Информационная безопасность по-русски

Когда иностранцы говорят, что в науке мы отстали от них навсегда, речь идет не столько о технологиях, сколько о наших «привычках» в работе. Особо тоскливо становится тогда, когда привычки превращаются в «обряды».

Что такое 34-й ГОСТ? Это инструкция проведения обряда! Считается, что если разработка автоматизированной системы проводится с выполнением всех предписаний обряда, то великое “Нечто” дарует системе те качества, которые ожидает получить разработчик.

Как показывает практика, разработка АС по требованиям вышеуказанного стандарта не только не приводит к желаемым результатам, но и приводит к бессмысленным трудозатратам.

Возьмем документ ГОСТ 34.601-90 Автоматизированные системы. Стадии создания.

Согласно этому документу разработка АС должна происходить в следующие стадии:

1. Формирование требований к АС
2. Разработка концепции АС.
3. Техническое задание.
4. Эскизный проект.
5. Технический проект.
6. Рабочая документация.
7. Ввод в действие.
8. Сопровождение АС.

На каждой стадии помимо нужных документов предлагается разрабатывать кучу всякой ерунды, которая работе не помогает и вообще она никому не нужна. Но это еще полбеды. Основная проблема стандарта кроется в подходе. Согласно стандарту, для разработки и внедрения АС мы обязаны проходить последовательные стадии от формирования требований к системе и заканчивая вводом в действие и сопровождением. А что делать если в самом начале мы не можем сформировать все требования?  Или в момент разработки рабочей документации требования к системе (например, со стороны бизнеса) поменялись? Или при вводе в действие нужно внести изменения в ТП? По всей видимости нужно возвращаться на несколько стадий назад и начинать работу заново. А что делать если создание системы занимает месяцы или годы? Сколько раз нужно все переделывать?…

Ответы на эти вопросы уже давно есть.

Более того:

Уже 40 лет весь цивилизованный мир не использует подход 34-го ГОСТА!

34-й ГОСТ использует, так называемую “Каскадную модель” жизненного цикла, которая была предложена еще в 1970 г. г-ном Ройсом. Здесь мы проходим все классические стадии:

1. Формирование требований;
2. Проектирование;
3. Реализация;
4. Тестирование;
5. Внедрение;
6. Эксплуатация и сопровождение.

Однако эта модель не работает, когда требования к системе невозможно сразу сформулировать или условия использования системы могут поменяться. В результате мы получаем не последовательное выполнение каждого этапа, а что-то вроде этого:

Очевидно что в результате получить “живую” систему довольно сложно.

Поэтому еще в начале 80-х годов прошлого века японцы стали применять так называемую «Спиральную модель», которую в середине 80-х украл и выдал за свою Барри Боэм.

Суть модели сводится к постепенной выработке конечного решения. Например, мы не можем выставить четкие требования на систему сразу, а имеем лишь концепцию или видение конечного результата. В таком случае исходя из видения мы проводим первичное проектирование, вырабатываем решение, тестируем его, анализируем результаты и дорабатываем первичное техническое задание и так до тех пор пока не получим готового технического решения, которое отвечает всем требованиям. В общем-то это вариация на тему цикла Деминга, но подача немного другая.

На основе “Спиральной модели” в 1994 году Microsoft разработали и опубликовали свою методологию разработки программного обеспечения Microsoft Solutions Framework. В настоящий момент практически все производители ПО используют этот подход.

Итого

34-й ГОСТ морально устарел. И все крики некоторых экспертов на тему обязательности соответствия этому ГОСТу равносильны призывам выполнять древний обряд.

Однако стоит оговориться:

… другого ГОСТа нет и окончательно и бесповоротно отказываться от единственного документа нельзя. Правила хоть и плохие, но они есть и их нужно стараться выполнять. Без паранойи, но выполнять. Ну а на перспективу остается только надеяться, что многочисленная армия чиновников или общественников обратят внимание на принципиальную проблему нашего сообщества. Разработка нового стандарта – это титаническая работа, но она необходима.

Может быть недавно образованный АРСИБ запустит процесс? Посмотрим…

.

.

Другие записи

• 10-летие Школы IT-менеджмента
• Принципы защиты персональных данных на предприятии и подводные камни привлечения интегратора. Слайдкаст
• Бизнес-курс для руководителей служб информационной безопасности
• Нормативные документы по информационной безопасности для банков v.2.0
• Немного о текущей ситуации с СТО БР ИББС
• Праздники заканчиваются переходим в рабочий режим

Автор: Царев Евгений | Метки: Автоматизированная система, ГОСТ 34, За рубежом, Законодательство, Инновации, Интеграторы, Информационная безопасность, перспективная технология, Система защиты персональных данных не по ГОСТу, Стандарты

Не секрет, что проверки Роскомнадзора ориентируются, в основном, на проверку существующей документации касающейся обработки персональных данных.

Также проверяется организационная часть защиты персональных данных. Например, если на столе секретаря в страховой компании будут лежать на виду у всех посетителей заключение по факту обращения в медицинское учреждение застрахованного лица (сам такое встречал), то это явное нарушение статьи 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.

Если с явными нарушениями бороться достаточно просто, то с подготовкой необходимой документации иногда возникают сложности. Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает:

• Модели угроз безопасности персональных данных для каждой ИСПДн;
• Акты классификации ИСПДн; (можно взять здесь)
• Положение о защите персональных данных;
• Положение о назначении подразделения по защите персональных данных;
• Должностные регламенты лиц, ответственных за защиту персональных данных;
• Схема организации ИСПДн;
• Копия договора об оказании услуг (если есть);
• Копия трудового договора с сотрудниками;
• Письменное согласие субъектов персональных данных;
• Приказ с перечнем лиц, допущенных к обработке персональных данных;
• Документы учета обращений граждан (субъектов персональных данных) о выполнении их законных прав;
• Приказ о назначении лиц, ответственных за ведение и периодическую проверку содержания журнала обращений;
• Приказ о ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска на территорию;
• Копия уведомления об обработке персональных данных (если уведомление до проверки не будет подано, то это 100%-е нарушение статьи 19.7 КоАП РФ Непредставление сведений…).

Вопрос минимальной достаточности остается открытым, т.к. иногда запрашиваемый пакет документов составляет 5-7 документов, а иногда несколько десятков. В открытом доступе также можно найти еще 2 списка документов:

• Документы, регламентирующие обработку персональных данных
• Документы, регламентирующие обработку ПДн с использованием криптосредств (СКЗИ)

Рекомендую их просмотреть, на предмет актуальности конкретно для вас.

Другие записи

• Конференция IDC в Екатеринбурге
• Статья в журнале «Банковские Технологии»
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”
• День 6. Получение запросов от субъектов персональных данных

Автор: Царев Евгений | Метки: безопасность персональных данных, закон о персональных данных, Законодательство, защита персональных данных, ИСПДн, Классификация ИСПДн, Консультация, Марафон, Новость, обработка персональных данных, Опыт работ, персональные данные в медицине, персональные данные работника, положение о персональных данных, Права граждан, Проверки, Роскомнадзор, Система защиты персональных данных не по ГОСТу, система персональных данных, СМИ, Требования, Уведомление