В новостях мы все чаще встречаем информацию про закупку планшетов для ГИБДД , для депутатов ГД и других представителей власти и коммерческих структур. Логично предположить, что на этих мобильных устройствах могут (и скорее всего будут) обрабатываться персональные данные.
И если коммерческие структуры могут попробовать обойти формальные требования по защите персональны данных, то для государственных компаний это сделать будет нельзя.
Приведу ряд требований, на которые надо ориентироваться.
ПП1119 (для всех уровней защищенности):
- Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
- Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
- Обеспечение сохранности носителей персональных данных
SOISO (Приказ ФСТЭК №21, версия проекта от 09.02.2013 )
- ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных (для 1го и 2го уровней защищенности)
- УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств (для всех уровней защищенности)
- УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети (для всех уровней защищенности)
- + требования про защиту машинных носителей: 8.4. Меры по защите машинных носителей ПДн (средств обработки и хранения ПДн, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них Пдн, а также несанкционированное использование съемных машинных носителей ПДн. А именно:
- ЗНИ.1 Учет машинных носителей ПДн (для 1го и 2го уровней защищенности)
- ЗНИ.2 Управление доступом к машинным носителям ПДн (для 1го и 2го уровней защищенности)
- ЗНИ.8 Уничтожение (стирание) или обезличивание ПДн на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания (для 1го, 2го и 3го уровней защищенности)
- +не включенные в базовый набор (не обязательные):
- ЗНИ.3 Контроль перемещения машинных носителей ПДн за пределы контролируемой зоны
- ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием ПДн, хранящихся на машинных носителях, и (или) использования носителей ПДн в иных информационных системах
- ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители ПДн
- ЗНИ.6 Контроль ввода (вывода) информации на машинные носители ПДн
- ЗНИ.7 Контроль подключения машинных носителей ПДн
Ответы на комментарии типа "как эти требования реализовывать?", "от некоторых можем отказаться, нам не актуально", "мобильные устройства и съемные машинные носители - это разные устройства, требования к 2м к 1м не относится", "входят ли мобильные устройства в ИСПДн?" я в рамках данного поста давать не хочу (некоторые из них слишком философские). Ждем финальную версию SOISO, официальную позицию регуляторов и практику проверок. Но что-то мне подсказывает, что на ближайшее время все "забьют"...