montana/Vera Montana/_audit/27_konfidencialnost_pd.md

# 27. Положение о порядке обеспечения конфиденциальности при обработке ПД (23.07.2024)

**Тип:** Local Regulation, **Приложение 3** к Политике оператора в отношении обработки ПД
**Утверждено:** Директор ЗАО «Уайт Бёрд» М.А. Шабанов, 23.07.2024
**Юр.лицо:** ЗАО «Уайт Бёрд», г. Минск
**Размер:** 5.1 МБ, ~6 стр.
**Глав:** 4

## Что это
**Технико-организационное Положение** о том, КАК именно защищать ПД (организационные + технические меры). Сопровождает Положение об обработке ПД (#25). Это **Приложение 3**, в то время как #25 — **Приложение 1**, а #18 — главная Политика.

## Структура документа

### Глава 1. Общие положения (п.1-16)
- Применяемые в Обществе **способы обеспечения безопасности** при обработке ПД
- **Обязательное соблюдение конфиденциальности** должностными лицами (NDA в трудовом договоре + должностной инструкции)
- **Перечень должностных лиц, допущенных к ПД, утверждается приказом директора** (только эти лица могут обрабатывать)
- **Знакомство работника с Политикой под роспись** при найме
- **Хранилища** для документов и средств доступа (ключи, пароли) — выделяются работодателем
- **Запрет** на устную/письменную передачу ПД без служебной необходимости
- **Запрет передачи третьим лицам** по телефону, факсу, электронной почте (за исключениями)
- **Немедленное уведомление руководителя + ИБ** при инциденте

### Глава 2. Безопасность БЕЗ средств автоматизации (бумажные носители, п.17-20)
- **Руководитель структурного подразделения определяет места хранения**
- **Контроль наличия условий**, обеспечивающих сохранность ПД
- **Уничтожение** ПД способом, исключающим дальнейшую обработку (шреддер)
- **Информирование лиц** об особенностях работы

### Глава 3. Безопасность С использованием средств автоматизации (КСО, п.21-26)
**КСО** = Компьютерная Сеть Общества.
Требования к КСО:
- **Допуск только при наличии паролей доступа**
- **Помещения**, исключающие неконтролируемое пребывание посторонних лиц
- **Антивирусное ПО** + восстановление ПД
- **Запрет несанкционированного выноса** оборудования из помещений
- **Запрет несанкционированной установки** ПО
- **Обучение пользователей** средствам защиты
- **Учёт лиц с правами доступа и паролей**
- **Учёт средств защиты информации**
- **Контроль соблюдения условий использования** СЗИ

### Глава 4. Съёмные носители (п.27-30)
- **Все съёмные носители подлежат учёту** (диски, USB, дискеты)
- **Каждый носитель имеет этикетку** с уникальным учётным номером
- **Запрещено:**
  - хранить съёмные носители с ПД вместе с открытой информацией
  - оставлять без присмотра, передавать другим лицам
  - выносить из служебных помещений (домой, в гостиницы)
- **Об утрате** — немедленное уведомление директора
- **Утилизация** по отдельному локальному акту

## Моё мнение
**Этот документ — очень классический бумажно-офисный подход к безопасности.** В нём НЕ хватает современных IT-мер. Whitebird явно делал это формально по требованию законодательства РБ.

### Сильные стороны
1. **Чёткое распределение ответственности** — руководитель подразделения отвечает за свой участок
2. **Учёт допущенных лиц** через приказ директора — bureaucracy works
3. **Уведомительная иерархия** — работник → руководитель → ИБ → директор
4. **Запрет на устную передачу** — простое, но важное правило
5. **Учёт носителей с этикетками** — basic but effective

### Критические недостатки документа
1. **НЕТ упоминания шифрования** — ни at-rest, ни in-transit
2. **НЕТ упоминания MFA** (многофакторной аутентификации)
3. **НЕТ упоминания DLP** (Data Loss Prevention)
4. **НЕТ упоминания SIEM** (Security Information and Event Management)
5. **НЕТ упоминания pen-test** (хотя в аудите Kept упомянуты pen-tests 2 раза в год)
6. **НЕТ упоминания специфики crypto** (private keys клиентов, hot/cold wallets)
7. **«Антивирусное ПО»** упомянуто как panacea — это XXI век, нужно EDR/XDR
8. **НЕТ упоминания cloud-сервисов** (а они явно используют AWS/Azure/Hetzner)
9. **НЕТ упоминания удалённой работы** — после 2020 это must
10. **НЕТ упоминания BYOD policy** — могут ли работники использовать личные устройства

**Документ написан в стиле 2010 года**, как требование госорганов, а не как actual security strategy. Реальная безопасность Whitebird должна быть в отдельной (закрытой для аудиторов) внутренней документации.

