efir369999/montana
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
ffb6d65baf
montana/Vera Montana/_audit/27_konfidencialnost_pd.md
Afgroup ffb6d65baf sync 2026-05-18T15:05:32Z
2026-05-18 18:05:32 +03:00

13 KiB
Raw Blame History

27. Положение о порядке обеспечения конфиденциальности при обработке ПД (23.07.2024)

Тип: Local Regulation, Приложение 3 к Политике оператора в отношении обработки ПД Утверждено: Директор ЗАО «Уайт Бёрд» М.А. Шабанов, 23.07.2024 Юр.лицо: ЗАО «Уайт Бёрд», г. Минск Размер: 5.1 МБ, ~6 стр. Глав: 4

Что это

Технико-организационное Положение о том, КАК именно защищать ПД (организационные + технические меры). Сопровождает Положение об обработке ПД (#25). Это Приложение 3, в то время как #25 — Приложение 1, а #18 — главная Политика.

Структура документа

Глава 1. Общие положения (п.1-16)

  • Применяемые в Обществе способы обеспечения безопасности при обработке ПД
  • Обязательное соблюдение конфиденциальности должностными лицами (NDA в трудовом договоре + должностной инструкции)
  • Перечень должностных лиц, допущенных к ПД, утверждается приказом директора (только эти лица могут обрабатывать)
  • Знакомство работника с Политикой под роспись при найме
  • Хранилища для документов и средств доступа (ключи, пароли) — выделяются работодателем
  • Запрет на устную/письменную передачу ПД без служебной необходимости
  • Запрет передачи третьим лицам по телефону, факсу, электронной почте (за исключениями)
  • Немедленное уведомление руководителя + ИБ при инциденте

Глава 2. Безопасность БЕЗ средств автоматизации (бумажные носители, п.17-20)

  • Руководитель структурного подразделения определяет места хранения
  • Контроль наличия условий, обеспечивающих сохранность ПД
  • Уничтожение ПД способом, исключающим дальнейшую обработку (шреддер)
  • Информирование лиц об особенностях работы

Глава 3. Безопасность С использованием средств автоматизации (КСО, п.21-26)

КСО = Компьютерная Сеть Общества. Требования к КСО:

  • Допуск только при наличии паролей доступа
  • Помещения, исключающие неконтролируемое пребывание посторонних лиц
  • Антивирусное ПО + восстановление ПД
  • Запрет несанкционированного выноса оборудования из помещений
  • Запрет несанкционированной установки ПО
  • Обучение пользователей средствам защиты
  • Учёт лиц с правами доступа и паролей
  • Учёт средств защиты информации
  • Контроль соблюдения условий использования СЗИ

Глава 4. Съёмные носители (п.27-30)

  • Все съёмные носители подлежат учёту (диски, USB, дискеты)
  • Каждый носитель имеет этикетку с уникальным учётным номером
  • Запрещено:
    • хранить съёмные носители с ПД вместе с открытой информацией
    • оставлять без присмотра, передавать другим лицам
    • выносить из служебных помещений (домой, в гостиницы)
  • Об утрате — немедленное уведомление директора
  • Утилизация по отдельному локальному акту

Моё мнение

Этот документ — очень классический бумажно-офисный подход к безопасности. В нём НЕ хватает современных IT-мер. Whitebird явно делал это формально по требованию законодательства РБ.

Сильные стороны

  1. Чёткое распределение ответственности — руководитель подразделения отвечает за свой участок
  2. Учёт допущенных лиц через приказ директора — bureaucracy works
  3. Уведомительная иерархия — работник → руководитель → ИБ → директор
  4. Запрет на устную передачу — простое, но важное правило
  5. Учёт носителей с этикетками — basic but effective

Критические недостатки документа

  1. НЕТ упоминания шифрования — ни at-rest, ни in-transit
  2. НЕТ упоминания MFA (многофакторной аутентификации)
  3. НЕТ упоминания DLP (Data Loss Prevention)
  4. НЕТ упоминания SIEM (Security Information and Event Management)
  5. НЕТ упоминания pen-test (хотя в аудите Kept упомянуты pen-tests 2 раза в год)
  6. НЕТ упоминания специфики crypto (private keys клиентов, hot/cold wallets)
  7. «Антивирусное ПО» упомянуто как panacea — это XXI век, нужно EDR/XDR
  8. НЕТ упоминания cloud-сервисов (а они явно используют AWS/Azure/Hetzner)
  9. НЕТ упоминания удалённой работы — после 2020 это must
  10. НЕТ упоминания BYOD policy — могут ли работники использовать личные устройства

Документ написан в стиле 2010 года, как требование госорганов, а не как actual security strategy. Реальная безопасность Whitebird должна быть в отдельной (закрытой для аудиторов) внутренней документации.

