воскресенье, 13 декабря 2015 г.

СЗПДн. Культура эксплуатации ИСПДн и СЗПДн


Регулярно сталкиваюсь с ситуацией, когда в организации проведены работы по организации обработки и защиты ПДн, создании СЗПДн в соответствии с требованиями законодательства, но через некоторое время система защиты теряет эффективность, разработанные документы не выполняются, появляются несоответствия требованиям.

Иногда это связано с отношением организаций к проектам compliance (соответствия требованиям законодательства) как к разовым, которые можно выполнять раз в три года и в промежутках забывать о них. Иногда у организации создается впечатление что требования невозможно выполнить и выполнять постоянно, поэтому основной акцент делается на подготовку к проверкам регуляторов – compliance на время проверки.

По-моему мнению, требования законодательства в сфере обработки и защиты ПДн несложные, их можно выполнить и обеспечить их выполнение  постоянно. Даже если относится к процессам управления безопасностью ПДн как к циклическим "Планирование-реализация-проверка-совершенствование" (PDCA)  -  нужно сокращать время цикла - проверку и совершенствование делать раз в полгода. Но ещё более эффективным будет понимание, что большинство требуемых мер нужно выполнять постоянно, поэтому они должны относится к процессам эксплуатации ИС и СЗПДн.

Для того чтобы выполнять требования постоянно во время эксплуатации ИС и СЗПДн в организации должна создаваться определенная культура, в соответствии которой действуют все ответственные лица организации (перечень основных действующих ролей я уже приводил в одной из предыдущих статей). В идеале мы должны разработать правила, которые будут требовать от ответственных лиц выполнять действия сразу же после наступления определенных событий. К этому можно стремится, но на промежуточном этапе можно зафиксировать некоторые небольшие промежутки времени, по истечении который проверять - не упустили ли мы какое-то событие и не должны ли принять определенные меры.

Подготовил таблицу, содержащую роли лиц, задействованных в мероприятиях по обработке или защите ПДн, мероприятия, которые требуются законодательством, среднестатистическую частоту мероприятий в год для взятой для примера организации (100 пользователей ИСПДн, обрабатывают данные более 1000 субъектов ПДн) и рекомендованную регулярность выполнения мероприятий на промежуточном этапе. Возможно кому-то будет полезной: можно ознакомится по ссылке.

Наиболее часто встречаемые и интересные мероприятия выбрал в отдельную табличку по размеру слайда презентации.





2 комментария:

ser-storchak комментирует...

Сергей, пост интересный, но с периодичностью проверок смею не согласиться. Попробуйте на практике своему плану следовать! Чтобы быть не пустословным, рассмотрю один из примеров. Утверждение перечня лиц, обрабатывающих ПДн без использования средств автоматизации достаточно выполнять при приеме/увольнении (декрете, болезни)/смене в должности работников, а не еженедельно. Во-первых, это обоснованно, во-вторых, на практике такие события происходят реже, чем еженедельно.

Сергей Борисов комментирует...

Сергей, спасибо за комментарий.

Я предложил еженедельно проверять не произошли ли изменения. Это как напоминание в планировщике событий.
Если изменений не было - ничего не делаем.

По поводу цифр:
1) мы рассматривали оператора со 100 сотрудниками, обрабатывающими ПДн. Это достаточно большой оператор. Если у вас меньшее количество - можно уменьшать периодичность.
2) для расчетов я делал предположение что сотрудники в среднем раз в 3 года меняют место работы/отдел. далее - уже математика и статистика 100*1/3 сопоставимо с 52 неделями в году