## Что нужно команде Монтаны для копирования 1:1

### Минимум что должно быть в этом Положении (формальная часть для регулятора)
**Используем структуру Whitebird + дополняем современным:**

#### Раздел A. Бумажные носители (как у Whitebird)
- Хранилища с замками
- Шреддер для уничтожения
- Запрет на оставление без присмотра
- Журнал выдачи носителей

#### Раздел B. Электронные носители (улучшенный)
- **Запрет на USB-накопители** (use cloud / encrypted channel)
- Если разрешены — **только зашифрованные** (BitLocker, FileVault, LUKS)
- **Учёт через DLP-систему** (Microsoft Purview, Forcepoint)
- **Auto-wipe** при утрате (если есть управление через MDM)

#### Раздел C. КСО (Компьютерная сеть Общества) — современная версия
- **Шифрование at-rest:** PostgreSQL TDE / LUKS на серверах
- **Шифрование in-transit:** TLS 1.3 + mTLS для внутренних API
- **MFA для всех сотрудников:** TOTP (Google Authenticator) + WebAuthn (Yubikey)
- **SSO через identity provider** (Okta, Keycloak, JumpCloud)
- **EDR на всех endpoints:** CrowdStrike, SentinelOne
- **SIEM:** ELK Stack / Splunk / Datadog
- **PAM (Privileged Access Management):** HashiCorp Vault для секретов
- **VPN для удалённых сотрудников:** WireGuard + 2FA
- **Zero Trust Network:** аутентификация на каждом hop

### Дополнительные положения для crypto-специфики
Whitebird не упоминает, но Монтана должна:

#### Раздел D. Защита криптовалютных активов
- **Hot wallets:** не более 5% активов; multi-sig 2/3; HSM-backed keys
- **Cold wallets:** 95% активов; air-gapped, geo-distributed (Минск, Дубай, Сингапур); multi-sig 3/5
- **Ключи:** Shamir Secret Sharing (5 частей, threshold 3)
- **Подписание транзакций:** только из изолированной среды
- **Camera lockdown:** запрет на фото в комнатах с cold storage
- **Faraday-cage room** для cold key ceremonies
- **Independent audit** холодных кошельков (Proof of Reserves)

#### Раздел E. Защита API клиентов
- **Rate limiting:** WAF (Cloudflare, AWS WAF)
- **DDoS protection:** Cloudflare Magic Transit / AWS Shield
- **API key rotation:** обязательно каждые 90 дней
- **OAuth 2.0 + JWT** с коротким TTL
- **IP whitelisting** для API + sensitive endpoints

#### Раздел F. Физическая безопасность офиса
- **Контроль доступа:** карты + биометрия в зоне crypto-операций
- **Видеонаблюдение:** 24/7, хранение 90 дней
- **Запрет на смартфоны** в зоне cold storage (Faraday box)
- **Двойной контроль** (two-person rule) для крипто-операций
- **Раздельные кабинеты** для security/compliance/development

#### Раздел G. Удалённая работа (post-COVID)
- **Только корпоративные ноутбуки** (no BYOD)
- **MDM (Mobile Device Management):** Jamf для Mac, Intune для Windows
- **Зашифрованные диски** обязательно
- **Webcam tape** policy
- **Compliance check** перед каждой сессией (OS up-to-date, antivirus running)
- **Запрет на работу из публичных Wi-Fi** без VPN

