api: delete Venera Montana/_audit/27_konfidencialnost_pd.md
This commit is contained in:
parent
2ae756a6ee
commit
09afdfaa34
@ -1,171 +0,0 @@
|
||||
# 27. Положение о порядке обеспечения конфиденциальности при обработке ПД (23.07.2024)
|
||||
|
||||
**Тип:** Local Regulation, **Приложение 3** к Политике оператора в отношении обработки ПД
|
||||
**Утверждено:** Директор ЗАО «Уайт Бёрд» М.А. Шабанов, 23.07.2024
|
||||
**Юр.лицо:** ЗАО «Уайт Бёрд», г. Минск
|
||||
**Размер:** 5.1 МБ, ~6 стр.
|
||||
**Глав:** 4
|
||||
|
||||
## Что это
|
||||
**Технико-организационное Положение** о том, КАК именно защищать ПД (организационные + технические меры). Сопровождает Положение об обработке ПД (#25). Это **Приложение 3**, в то время как #25 — **Приложение 1**, а #18 — главная Политика.
|
||||
|
||||
## Структура документа
|
||||
|
||||
### Глава 1. Общие положения (п.1-16)
|
||||
- Применяемые в Обществе **способы обеспечения безопасности** при обработке ПД
|
||||
- **Обязательное соблюдение конфиденциальности** должностными лицами (NDA в трудовом договоре + должностной инструкции)
|
||||
- **Перечень должностных лиц, допущенных к ПД, утверждается приказом директора** (только эти лица могут обрабатывать)
|
||||
- **Знакомство работника с Политикой под роспись** при найме
|
||||
- **Хранилища** для документов и средств доступа (ключи, пароли) — выделяются работодателем
|
||||
- **Запрет** на устную/письменную передачу ПД без служебной необходимости
|
||||
- **Запрет передачи третьим лицам** по телефону, факсу, электронной почте (за исключениями)
|
||||
- **Немедленное уведомление руководителя + ИБ** при инциденте
|
||||
|
||||
### Глава 2. Безопасность БЕЗ средств автоматизации (бумажные носители, п.17-20)
|
||||
- **Руководитель структурного подразделения определяет места хранения**
|
||||
- **Контроль наличия условий**, обеспечивающих сохранность ПД
|
||||
- **Уничтожение** ПД способом, исключающим дальнейшую обработку (шреддер)
|
||||
- **Информирование лиц** об особенностях работы
|
||||
|
||||
### Глава 3. Безопасность С использованием средств автоматизации (КСО, п.21-26)
|
||||
**КСО** = Компьютерная Сеть Общества.
|
||||
Требования к КСО:
|
||||
- **Допуск только при наличии паролей доступа**
|
||||
- **Помещения**, исключающие неконтролируемое пребывание посторонних лиц
|
||||
- **Антивирусное ПО** + восстановление ПД
|
||||
- **Запрет несанкционированного выноса** оборудования из помещений
|
||||
- **Запрет несанкционированной установки** ПО
|
||||
- **Обучение пользователей** средствам защиты
|
||||
- **Учёт лиц с правами доступа и паролей**
|
||||
- **Учёт средств защиты информации**
|
||||
- **Контроль соблюдения условий использования** СЗИ
|
||||
|
||||
### Глава 4. Съёмные носители (п.27-30)
|
||||
- **Все съёмные носители подлежат учёту** (диски, USB, дискеты)
|
||||
- **Каждый носитель имеет этикетку** с уникальным учётным номером
|
||||
- **Запрещено:**
|
||||
- хранить съёмные носители с ПД вместе с открытой информацией
|
||||
- оставлять без присмотра, передавать другим лицам
|
||||
- выносить из служебных помещений (домой, в гостиницы)
|
||||
- **Об утрате** — немедленное уведомление директора
|
||||
- **Утилизация** по отдельному локальному акту
|
||||
|
||||
## Моё мнение
|
||||
**Этот документ — очень классический бумажно-офисный подход к безопасности.** В нём НЕ хватает современных IT-мер. Whitebird явно делал это формально по требованию законодательства РБ.
