172 lines
13 KiB
Markdown
172 lines
13 KiB
Markdown
# 27. Положение о порядке обеспечения конфиденциальности при обработке ПД (23.07.2024)
|
||
|
||
**Тип:** Local Regulation, **Приложение 3** к Политике оператора в отношении обработки ПД
|
||
**Утверждено:** Директор ЗАО «Уайт Бёрд» М.А. Шабанов, 23.07.2024
|
||
**Юр.лицо:** ЗАО «Уайт Бёрд», г. Минск
|
||
**Размер:** 5.1 МБ, ~6 стр.
|
||
**Глав:** 4
|
||
|
||
## Что это
|
||
**Технико-организационное Положение** о том, КАК именно защищать ПД (организационные + технические меры). Сопровождает Положение об обработке ПД (#25). Это **Приложение 3**, в то время как #25 — **Приложение 1**, а #18 — главная Политика.
|
||
|
||
## Структура документа
|
||
|
||
### Глава 1. Общие положения (п.1-16)
|
||
- Применяемые в Обществе **способы обеспечения безопасности** при обработке ПД
|
||
- **Обязательное соблюдение конфиденциальности** должностными лицами (NDA в трудовом договоре + должностной инструкции)
|
||
- **Перечень должностных лиц, допущенных к ПД, утверждается приказом директора** (только эти лица могут обрабатывать)
|
||
- **Знакомство работника с Политикой под роспись** при найме
|
||
- **Хранилища** для документов и средств доступа (ключи, пароли) — выделяются работодателем
|
||
- **Запрет** на устную/письменную передачу ПД без служебной необходимости
|
||
- **Запрет передачи третьим лицам** по телефону, факсу, электронной почте (за исключениями)
|
||
- **Немедленное уведомление руководителя + ИБ** при инциденте
|
||
|
||
### Глава 2. Безопасность БЕЗ средств автоматизации (бумажные носители, п.17-20)
|
||
- **Руководитель структурного подразделения определяет места хранения**
|
||
- **Контроль наличия условий**, обеспечивающих сохранность ПД
|
||
- **Уничтожение** ПД способом, исключающим дальнейшую обработку (шреддер)
|
||
- **Информирование лиц** об особенностях работы
|
||
|
||
### Глава 3. Безопасность С использованием средств автоматизации (КСО, п.21-26)
|
||
**КСО** = Компьютерная Сеть Общества.
|
||
Требования к КСО:
|
||
- **Допуск только при наличии паролей доступа**
|
||
- **Помещения**, исключающие неконтролируемое пребывание посторонних лиц
|
||
- **Антивирусное ПО** + восстановление ПД
|
||
- **Запрет несанкционированного выноса** оборудования из помещений
|
||
- **Запрет несанкционированной установки** ПО
|
||
- **Обучение пользователей** средствам защиты
|
||
- **Учёт лиц с правами доступа и паролей**
|
||
- **Учёт средств защиты информации**
|
||
- **Контроль соблюдения условий использования** СЗИ
|
||
|
||
### Глава 4. Съёмные носители (п.27-30)
|
||
- **Все съёмные носители подлежат учёту** (диски, USB, дискеты)
|
||
- **Каждый носитель имеет этикетку** с уникальным учётным номером
|
||
- **Запрещено:**
|
||
- хранить съёмные носители с ПД вместе с открытой информацией
|
||
- оставлять без присмотра, передавать другим лицам
|
||
- выносить из служебных помещений (домой, в гостиницы)
|
||
- **Об утрате** — немедленное уведомление директора
|
||
- **Утилизация** по отдельному локальному акту
|
||
|
||
## Моё мнение
|
||
**Этот документ — очень классический бумажно-офисный подход к безопасности.** В нём НЕ хватает современных IT-мер. Whitebird явно делал это формально по требованию законодательства РБ.