### Должностные роли для безопасности
| Роль | Зарплата (Минск) | Зарплата (Дубай) |
|---|---|---|
| **CISO** (Chief Information Security Officer) | $4-7k/мес | $15-25k/мес |
| **DPO** (Data Protection Officer) | $2-4k/мес | $8-12k/мес |
| **SOC Engineer** (Security Operations Center) | $2-4k/мес | $6-10k/мес |
| **Penetration Tester** | $3-5k/мес | $10-15k/мес |
| **Blockchain Security Engineer** | $4-7k/мес | $15-25k/мес |
| **Wallet Custody Engineer** | $5-8k/мес | $15-30k/мес |

### Шаблон Local Regulation для Монтаны
**Структура:**
1. Глава 1 — Общие положения (с правовой базой)
2. Глава 2 — Бумажные носители (минимум, для compliance)
3. Глава 3 — Электронные носители (расширенно)
4. Глава 4 — КСО (полная современная)
5. Глава 5 — **Crypto-active защита** (новое)
6. Глава 6 — **Удалённая работа** (новое)
7. Глава 7 — **Cloud-инфраструктура** (новое)
8. Глава 8 — Инциденты и реагирование (расширенно)

### Compliance vs Real Security
**Важное наблюдение:** документ Whitebird — это **compliance документ**, не security strategy. Это нормально. Монтана должна иметь:
- **Public Local Regulation** (для регулятора, копия Whitebird-стиля)
- **Internal Security Standards** (для команды, реальная страт)
- **NDA для security standards** — никто не должен видеть внутреннюю архитектуру

## Ссылки внутри Whitebird-стека
- → #18 (главная Политика обработки ПД)
- → #25 (Приложение 1 — обработка ПД клиентов)
- → #11 (Положение об управлении рисками — включая кибер)
- → #22 (аудит Kept — упоминает pen-tests)
- → #28 (статья поддержки пользователей — связь)
-												sync 2026-05-18T15:05:32Z

											
										
