПДн.
8. Определение структурных подразделений и должностных лиц, использующих ПДн в своей работе.
9. Составление и утверждение перечня ПДн, с учётом целей, оснований и сроков обработки.
В итоге, на выходе будет: перечень ПДн; список лиц, допущенных к обработке ПДн; описание процессов обработки ПДн.
Для описания самих процессов, по словам Максима, удобно использовать нотацию IDEF0, а для описания логики IDEF3. Честно говоря, с трудом представляю себе размер такой схемы для нашего предприятия, но, возможно, для небольших предприятий такой подход подойдёт.
Что будет дальше - будем посмотреть.
Комментариев нет:
Отправить комментарий