|
||
|
||
### Сильные стороны
|
||
1. **Чёткое распределение ответственности** — руководитель подразделения отвечает за свой участок
|
||
2. **Учёт допущенных лиц** через приказ директора — bureaucracy works
|
||
3. **Уведомительная иерархия** — работник → руководитель → ИБ → директор
|
||
4. **Запрет на устную передачу** — простое, но важное правило
|
||
5. **Учёт носителей с этикетками** — basic but effective
|
||
|
||
### Критические недостатки документа
|
||
1. **НЕТ упоминания шифрования** — ни at-rest, ни in-transit
|
||
2. **НЕТ упоминания MFA** (многофакторной аутентификации)
|
||
3. **НЕТ упоминания DLP** (Data Loss Prevention)
|
||
4. **НЕТ упоминания SIEM** (Security Information and Event Management)
|
||
5. **НЕТ упоминания pen-test** (хотя в аудите Kept упомянуты pen-tests 2 раза в год)
|
||
6. **НЕТ упоминания специфики crypto** (private keys клиентов, hot/cold wallets)
|
||
7. **«Антивирусное ПО»** упомянуто как panacea — это XXI век, нужно EDR/XDR
|
||
8. **НЕТ упоминания cloud-сервисов** (а они явно используют AWS/Azure/Hetzner)
|
||
9. **НЕТ упоминания удалённой работы** — после 2020 это must
|
||
10. **НЕТ упоминания BYOD policy** — могут ли работники использовать личные устройства
|
||
|
||
**Документ написан в стиле 2010 года**, как требование госорганов, а не как actual security strategy. Реальная безопасность Whitebird должна быть в отдельной (закрытой для аудиторов) внутренней документации.
|
||
|
||
## Что нужно команде Монтаны для копирования 1:1
|
||
|
||
### Минимум что должно быть в этом Положении (формальная часть для регулятора)
|
||
**Используем структуру Whitebird + дополняем современным:**
|
||
|
||
#### Раздел A. Бумажные носители (как у Whitebird)
|
||
- Хранилища с замками
|
||
- Шреддер для уничтожения
|
||
- Запрет на оставление без присмотра
|
||
- Журнал выдачи носителей
|
||
|
||
#### Раздел B. Электронные носители (улучшенный)
|
||
- **Запрет на USB-накопители** (use cloud / encrypted channel)
|
||
- Если разрешены — **только зашифрованные** (BitLocker, FileVault, LUKS)
|
||
- **Учёт через DLP-систему** (Microsoft Purview, Forcepoint)
|
||
- **Auto-wipe** при утрате (если есть управление через MDM)
|
||
|
||
#### Раздел C. КСО (Компьютерная сеть Общества) — современная версия
|
||
- **Шифрование at-rest:** PostgreSQL TDE / LUKS на серверах
|
||
- **Шифрование in-transit:** TLS 1.3 + mTLS для внутренних API
|
||
- **MFA для всех сотрудников:** TOTP (Google Authenticator) + WebAuthn (Yubikey)
|
||
- **SSO через identity provider** (Okta, Keycloak, JumpCloud)
|
||
- **EDR на всех endpoints:** CrowdStrike, SentinelOne
|
||
- **SIEM:** ELK Stack / Splunk / Datadog
|
||
- **PAM (Privileged Access Management):** HashiCorp Vault для секретов
|
||
- **VPN для удалённых сотрудников:** WireGuard + 2FA
|
||
- **Zero Trust Network:** аутентификация на каждом hop
|
||
|
||
### Дополнительные положения для crypto-специфики
|
||
Whitebird не упоминает, но Монтана должна:
|
||
|
||
#### Раздел D. Защита криптовалютных активов
|
||
- **Hot wallets:** не более 5% активов; multi-sig 2/3; HSM-backed keys
|
||
- **Cold wallets:** 95% активов; air-gapped, geo-distributed (Минск, Дубай, Сингапур); multi-sig 3/5
