ПДн. СКЗИ. Перечни, журналы и другие записи в электронной форме

ПДн. СКЗИ. Перечни, журналы и другие записи в электронной форме
В предыдущей заметке мы обсудили спорные моменты, связанные с ведением “перечней лиц” в ИБ. В комментариях в блоге, facebook высказывались противоположные версии о необходимости ФИО. РКН по всей видимости пока решили никого не трогать, так как есть более значимые, с их точки зрения нарушения.

Взглянем на проблему чуть шире. В обязательных требованиях по ПДн и СКЗИ, помимо необходимости утверждения перечней лиц, есть ещё необходимость сохранения некоторых других свидетельств выполнения требуемых мероприятий: журналов, актов, ...

В современных организациях (особенно после диджитализации) хотелось бы максимально избежать бумажной работы и бумажных документов, тем самым существенно сократить накладные расходы на эксплуатацию системы ИБ. Перечни и журналы хотелось бы вести в электронном виде в excel или какой-то информационной системе, отчеты готовить в виде писем или презентаций и т.п. Но так чтобы не нарушать при этом требований.

Разработчики же нормативных актов стараются максимально затруднить нам переход в цифровую эпоху: не учитывают нюансы электронного документооборота, используются разные формулировки для требований к документации, что вносит некоторую путаницу и ограничения:  
·         издание оператором документов (152-ФЗ)
·         утверждение руководителем оператора документ (ПП 1119, ПП 211, приказ ФСБ №378)
·         перечень … устанавливается оператором (ПП 687)
·         определить места …, установить перечень .. (ПП 687)
·         утверждение перечня … (приказ ФСБ №378)
·         осуществлять поэкземплярный учет … ведением журнала (приказ ФСБ №378)
·         формирования и утверждения руководителем оператора … (приказ ФСБ №378)
·         разработку … документации / разработку документов .. (приказ ФСТЭК №17)
·         отражаются в документации / вносятся в документацию (приказ ФСТЭК №17)
·         результаты оформляются актом .. (приказ ФСТЭК №17)
·         документирование действий / документирование процедур / документирование результатов (приказ ФСТЭК №17)
·         разработку схемы … схему утверждает (приказ ФАПСИ №152)
·         перечню … утверждаемому обладателем КИ (приказ ФАПСИ №152)
·         заключение, составленное комиссией (приказ ФАПСИ №152)
·         журналы ведут (приказ ФАПСИ №152)
·         правила устанавливает (приказ ФАПСИ №152)

В вариантах, когда требуется просто “вести”, “определять”, “установить”, “осуществлять учет”, “составляет” мы можем это делать и в электронной форме, в том числе в excel файлах...

Когда упоминается термин “документ”, обычным файлом уже не обойтись. Нужно добавлять реквизиты и вводить систему идентификации электронных документов (электронный документооборот) (ГОСТ Р 7.0.8-2013, №63-ФЗ)

Там, где требуется “утверждение” документов, уже не обойтись без электронной подписи. Кроме того, “утверждающему” сотруднику должны быть даны следующие полномочия.

Конечно было интересно узнать мнения регуляторов (особенно ФСБ России, которые уже так привыкли к бумажным журналам регистрации) по данному вопросу, поэтому я спросил, допустимо ли вести требуемую документацию в электронной форме? Нужна ли электронная подпись? Если нужна, то какая?
Ответ Минкомсвязи (только суть, общие слова как в предыдущей статье)


Ответ ФСБ России

Как видно, вариант с ведением документов в электронной форме (даже с простой ЭП) вполне устраивает регуляторов.  Издаем внутренний документ, разрешающий ведение таких-то документов в электронной форме и дающих право подписи и утверждения этих документов ответственному лицу с применением такого-то типа подписи в такой-то системе. Возможно это будет система ЭД, система управления учетными записями и правами пользователей или система автоматизации мероприятий ИБ, такая как DocShell . Далее все перечни, журналы по ПДн, СКЗИ ведем исключительно в электронной форме. Бумага больше не пострадает... Профит.. 



 PS: Кстати не мешало бы в новых НПА использовать какие-то одинаковые формулировки требований к документации: "документировать" "утверждать"
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!