Что нужно команде Монтаны для копирования 1:1

Минимум что должно быть в этом Положении (формальная часть для регулятора)

Используем структуру Whitebird + дополняем современным:

Раздел A. Бумажные носители (как у Whitebird)

  • Хранилища с замками
  • Шреддер для уничтожения
  • Запрет на оставление без присмотра
  • Журнал выдачи носителей

Раздел B. Электронные носители (улучшенный)

  • Запрет на USB-накопители (use cloud / encrypted channel)
  • Если разрешены — только зашифрованные (BitLocker, FileVault, LUKS)
  • Учёт через DLP-систему (Microsoft Purview, Forcepoint)
  • Auto-wipe при утрате (если есть управление через MDM)

Раздел C. КСО (Компьютерная сеть Общества) — современная версия

  • Шифрование at-rest: PostgreSQL TDE / LUKS на серверах
  • Шифрование in-transit: TLS 1.3 + mTLS для внутренних API
  • MFA для всех сотрудников: TOTP (Google Authenticator) + WebAuthn (Yubikey)
  • SSO через identity provider (Okta, Keycloak, JumpCloud)
  • EDR на всех endpoints: CrowdStrike, SentinelOne
  • SIEM: ELK Stack / Splunk / Datadog
  • PAM (Privileged Access Management): HashiCorp Vault для секретов
  • VPN для удалённых сотрудников: WireGuard + 2FA
  • Zero Trust Network: аутентификация на каждом hop

Дополнительные положения для crypto-специфики

Whitebird не упоминает, но Монтана должна:

Раздел D. Защита криптовалютных активов

  • Hot wallets: не более 5% активов; multi-sig 2/3; HSM-backed keys
  • Cold wallets: 95% активов; air-gapped, geo-distributed (Минск, Дубай, Сингапур); multi-sig 3/5
  • Ключи: Shamir Secret Sharing (5 частей, threshold 3)
  • Подписание транзакций: только из изолированной среды
  • Camera lockdown: запрет на фото в комнатах с cold storage
  • Faraday-cage room для cold key ceremonies
  • Independent audit холодных кошельков (Proof of Reserves)

Раздел E. Защита API клиентов

  • Rate limiting: WAF (Cloudflare, AWS WAF)
  • DDoS protection: Cloudflare Magic Transit / AWS Shield
  • API key rotation: обязательно каждые 90 дней
  • OAuth 2.0 + JWT с коротким TTL
  • IP whitelisting для API + sensitive endpoints

Раздел F. Физическая безопасность офиса

  • Контроль доступа: карты + биометрия в зоне crypto-операций
  • Видеонаблюдение: 24/7, хранение 90 дней
  • Запрет на смартфоны в зоне cold storage (Faraday box)
  • Двойной контроль (two-person rule) для крипто-операций
  • Раздельные кабинеты для security/compliance/development

Раздел G. Удалённая работа (post-COVID)

  • Только корпоративные ноутбуки (no BYOD)
  • MDM (Mobile Device Management): Jamf для Mac, Intune для Windows
  • Зашифрованные диски обязательно
  • Webcam tape policy
  • Compliance check перед каждой сессией (OS up-to-date, antivirus running)
  • Запрет на работу из публичных Wi-Fi без VPN

Должностные роли для безопасности

Роль Зарплата (Минск) Зарплата (Дубай)
CISO (Chief Information Security Officer) $4-7k/мес $15-25k/мес
DPO (Data Protection Officer) $2-4k/мес $8-12k/мес
SOC Engineer (Security Operations Center) $2-4k/мес $6-10k/мес
Penetration Tester $3-5k/мес $10-15k/мес
Blockchain Security Engineer $4-7k/мес $15-25k/мес
Wallet Custody Engineer $5-8k/мес $15-30k/мес

Шаблон Local Regulation для Монтаны

Структура:

  1. Глава 1 — Общие положения (с правовой базой)
  2. Глава 2 — Бумажные носители (минимум, для compliance)
  3. Глава 3 — Электронные носители (расширенно)
  4. Глава 4 — КСО (полная современная)
  5. Глава 5 — Crypto-active защита (новое)
  6. Глава 6 — Удалённая работа (новое)
  7. Глава 7 — Cloud-инфраструктура (новое)
  8. Глава 8 — Инциденты и реагирование (расширенно)

Compliance vs Real Security

Важное наблюдение: документ Whitebird — это compliance документ, не security strategy. Это нормально. Монтана должна иметь:

  • Public Local Regulation (для регулятора, копия Whitebird-стиля)
  • Internal Security Standards (для команды, реальная страт)
  • NDA для security standards — никто не должен видеть внутреннюю архитектуру

Ссылки внутри Whitebird-стека

  • → #18 (главная Политика обработки ПД)
  • → #25 (Приложение 1 — обработка ПД клиентов)
  • → #11 (Положение об управлении рисками — включая кибер)
  • → #22 (аудит Kept — упоминает pen-tests)
  • → #28 (статья поддержки пользователей — связь)