|
|
@@ -0,0 +1,44 @@
|
|
|
+# Определение уровня защищенности ИСПДн и выбор мер по обеспечению безопасности ПДн
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+В свете актуализации 152-ФЗ первоочередной задачей для операторов становится грамотная инвентаризация ИСПДн. Это не просто формальность, а стратегическая основа для построения комплексной системы защиты информации. Процедура позволяет выявить все контуры обработки ПДн, идентифицировать потенциальные риски и сформировать репрезентативную картину для демонстрации соответствия регуляторным требованиям. Систематизированный план позволяет избежать хаоса и гарантирует полное покрытие всех активов, обрабатывающих персональные данные.
|
|
|
+
|
|
|
+**1. Сквозной анализ бизнес-процессов как отправная точка**
|
|
|
+Категорической ошибкой является старт с аудита ИТ-инфраструктуры. Первичным должен быть глубокий анализ сквозных бизнес-процессов компании, в контексте которых генерируются и используются персональные данные. Ключевой вопрос: «Какие действия нашей компании требуют обработки ПДн?». Это позволяет абстрагироваться от конкретных программ и увидеть полную картину.
|
|
|
+
|
|
|
+* **Примеры процессов:** Управление персоналом (от найма до увольнения), маркетинг и продажи (от лидогенерации до оформления заказа), бухгалтерское и налоговое администрирование, клиентский сервис и техническая поддержка, видеонаблюдение на территории офиса.
|
|
|
+* **Результат:** Формализованная карта процессов с четкой привязкой к ответственным подразделениям и сотрудникам. Каждому процессу присваивается соответствующая информационная система (1С, CRM, ERP, кадровые порталы, системы видеорегистрации). Этот перечень становится ядром будущего реестра ИСПДн и утверждается внутренним приказом, что является прямой реализацией организационных требований закона.
|
|
|
+
|
|
|
+**2. Детальная паспортизация данных в каждой ИСПДн**
|
|
|
+После идентификации систем осуществляется их глубокая паспортизация. Для каждой ИСПДн формируется детальное досье, включающее:
|
|
|
+
|
|
|
+* **Полный состав и номенклатура ПДн:** Точный перечень обрабатываемых полей (ФИО, паспорт, ИНН, телефон, биометрия и пр.). Целесообразно указать цель обработки для каждой категории данных.
|
|
|
+* **Классификация данных:** Критически важно дифференцировать данные на общедоступные, персональные (базовые) и специальные категории (состояние здоровья, биометрия, раса). Обработка специальных категорий влечет за собой существенно более строгие требования к защите.
|
|
|
+* **Идентификация субъектов:** Определение категорий физических лиц, чьи данные обрабатываются (сотрудники, клиенты-физлица, контрагенты, соискатели).
|
|
|
+* **Оценочный объем данных:** Количество субъектов ПДн в системе. Пороговое значение в 100 000 субъектов является ключевым для определения уровня защищенности согласно Постановлению Правительства №1119.
|
|
|
+* **Картирование жизненного цикла данных:** Визуализация и описание полного пути данных в системе: сбор (источник), передача, хранение (в том числе в резервных копиях), использование, уничтожение или обезличивание. Это помогает выявить уязвимости на каждом этапе.
|
|
|
+
|
|
|
+Собранная информация служит основанием для составления официального Акта классификации ИСПДн и обоснования выбора применяемых мер защиты.
|
|
|
+
|
|
|
+**3. Комплексный аудит защитных механизмов и архитектуры системы**
|
|
|
+На данном этапе проводится всесторонняя оценка текущего состояния безопасности каждой системы. Анализу подлежат:
|
|
|
+
|
|
|
+* **Система управления доступом:** Наличие ролевой модели разграничения прав (User, Admin, Auditor), механизмы аутентификации (обязательны именные учетные записи) и авторизации, оперативность отзыва доступов при кадровых изменениях. Рассматривается целесообразность внедрения многофакторной аутентификации.
|
|
|
+* **Технические средства защиты информации (СЗИ):** Проверяется наличие, актуальность и легитимность СЗИ: межсетевые экраны (NGFW), системы обнаружения и предотвращения вторжений (IDS/IPS), антивирусное ПО, средства криптографической защиты (СКЗИ), системы предотвращения утечек (DLP). Особое внимание уделяется наличию действующих сертификатов ФСТЭК России или ФСБ России на используемые СЗИ.
|
|
|
+* **Процедуры обеспечения отказоустойчивости и восстановления:** Детально анализируется процесс резервного копирования: периодичность, методы шифрования бэкапов, их физическое и логическое размещение. Резервные копии, содержащие ПДн, приравниваются по уровню защищенности к основной системе.
|
|
|
+* **Система мониторинга и регистрации событий (SIEM):** Оценивается полнота журналирования событий безопасности, особенно операций с ПДн (создание, просмотр, изменение, удаление). Устанавливаются сроки хранения логов и лица, ответственные за их регулярный анализ.
|
|
|
+* **Инфраструктурная составляющая:** Определяется тип развертывания (on-premise, облако), физическое местоположение серверов и рабочих станций. В случае использования облачных решений проверяется наличие надлежащего договора с провайдером, регламентирующего ответственность за защиту ПДн.
|
|
|
+
|
|
|
+Итогом этапа становится матрица соответствия, наглядно демонстрирующая, какие меры защиты реализованы, а какие отсутствуют, что позволяет сформировать обоснованный план работ по приведению систем в соответствие.
|
|
|
+
|
|
|
+**4. Верификация документационного сопровождения**
|
|
|
+Без надлежащего документального оформления даже технически совершенная система защиты не будет считаться легитимной. Для каждой ИСПДн проводится аудит пакета документов:
|
|
|
+
|
|
|
+* **Правовое основание обработки:** Подтверждается наличие одного из оснований, предусмотренных ст. 6 152-ФЗ: согласие субъекта, договор, исполнение закона, охрана жизненно важных интересов.
|
|
|
+* **Внутренние организационно-распорядительные документы:** Проверяется наличие и актуальность Политики в отношении обработки ПДн, а также отдельных регламентов и инструкций для каждой системы, определяющих порядок работы с данными.
|
|
|
+* **Уведомление в Роскомнадзор:** Устанавливается, подано ли уведомление об обработке ПДн, и содержатся ли в нем все выявленные в ходе инвентаризации ИСПДн. При обнаружении расхождений уведомление подлежит актуализации.
|
|
|
+* **Эксплуатационная и аттестационная документация:** Наличие актов ввода систем в эксплуатацию, а для ИСПДн высоких классов защищенности — действующих Аттестатов соответствия требованиям безопасности.
|
|
|
+
|
|
|
+**Заключение и практическое применение реестра ИСПДн**
|
|
|
+Результатом всей работы является живой и актуальный Реестр ИСПДн, который является основным инструментом управления защитой персональных данных в компании. Его необходимо регулярно актуализировать (рекомендуется не реже раза в год) и назначать ответственных за его ведение. Данный реестр становится источником данных для моделирования угроз, проведения оценки рисков, планирования бюджета на информационную безопасность и оперативного взаимодействия с контролирующими органами. Таким образом, грамотно проведенная инвентаризация трансформируется из рутинной задачи в стратегический актив, значительно повышающий управляемость и безопасность бизнеса.
|