|
||||
|
||||
### Сильные стороны
|
||||
1. **Чёткое распределение ответственности** — руководитель подразделения отвечает за свой участок
|
||||
2. **Учёт допущенных лиц** через приказ директора — bureaucracy works
|
||||
3. **Уведомительная иерархия** — работник → руководитель → ИБ → директор
|
||||
4. **Запрет на устную передачу** — простое, но важное правило
|
||||
5. **Учёт носителей с этикетками** — basic but effective
|
||||
|
||||
### Критические недостатки документа
|
||||
1. **НЕТ упоминания шифрования** — ни at-rest, ни in-transit
|
||||
2. **НЕТ упоминания MFA** (многофакторной аутентификации)
|
||||
3. **НЕТ упоминания DLP** (Data Loss Prevention)
|
||||
4. **НЕТ упоминания SIEM** (Security Information and Event Management)
|
||||
5. **НЕТ упоминания pen-test** (хотя в аудите Kept упомянуты pen-tests 2 раза в год)
|
||||
6. **НЕТ упоминания специфики crypto** (private keys клиентов, hot/cold wallets)
|
||||
7. **«Антивирусное ПО»** упомянуто как panacea — это XXI век, нужно EDR/XDR
|
||||
8. **НЕТ упоминания cloud-сервисов** (а они явно используют AWS/Azure/Hetzner)
|
||||
9. **НЕТ упоминания удалённой работы** — после 2020 это must
|
||||
10. **НЕТ упоминания BYOD policy** — могут ли работники использовать личные устройства
|
||||
|
||||
**Документ написан в стиле 2010 года**, как требование госорганов, а не как actual security strategy. Реальная безопасность Whitebird должна быть в отдельной (закрытой для аудиторов) внутренней документации.
|
||||
|
||||
## Что нужно команде Монтаны для копирования 1:1
|
||||
|
||||
### Минимум что должно быть в этом Положении (формальная часть для регулятора)
|
||||
**Используем структуру Whitebird + дополняем современным:**
|
||||
|
||||
#### Раздел A. Бумажные носители (как у Whitebird)
|
||||
- Хранилища с замками
|
||||
- Шреддер для уничтожения
|
||||
- Запрет на оставление без присмотра
|
||||
- Журнал выдачи носителей
|
||||
|
||||
#### Раздел B. Электронные носители (улучшенный)
|
||||
- **Запрет на USB-накопители** (use cloud / encrypted channel)
|
||||
- Если разрешены — **только зашифрованные** (BitLocker, FileVault, LUKS)
|
||||
- **Учёт через DLP-систему** (Microsoft Purview, Forcepoint)
|
||||
- **Auto-wipe** при утрате (если есть управление через MDM)
|
||||
|
||||
#### Раздел C. КСО (Компьютерная сеть Общества) — современная версия
|
||||
- **Шифрование at-rest:** PostgreSQL TDE / LUKS на серверах
|
||||
- **Шифрование in-transit:** TLS 1.3 + mTLS для внутренних API
|
||||
- **MFA для всех сотрудников:** TOTP (Google Authenticator) + WebAuthn (Yubikey)
|
||||
- **SSO через identity provider** (Okta, Keycloak, JumpCloud)
|
||||
- **EDR на всех endpoints:** CrowdStrike, SentinelOne
|
||||
- **SIEM:** ELK Stack / Splunk / Datadog
|
||||
- **PAM (Privileged Access Management):** HashiCorp Vault для секретов
|
||||
- **VPN для удалённых сотрудников:** WireGuard + 2FA
|
||||
- **Zero Trust Network:** аутентификация на каждом hop
|
||||
|
||||
### Дополнительные положения для crypto-специфики
|
||||
Whitebird не упоминает, но Монтана должна:
|
||||
|
||||
#### Раздел D. Защита криптовалютных активов
|
||||
- **Hot wallets:** не более 5% активов; multi-sig 2/3; HSM-backed keys
|
||||
- **Cold wallets:** 95% активов; air-gapped, geo-distributed (Минск, Дубай, Сингапур); multi-sig 3/5
|
||||
