|
|
@@ -0,0 +1,22 @@
|
|
|
+Почему подход «от бизнес-процессов» считается более эффективным для инвентаризации ИСПДн, чем прямой аудит ИТ-активов?
|
|
|
+Подход «от бизнес-процессов» позволяет выявить все, в том числе скрытые и неочевидные, потоки персональных данных. Прямой аудит ИТ-активов может упустить системы, которые не считаются основными (например, почтовые серверы, системы видеонаблюдения, файловые архивы), но при этом регулярно обрабатывают ПДн. Анализ процессов обеспечивает системное, а не точечное понимание, гарантируя полный охват и построение целостной модели обработки данных в компании.
|
|
|
+
|
|
|
+Какие два ключевых параметра данных напрямую влияют на класс защищенности ИСПДн согласно Постановлению Правительства №1119, и почему их определение так важно?
|
|
|
+На класс защищенности напрямую влияют:
|
|
|
+1) Категория обрабатываемых данных: Наличие в системе специальных, биометрических или иных категорий данных, указанных в законе, автоматически ужесточает требования.
|
|
|
+2) Объем данных: Количество субъектов ПДн, данные которых обрабатываются в системе. Ключевым порогом является отметка в 100 000 субъектов.
|
|
|
+Их точное определение критически важно, так как именно на основе этих параметров по установленной методике выбирается класс защищенности (от 1 до 4), который, в свою очередь, диктует обязательный к применению набор организационных и технических мер защиты. Ошибка на этом этапе ведет либо к избыточным затратам, либо к критическим нарушениям требований.
|
|
|
+
|
|
|
+При аудите мер защиты резервных копий ИСПДн на что необходимо обратить особое внимание, помимо периодичности их создания?
|
|
|
+Резервные копии являются полной копией основной системы и требуют равнозначного уровня защиты. Помимо периодичности, необходимо проверить:
|
|
|
+1) Шифрование: Применяются ли средства криптографической защиты данных в бэкапах как при хранении, так и при передаче.
|
|
|
+2) Физическая и логическая изоляция: Обеспечен ли ограниченный доступ к хранилищу бэкапов (как физический, так и по сети), отличный от доступа к основной системе.
|
|
|
+3) Регламент восстановления: Существует ли отработанная и протестированная процедура восстановления данных из резервной копии, которая гарантирует их целостность и конфиденциальность.
|
|
|
+
|
|
|
+Какой минимальный пакет внутренних документов должен быть сформирован по итогам инвентаризации для документального подтверждения соответствия 152-ФЗ?
|
|
|
+Минимальный, но достаточный пакет должен включать:
|
|
|
+1) Приказ об утверждении Перечня (Реестра) ИСПДн — основной документ, фиксирующий существующие системы.
|
|
|
+2) Политика обработки персональных данных — общий документ, раскрывающий принципы и подходы компании.
|
|
|
+3) Акт классификации ИСПДн — документ, обосновывающий отнесение каждой системы к тому или иному классу защищенности.
|
|
|
+4) Регламенты/инструкции по обработке ПДн в отдельных системах — детализируют правила работы для ответственных сотрудников.
|
|
|
+Наличие этого пакета документально демонстрирует регулятору, что оператор выполнил необходимые организационные меры по защите ПДн.
|