										
											2026-05-18 18:05:32 +03:00
+								# 27. Положение о порядке обеспечения конфиденциальности при обработке ПД (23.07.2024)
 								**Тип:** Local Regulation, **Приложение 3** к Политике оператора в отношении обработки ПД
 								**Утверждено:** Директор ЗАО «Уайт Бёрд» М.А. Шабанов, 23.07.2024
 								**Юр.лицо:** ЗАО «Уайт Бёрд», г. Минск
 								**Размер:** 5.1 МБ, ~6 стр.
 								**Глав:** 4
 								## Что это
 								**Технико-организационное Положение** о том, КАК именно защищать ПД (организационные + технические меры). Сопровождает Положение об обработке ПД (#25). Это **Приложение 3**, в то время как #25 — **Приложение 1**, а #18 — главная Политика.
 								## Структура документа
 								### Глава 1. Общие положения (п.1-16)
 								- Применяемые в Обществе **способы обеспечения безопасности** при обработке ПД
 								- **Обязательное соблюдение конфиденциальности** должностными лицами (NDA в трудовом договоре + должностной инструкции)
 								- **Перечень должностных лиц, допущенных к ПД, утверждается приказом директора** (только эти лица могут обрабатывать)
 								- **Знакомство работника с Политикой под роспись** при найме
 								- **Хранилища** для документов и средств доступа (ключи, пароли) — выделяются работодателем
 								- **Запрет** на устную/письменную передачу ПД без служебной необходимости
 								- **Запрет передачи третьим лицам** по телефону, факсу, электронной почте (за исключениями)
 								- **Немедленное уведомление руководителя + ИБ** при инциденте
 								### Глава 2. Безопасность БЕЗ средств автоматизации (бумажные носители, п.17-20)
 								- **Руководитель структурного подразделения определяет места хранения**
 								- **Контроль наличия условий**, обеспечивающих сохранность ПД
 								- **Уничтожение** ПД способом, исключающим дальнейшую обработку (шреддер)
 								- **Информирование лиц** об особенностях работы
 								### Глава 3. Безопасность С использованием средств автоматизации (КСО, п.21-26)
 								**КСО** = Компьютерная Сеть Общества.
 								Требования к КСО:
 								- **Допуск только при наличии паролей доступа**
 								- **Помещения**, исключающие неконтролируемое пребывание посторонних лиц
 								- **Антивирусное ПО** + восстановление ПД
 								- **Запрет несанкционированного выноса** оборудования из помещений
 								- **Запрет несанкционированной установки** ПО
 								- **Обучение пользователей** средствам защиты
 								- **Учёт лиц с правами доступа и паролей**
 								- **Учёт средств защиты информации**
 								- **Контроль соблюдения условий использования** СЗИ
 								### Глава 4. Съёмные носители (п.27-30)
 								- **Все съёмные носители подлежат учёту** (диски, USB, дискеты)
 								- **Каждый носитель имеет этикетку** с уникальным учётным номером
 								- **Запрещено:**
 								  - хранить съёмные носители с ПД вместе с открытой информацией
 								  - оставлять без присмотра, передавать другим лицам
 								  - выносить из служебных помещений (домой, в гостиницы)
 								- **Об утрате** — немедленное уведомление директора
 								- **Утилизация** по отдельному локальному акту
 								## Моё мнение
 								**Этот документ — очень классический бумажно-офисный подход к безопасности.** В нём НЕ хватает современных IT-мер. Whitebird явно делал это формально по требованию законодательства РБ.
 								### Сильные стороны
 . **Чёткое распределение ответственности** — руководитель подразделения отвечает за свой участок
 . **Учёт допущенных лиц** через приказ директора — bureaucracy works
 . **Уведомительная иерархия** — работник → руководитель → ИБ → директор
 . **Запрет на устную передачу** — простое, но важное правило
 . **Учёт носителей с этикетками** — basic but effective
 								### Критические недостатки документа
 . **НЕТ упоминания шифрования** — ни at-rest, ни in-transit
 . **НЕТ упоминания MFA** (многофакторной аутентификации)
 . **НЕТ упоминания DLP** (Data Loss Prevention)
 . **НЕТ упоминания SIEM** (Security Information and Event Management)
 . **НЕТ упоминания pen-test** (хотя в аудите Kept упомянуты pen-tests 2 раза в год)
 . **НЕТ упоминания специфики crypto** (private keys клиентов, hot/cold wallets)
 . **«Антивирусное ПО»** упомянуто как panacea — это XXI век, нужно EDR/XDR
 . **НЕТ упоминания cloud-сервисов** (а они явно используют AWS/Azure/Hetzner)
 . **НЕТ упоминания удалённой работы** — после 2020 это must
 . **НЕТ упоминания BYOD policy** — могут ли работники использовать личные устройства
 								**Документ написан в стиле 2010 года**, как требование госорганов, а не как actual security strategy. Реальная безопасность Whitebird должна быть в отдельной (закрытой для аудиторов) внутренней документации.
 								## Что нужно команде Монтаны для копирования 1:1
 								### Минимум что должно быть в этом Положении (формальная часть для регулятора)
