вторник, 19 сентября 2017 г.

ПДн. СКЗИ. Перечни, журналы и другие записи в электронной форме

В предыдущей заметке мы обсудили спорные моменты, связанные с ведением “перечней лиц” в ИБ. В комментариях в блоге, facebook высказывались противоположные версии о необходимости ФИО. РКН по всей видимости пока решили никого не трогать, так как есть более значимые, с их точки зрения нарушения.

Взглянем на проблему чуть шире. В обязательных требованиях по ПДн и СКЗИ, помимо необходимости утверждения перечней лиц, есть ещё необходимость сохранения некоторых других свидетельств выполнения требуемых мероприятий: журналов, актов, ...

В современных организациях (особенно после диджитализации) хотелось бы максимально избежать бумажной работы и бумажных документов, тем самым существенно сократить накладные расходы на эксплуатацию системы ИБ. Перечни и журналы хотелось бы вести в электронном виде в excel или какой-то информационной системе, отчеты готовить в виде писем или презентаций и т.п. Но так чтобы не нарушать при этом требований.

Разработчики же нормативных актов стараются максимально затруднить нам переход в цифровую эпоху: не учитывают нюансы электронного документооборота, используются разные формулировки для требований к документации, что вносит некоторую путаницу и ограничения:  
·         издание оператором документов (152-ФЗ)
·         утверждение руководителем оператора документ (ПП 1119, ПП 211, приказ ФСБ №378)
·         перечень … устанавливается оператором (ПП 687)
·         определить места …, установить перечень .. (ПП 687)
·         утверждение перечня … (приказ ФСБ №378)
·         осуществлять поэкземплярный учет … ведением журнала (приказ ФСБ №378)
·         формирования и утверждения руководителем оператора … (приказ ФСБ №378)
·         разработку … документации / разработку документов .. (приказ ФСТЭК №17)
·         отражаются в документации / вносятся в документацию (приказ ФСТЭК №17)
·         результаты оформляются актом .. (приказ ФСТЭК №17)
·         документирование действий / документирование процедур / документирование результатов (приказ ФСТЭК №17)
·         разработку схемы … схему утверждает (приказ ФАПСИ №152)
·         перечню … утверждаемому обладателем КИ (приказ ФАПСИ №152)
·         заключение, составленное комиссией (приказ ФАПСИ №152)
·         журналы ведут (приказ ФАПСИ №152)
·         правила устанавливает (приказ ФАПСИ №152)

В вариантах, когда требуется просто “вести”, “определять”, “установить”, “осуществлять учет”, “составляет” мы можем это делать и в электронной форме, в том числе в excel файлах...

Когда упоминается термин “документ”, обычным файлом уже не обойтись. Нужно добавлять реквизиты и вводить систему идентификации электронных документов (электронный документооборот) (ГОСТ Р 7.0.8-2013, №63-ФЗ)

Там, где требуется “утверждение” документов, уже не обойтись без электронной подписи. Кроме того, “утверждающему” сотруднику должны быть даны следующие полномочия.

Конечно было интересно узнать мнения регуляторов (особенно ФСБ России, которые уже так привыкли к бумажным журналам регистрации) по данному вопросу, поэтому я спросил, допустимо ли вести требуемую документацию в электронной форме? Нужна ли электронная подпись? Если нужна, то какая?
Ответ Минкомсвязи (только суть, общие слова как в предыдущей статье)


Ответ ФСБ России

Как видно, вариант с ведением документов в электронной форме (даже с простой ЭП) вполне устраивает регуляторов.  Издаем внутренний документ, разрешающий ведение таких-то документов в электронной форме и дающих право подписи и утверждения этих документов ответственному лицу с применением такого-то типа подписи в такой-то системе. Возможно это будет система ЭД, система управления учетными записями и правами пользователей или система автоматизации мероприятий ИБ, такая как DocShell. Далее все перечни, журналы по ПДн, СКЗИ ведем исключительно в электронной форме. Бумага больше не пострадает... Профит.. 



 PS: Кстати не мешало бы в новых НПА использовать какие-то одинаковые формулировки требований к документации: "документировать" "утверждать"

4 комментария:

Proximo комментирует...

Резюмируя: документы предприятия по менеджменту СКЗИ можно вести в электронном виде, но их нужно подписывать квалифицированными электронными подписями. Но тут проблема будет в том, что обычно руководство компании/предприятия и с этим не хочет заморачиваться - а ну как для большинства работников внедрить электронную подпись. И опять же - её нужно именно внедрить, утвердить и определить порядок её использования. И от руководство всеми средствами чаще всего пытается откреститься.
Да, можно и неквалифицированными электронными подписями подписывать, но при этом, опять же, должен быть утвержден нормативный документ, всё это регламентирующий.
Мне кажется, всё таки проще вести по-старинке, в бумажном виде, то, чем должен отчитываться и предъявлять в случае проверок.

Сергей Борисов комментирует...

Все зависит от объемов и текучки. Если речь о сотнях и тысячах сотрудников / записей, то гораздо проще ОДИН раз выпустить документ вводящий возможность ведения записей в электронной форме и все следующие ГОДЫ пожинать лавры.

Другое дело, что даже ПРОСТУЮ подпись надо реализовать. Просто excel файл этого не обеспечивает. Для простой подписи необходима система которая будет иметь кнопку "подписать" и проверять при этом логин/пароль

ЗВД комментирует...

Коллеги, доброе утро!
Перечитал несколько раз ответ ФСБ России. А как вам такая трактовка: можете вести журналы в электронном виде даже без электронной подписи, но тогда нужно чтобы, например в бухгалтерии, были бумажные документы, подтверждающие факты закрепленные в журнале... Например если журнал передачи СКЗИ - это товарные накладные на передачу скажем ПАК ViPNet Coordinator, журнал передачи ключевых документов - акт приема-передачи электронных ключей/какой-то акт выполненных работ по выдаче ЭП(для УЦ)...
Вполне возможно это применимо только в случае оказания услуг (а не выдачи электронных ключей ЭП внутри свой организации). В своих тезисах я опираюсь на фразу: "либо наличием соответствующих подписанных актов приема-передачи в бумажном виде"

Сергей Борисов комментирует...

ЗВД: да, этот вариант у нас тоже в работе, в части продажи СКЗИ. Если есть акты поставки / приема-передачи, на которых уже стоят подписи, то можно вместо подписи указывать реквизиты этих документов...
Тогда тоже удобно вести в электронной форме