Qualys и защита ПДн

152-ФЗ и другие подзаконные акты содержат много требований по организации и защите ПДн. Это и организационные, и технические меры. Решение Qualys PolicyCompliance можно очень эффективно использовать для выполнения задачи внутреннего контроля выполнения требований по ПДн, а конкретно для выполнение следующих статьей (требований): 152-ФЗ Ст.18.1 1.4); 152-ФЗ Ст.19.2.4); 152-ФЗ  Ст.19.2 9); П781 п.11 д); П781 п.12 з).

Алгоритм действий получается следующий (для компаний, в которых СЗПДн уже в каком-то виде функционирует):

1. Инвентаризация. Проведение стандартной для QualysGuard инвентаризации (mapping). При этом мы получим карту сети и перечень всех хостов (устройств с IP-адресом, находящихся в ИТ-инфраструктуре).
2. Категорирование. Проводим группировку и категорирование выявленных хостов в соответствии с заранее определенными ИСПДн. Нам необходимо объединить хосты в группы по принципу вхождения их в состав ИСПДн. Так, например, мы получим группу активов ИСПДн К3 "Зарплата и кадры", ИСПДн К2 "Клиенты" и т.д. Также следует провести стандартное для QualysGuard категорирование активов, при этом ориентируясь на перечень ПДн, обрабатываемых на хостах и в ИСПДн вцелом. Данная работа занимает мало времени, но позволяет более точно оценивать безопасность и тенденции изменения ее уровня со временем.
3. Создание политики контроля (технические средства). Далее, работая в модуле QualysGuard PolicyCompliance мы создаем политику оценки соответствия настроек, предъявляемым требованиям. Этими требованиями могут быть как внутренние организационно-распорядительные документы (например, Политика парольной защиты, Политика АВЗ), требования технического задания/ технического проекта на СЗПДн, так и требования регуляторов (ПП781, П58). При этом мs должны ориентироваться на класс ИСПДн (именно по этому мы и делали на шаге 2 группировку). Политику оценки мы можем создать 2мя способами:
1. Простой способ. Если помните, то недавно в QualysGuard PolicyCompliance появилась возможность составления политики по эталонному хосту ("золотое сечение"). Таким образом, нам надо создать несколько эталонных хостов с правильными настройками (это будут и АРМы пользователей, и сервера, и некоторое сетевое оборудование), которые будут подразумевать, что на хостах установлены и настроены все необходимы средства защиты (АВЗ, МСЭ, контроль доступа и т.д.), лишние службы и протоколы отключены, и обучить Qualys этим хостам, правильно настроено обновление и т.д.
2. Творческий способ. Самостоятельно создать политику, используя стандартные контроли QualysGuard (CID), ориентируясь на правила, прописанные в документах и требованиях. Ну, например:
• для контроля настроек по смене пароля. его длине, сложности и блокировке при неверном вводе используем следующие контроли QualysGuard (CID): 3376 - Status of the 'Maximum Password Age' setting; 1071- Status of the 'Minimum Password Length' setting;  1092- Status of the 'Password Complexity Requirements' setting; 2342 - Status of the 'Account Lockout Threshold' setting (invalid login attempts).
• для проверки наличия и настроек АВЗ: CID 3717, CID 2312, CID 3718...
• для проверки настроек контроля доступа: CID 1133, 2543,2544, 2181-2184 и т.д. 
• аналогично есть и контроли (CID) для проверки наличия логов, шифрованного соединения, настроек резервного копирования и т.д.
4. Создание опросников для проверки соответствия орг.мерам. Про скорое появление модуля опросников я уже писал тут. Мы сможем создать опросники, позволяющие получить ответы и систематизировать информацию по следующим требованиям:
• соблюдение принципов и целей обработки ПДн;
• наличие основания для обработки ПДн;
• наличие соглашений субъектов ПДн на обработку ПДн;
• наличие уведомлений по обработке ПДн;
• обеспечение выполнения прав субъектов ПДн ;
• соблюдение требований при получении/передаче ПДн третьим лицам ;
• назначение ответственного за организацию (и обеспечение безопасности) обработки ПДн;
• разработка локальных актов (ОРД) по вопросам обработки ПДн;
• оценка вреда субъектам ПДн и определение угроз ПДн;
• ознакомление работников с требованиями к обработке ПДн;
• публикация политики в отношении обработки ПДн;
• учет машинных носителей ПДн;
• соблюдение требований при трансграничной передаче ПДн;
• соблюдение требований по обработке специальных категорий ПДн;
• и т.д. (полный список с указанием ссылок скоро опубликую тут, хотя вы и так их знаете).
5. Запуск сканирования и заполнение опросных форм. После проведения подготовительных мероприятий (1-4) мы переходим к непосредственному аудиту (контролю соответствия). Из интересных и полезных особенностей: QualysGuard позволяет проводить сканирования по расписанию и по отдельным ИСПДн (группам хостов), также существует возможность делегировать заполнение части вопросов опросника делегировать. Это позволяет проводить регулярный внутренний контроль с минимальными трудозатратами.

Таким образом мы можем проверить наличие организационных и технических мер защиты ПДн, а также выполнение требований по безопасности и организации обработки ПДн.

P.S. Для консалтинговых компаний соответственно QualysGuard будет полезен для автоматизации проведения аудита соответствия и подготовки отчетов...

P.S.S. Аналогичную схему мы можем использовать и для других стандартов ИБ (например, ISO 27001\27002, СТО БР ИББС, PCI DSS)