- **Ключи:** Shamir Secret Sharing (5 частей, threshold 3)
|
||||
- **Подписание транзакций:** только из изолированной среды
|
||||
- **Camera lockdown:** запрет на фото в комнатах с cold storage
|
||||
- **Faraday-cage room** для cold key ceremonies
|
||||
- **Independent audit** холодных кошельков (Proof of Reserves)
|
||||
|
||||
#### Раздел E. Защита API клиентов
|
||||
- **Rate limiting:** WAF (Cloudflare, AWS WAF)
|
||||
- **DDoS protection:** Cloudflare Magic Transit / AWS Shield
|
||||
- **API key rotation:** обязательно каждые 90 дней
|
||||
- **OAuth 2.0 + JWT** с коротким TTL
|
||||
- **IP whitelisting** для API + sensitive endpoints
|
||||
|
||||
#### Раздел F. Физическая безопасность офиса
|
||||
- **Контроль доступа:** карты + биометрия в зоне crypto-операций
|
||||
- **Видеонаблюдение:** 24/7, хранение 90 дней
|
||||
- **Запрет на смартфоны** в зоне cold storage (Faraday box)
|
||||
- **Двойной контроль** (two-person rule) для крипто-операций
|
||||
- **Раздельные кабинеты** для security/compliance/development
|
||||
|
||||
#### Раздел G. Удалённая работа (post-COVID)
|
||||
- **Только корпоративные ноутбуки** (no BYOD)
|
||||
- **MDM (Mobile Device Management):** Jamf для Mac, Intune для Windows
|
||||
- **Зашифрованные диски** обязательно
|
||||
- **Webcam tape** policy
|
||||
- **Compliance check** перед каждой сессией (OS up-to-date, antivirus running)
|
||||
- **Запрет на работу из публичных Wi-Fi** без VPN
|
||||
|
||||
### Должностные роли для безопасности
|
||||
| Роль | Зарплата (Минск) | Зарплата (Дубай) |
|
||||
|---|---|---|
|
||||
| **CISO** (Chief Information Security Officer) | $4-7k/мес | $15-25k/мес |
|
||||
| **DPO** (Data Protection Officer) | $2-4k/мес | $8-12k/мес |
|
||||
| **SOC Engineer** (Security Operations Center) | $2-4k/мес | $6-10k/мес |
|
||||
| **Penetration Tester** | $3-5k/мес | $10-15k/мес |
|
||||
| **Blockchain Security Engineer** | $4-7k/мес | $15-25k/мес |
|
||||
| **Wallet Custody Engineer** | $5-8k/мес | $15-30k/мес |
|
||||
|
||||
### Шаблон Local Regulation для Монтаны
|
||||
**Структура:**
|
||||
1. Глава 1 — Общие положения (с правовой базой)
|
||||
2. Глава 2 — Бумажные носители (минимум, для compliance)
|
||||
3. Глава 3 — Электронные носители (расширенно)
|
||||
4. Глава 4 — КСО (полная современная)
|
||||
5. Глава 5 — **Crypto-active защита** (новое)
|
||||
6. Глава 6 — **Удалённая работа** (новое)
|
||||
7. Глава 7 — **Cloud-инфраструктура** (новое)
|
||||
8. Глава 8 — Инциденты и реагирование (расширенно)
|
||||
|
||||
### Compliance vs Real Security
|
||||
**Важное наблюдение:** документ Whitebird — это **compliance документ**, не security strategy. Это нормально. Монтана должна иметь:
|
||||
- **Public Local Regulation** (для регулятора, копия Whitebird-стиля)
|
||||
- **Internal Security Standards** (для команды, реальная страт)
|
||||
- **NDA для security standards** — никто не должен видеть внутреннюю архитектуру
|
||||
|
||||
## Ссылки внутри Whitebird-стека
|
||||
- → #18 (главная Политика обработки ПД)
|
||||
- → #25 (Приложение 1 — обработка ПД клиентов)
|
||||
- → #11 (Положение об управлении рисками — включая кибер)
|
||||
- → #22 (аудит Kept — упоминает pen-tests)
|
||||
- → #28 (статья поддержки пользователей — связь)
|
||||
Loading…
Reference in New Issue
Block a user