 								**Используем структуру Whitebird + дополняем современным:**
 								#### Раздел A. Бумажные носители (как у Whitebird)
 								- Хранилища с замками
 								- Шреддер для уничтожения
 								- Запрет на оставление без присмотра
 								- Журнал выдачи носителей
 								#### Раздел B. Электронные носители (улучшенный)
 								- **Запрет на USB-накопители** (use cloud / encrypted channel)
 								- Если разрешены — **только зашифрованные** (BitLocker, FileVault, LUKS)
 								- **Учёт через DLP-систему** (Microsoft Purview, Forcepoint)
 								- **Auto-wipe** при утрате (если есть управление через MDM)
 								#### Раздел C. КСО (Компьютерная сеть Общества) — современная версия
 								- **Шифрование at-rest:** PostgreSQL TDE / LUKS на серверах
 								- **Шифрование in-transit:** TLS 1.3 + mTLS для внутренних API
 								- **MFA для всех сотрудников:** TOTP (Google Authenticator) + WebAuthn (Yubikey)
 								- **SSO через identity provider** (Okta, Keycloak, JumpCloud)
 								- **EDR на всех endpoints:** CrowdStrike, SentinelOne
 								- **SIEM:** ELK Stack / Splunk / Datadog
 								- **PAM (Privileged Access Management):** HashiCorp Vault для секретов
 								- **VPN для удалённых сотрудников:** WireGuard + 2FA
 								- **Zero Trust Network:** аутентификация на каждом hop
 								### Дополнительные положения для crypto-специфики
 								Whitebird не упоминает, но Монтана должна:
 								#### Раздел D. Защита криптовалютных активов
 								- **Hot wallets:** не более 5% активов; multi-sig 2/3; HSM-backed keys
 								- **Cold wallets:** 95% активов; air-gapped, geo-distributed (Минск, Дубай, Сингапур); multi-sig 3/5
 								- **Ключи:** Shamir Secret Sharing (5 частей, threshold 3)
 								- **Подписание транзакций:** только из изолированной среды
 								- **Camera lockdown:** запрет на фото в комнатах с cold storage
 								- **Faraday-cage room** для cold key ceremonies
 								- **Independent audit** холодных кошельков (Proof of Reserves)
 								#### Раздел E. Защита API клиентов
 								- **Rate limiting:** WAF (Cloudflare, AWS WAF)
 								- **DDoS protection:** Cloudflare Magic Transit / AWS Shield
 								- **API key rotation:** обязательно каждые 90 дней
 								- **OAuth 2.0 + JWT** с коротким TTL
 								- **IP whitelisting** для API + sensitive endpoints
 								#### Раздел F. Физическая безопасность офиса
 								- **Контроль доступа:** карты + биометрия в зоне crypto-операций
 								- **Видеонаблюдение:** 24/7, хранение 90 дней
 								- **Запрет на смартфоны** в зоне cold storage (Faraday box)
 								- **Двойной контроль** (two-person rule) для крипто-операций
 								- **Раздельные кабинеты** для security/compliance/development
 								#### Раздел G. Удалённая работа (post-COVID)
 								- **Только корпоративные ноутбуки** (no BYOD)
 								- **MDM (Mobile Device Management):** Jamf для Mac, Intune для Windows
 								- **Зашифрованные диски** обязательно
 								- **Webcam tape** policy
 								- **Compliance check** перед каждой сессией (OS up-to-date, antivirus running)
 								- **Запрет на работу из публичных Wi-Fi** без VPN
 								### Должностные роли для безопасности
 								| Роль | Зарплата (Минск) | Зарплата (Дубай) |
 								|---|---|---|
 								| **CISO** (Chief Information Security Officer) | $4-7k/мес | $15-25k/мес |
 								| **DPO** (Data Protection Officer) | $2-4k/мес | $8-12k/мес |
 								| **SOC Engineer** (Security Operations Center) | $2-4k/мес | $6-10k/мес |
 								| **Penetration Tester** | $3-5k/мес | $10-15k/мес |
 								| **Blockchain Security Engineer** | $4-7k/мес | $15-25k/мес |
 								| **Wallet Custody Engineer** | $5-8k/мес | $15-30k/мес |
 								### Шаблон Local Regulation для Монтаны
 								**Структура:**
 . Глава 1 — Общие положения (с правовой базой)
 . Глава 2 — Бумажные носители (минимум, для compliance)
 . Глава 3 — Электронные носители (расширенно)
 . Глава 4 — КСО (полная современная)
 . Глава 5 — **Crypto-active защита** (новое)
 . Глава 6 — **Удалённая работа** (новое)
 . Глава 7 — **Cloud-инфраструктура** (новое)
 . Глава 8 — Инциденты и реагирование (расширенно)
 								### Compliance vs Real Security
 								**Важное наблюдение:** документ Whitebird — это **compliance документ**, не security strategy. Это нормально. Монтана должна иметь:
 								- **Public Local Regulation** (для регулятора, копия Whitebird-стиля)
 								- **Internal Security Standards** (для команды, реальная страт)
 								- **NDA для security standards** — никто не должен видеть внутреннюю архитектуру
 								## Ссылки внутри Whitebird-стека
 								- → #18 (главная Политика обработки ПД)
 								- → #25 (Приложение 1 — обработка ПД клиентов)
 								- → #11 (Положение об управлении рисками — включая кибер)
 								- → #22 (аудит Kept — упоминает pen-tests)
 								- → #28 (статья поддержки пользователей — связь)