|
||
- **Ключи:** Shamir Secret Sharing (5 частей, threshold 3)
|
||
- **Подписание транзакций:** только из изолированной среды
|
||
- **Camera lockdown:** запрет на фото в комнатах с cold storage
|
||
- **Faraday-cage room** для cold key ceremonies
|
||
- **Independent audit** холодных кошельков (Proof of Reserves)
|
||
|
||
#### Раздел E. Защита API клиентов
|
||
- **Rate limiting:** WAF (Cloudflare, AWS WAF)
|
||
- **DDoS protection:** Cloudflare Magic Transit / AWS Shield
|
||
- **API key rotation:** обязательно каждые 90 дней
|
||
- **OAuth 2.0 + JWT** с коротким TTL
|
||
- **IP whitelisting** для API + sensitive endpoints
|
||
|
||
#### Раздел F. Физическая безопасность офиса
|
||
- **Контроль доступа:** карты + биометрия в зоне crypto-операций
|
||
- **Видеонаблюдение:** 24/7, хранение 90 дней
|
||
- **Запрет на смартфоны** в зоне cold storage (Faraday box)
|
||
- **Двойной контроль** (two-person rule) для крипто-операций
|
||
- **Раздельные кабинеты** для security/compliance/development
|
||
|
||
#### Раздел G. Удалённая работа (post-COVID)
|
||
- **Только корпоративные ноутбуки** (no BYOD)
|
||
- **MDM (Mobile Device Management):** Jamf для Mac, Intune для Windows
|
||
- **Зашифрованные диски** обязательно
|
||
- **Webcam tape** policy
|
||
- **Compliance check** перед каждой сессией (OS up-to-date, antivirus running)
|
||
- **Запрет на работу из публичных Wi-Fi** без VPN
|
||
|
||
### Должностные роли для безопасности
|
||
| Роль | Зарплата (Минск) | Зарплата (Дубай) |
|
||
|---|---|---|
|
||
| **CISO** (Chief Information Security Officer) | $4-7k/мес | $15-25k/мес |
|
||
| **DPO** (Data Protection Officer) | $2-4k/мес | $8-12k/мес |
|
||
| **SOC Engineer** (Security Operations Center) | $2-4k/мес | $6-10k/мес |
|
||
| **Penetration Tester** | $3-5k/мес | $10-15k/мес |
|
||
| **Blockchain Security Engineer** | $4-7k/мес | $15-25k/мес |
|
||
| **Wallet Custody Engineer** | $5-8k/мес | $15-30k/мес |
|
||
|
||
### Шаблон Local Regulation для Монтаны
|
||
**Структура:**
|
||
1. Глава 1 — Общие положения (с правовой базой)
|
||
2. Глава 2 — Бумажные носители (минимум, для compliance)
|
||
3. Глава 3 — Электронные носители (расширенно)
|
||
4. Глава 4 — КСО (полная современная)
|
||
5. Глава 5 — **Crypto-active защита** (новое)
|
||
6. Глава 6 — **Удалённая работа** (новое)
|
||
7. Глава 7 — **Cloud-инфраструктура** (новое)
|
||
8. Глава 8 — Инциденты и реагирование (расширенно)
|
||
|
||
### Compliance vs Real Security
|
||
**Важное наблюдение:** документ Whitebird — это **compliance документ**, не security strategy. Это нормально. Монтана должна иметь:
|
||
- **Public Local Regulation** (для регулятора, копия Whitebird-стиля)
|
||
- **Internal Security Standards** (для команды, реальная страт)
|
||
- **NDA для security standards** — никто не должен видеть внутреннюю архитектуру
|
||
|
||
## Ссылки внутри Whitebird-стека
|
||
- → #18 (главная Политика обработки ПД)
|
||
- → #25 (Приложение 1 — обработка ПД клиентов)
|
||
- → #11 (Положение об управлении рисками — включая кибер)
|
||
- → #22 (аудит Kept — упоминает pen-tests)
|
||
- → #28 (статья поддержки пользователей — связь)
|