В предыдущей статье я отметил что в ряде свежих нормативных документов не уделяется внимания квалификации, повышению осведомленности и обучению ответственных лиц.
Давайте порассуждаем логически – может ли сотрудник, ранее не сталкивавшийся с ПДн, ГИС и СЗИ и не обладающий никаким знаниями в этой теме обеспечивать работоспособность и эффективность системы защиты? Даже если все меры и система защиты создана под ключ консультантом / интегратором? Если ответственные лица не будут знать и уметь, то меры защиты перестанут или даже не начнут работать, документы уйдут в шкаф, а СЗИ мешающие работе будут убраны на полку.
Если кратко то, ответственному за защиту ПДн необходимы как минимум следующие знания и навыки (даже если оператор обращается к интегратору за помощью):
·
знание области действия и основные положения нормативных правовых актов, регламентирующих вопросы обработки и обеспечения безопасности персональных данных (как правило в внутреннем комплекте ОРД отражают основные моменты из нормативных актов, а не дублируют их полностью, так что в некоторых ситуациях нужно обращаться непосредственно к нормативным правовым актам РФ);
·
знание основных видов нарушителей и угроз безопасности персональных данных в информационных системах персональных данных (в соответствии с последними методиками в рабочей группе по определению актуальности нарушителей и угроз обязательно должны быть представители Оператора, зачастую они лучше знают ситуацию на местах чем эксперты консультант);
·
знание мер обеспечения безопасности персональных данных;
·
знание порядка определения состава мер ОБПДн;
·
знание порядка создания ИС / СЗПДн (чтобы нормально принимать работы интегратора, нужно хотя бы примерно понимать типовые этапы работ)
·
знание типов СЗИ и их соответствие требуемым мерам ОБПДн;
·
знание условий и ограничения использования средств защиты информации;
·
ответственным за эксплуатацию СЗИ лицам кроме этого необходимо уметь обнаруживать неработоспособность СЗИ, в журналах СЗИ находить информацию об НСД, добавлять/удалять пользователей, следить за корректностью текущего обновления СЗИ, осуществлять резервное копирование и восстанавливать настроки (переустанавливать без изменения настроек) СЗИ.
Аналогично лицо ответственное за организацию обработки ПДн, лица, допущенные к обработке ПДн и пользователи СЗИ должны обладать определенными минимальными знаниями в области ПДн и защиты информации.
Откуда эти знания могут взяться? Обучение во всех возможных формах: обучение в учебном центре, внутреннее обучение (если есть кому учить), внутренние инструктажи, ознакомление с документами, внутренние информационные рассылки, скринсейверы, автоматизированные системы повышения осведомленности. Не забываем и про проверку знаний во всех формах: тестирование при обучении в УЦ, внутренняя проверка (если есть кому проверить), проверка интегратором при создании системы, проверка аудитором при тестировании защиты, автоматизированные системы тестирования.
Посмотрим всё же на нормативные документы РФ, может быть всё-таки есть обязательные требования, которые надо учитывать при этом (кроме приведенных в предыдущей статье):
152-ФЗ: “Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.”
Постановление Правительства РФ №211:“1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:
е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;”
Приказ ФСТЭК №17: “Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы
18.1. В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:
информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение;”
Приказ ФСБ №378: “16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.”
Типовые требования ФСБ России № 149/6/6-622:“2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:
— обучение лиц, использующих криптосредства, работе с ними;”
ГОСТ Р 51583 – 2014:“АСЗИ - автоматизированная система в защищенном исполнении;
6.13.2 На этапе "Подготовка персонала" проводят:
- обучение персонала АСЗИ и проверку его способности обеспечивать функционирование системы ЗИ и АСЗИ в целом;
- проверку и подготовку специалистов структурного подразделения или должностного лица (работника), ответственных за ЗИ в АСЗИ.”
ГОСТ РО 0043-004-2013 Программа и методики аттестационных испытаний: ”Д.3.5 Проверка уровня подготовки специалистов и распределения ответственности пользователей АС
Проверку проводят на основе следующих показателей:
- оценка знания инструкций по безопасности информации пользователями АС;
- наличие системы распределения ответственности пользователей АС за выполнение требований безопасности информации.
На основании опроса пользователей АС проверяют знание ими руководящих документов и инструкций.
Проводят выборочную проверку персонала из каждой категории организационно-штатной структуры АС на предмет владения технологиями безопасной обработки информации и знания соответствующих инструкций.
Проверяют организацию обучения и повышения квалификации пользователей АС.
Проверка считается успешной, если уровень подготовки пользователей АС обеспечивает выполнение требований безопасности информации.”
Как видно требования к обучению и проверке знаний всё-таки имеются. Наиболее логичный шаг – разработать программу обучения, повышения осведомленности пользователей и проверки знаний и реализовывать её с учетом рекомендаций из первой части статьи.
