СЗПДн. Анализ. Сколько ответственных нужно чтобы вкрутить лампочку ПДн?


Проблема не новая, но ещё актуальна – сколько и каких ответственных нужно назначить, для выполнения требований законодательства в области обработки и защиты ПДн?  
Проведя анализ текущего законодательства (152-ФЗ, ПП 1119, ПП 221, ПП 687, приказ ФСТЭК №21, 17, приказ ФСБ №378, приказ ФАПСИ 152, типовые требования ФСБ №149/6/6-622) получаем следующий перечень ответственных лиц (ролей):
·         ответственный за организацию обработки персональных данных
·         ответственный за определение (и поддержание) целей, правовых оснований, содержания, объема и сроков хранения ПДн, необходимости уведомления РКН
·         ответственный за обезличивание персональных данных
·         ответственный за направление уведомления в Роскомнадзор и проверку актуальности сведений в реестре операторов персональных данных
·         ответственный за пересмотр договоров с субъектами и контрагентами в части обработки персональных данных
·         ответственный за получение согласия субъекта на обработку персональных данных
·         ответственный за взаимодействие с субъектом ПДн при его обращении или в случаях обязательного информирования

·         ответственный за обеспечение безопасности персональных данных в ИСПДн
·         ответственный за администрирование СЗИ (явно требуется только для ГИС)
·         ответственный за выявление инцидентов и реагирование на них
·         ответственный за оценку вреда и определение угроз безопасности персональных данных
·         ответственный за обучение и информирование сотрудников, осуществляющих обработку персональных данных
·         ответственный за обеспечение сохранности носителей ПДн
·         ответственный за обеспечение безопасности помещений с компонентами ИСПДн
·         ответственный за контроль выполнения требований по защите персональных данных
·         орган криптографической защиты / лицо ответственное за криптографическую защиту  / ответственный пользователь криптосредств

Выделены те роли, для которых в явном виде указаны мероприятия, которые необходимо регулярно выполнять. Все задачи по защите ПДн, которые не выделены явно, входят в обязанности ответственного за обеспечение безопасности персональных данных в ИСПДн.

Тут не приведены роли обычных пользователей, администраторов ИСПДн потому что про их обязанности фактически ничего нет в законодательстве. Я бы также добавил их в итоговый перечень ролей, но об этом в следующей заметке. Добавил бы и руководство оператора ПДн как ответственное за перераспределение ответственности.

Приведенную выше ответственность я бы советовал распределять (планировать распределение) на самом раннем этапе работ по организации обработки ПДн и защиты ПДн. В некоторых случаях, когда явно не говорится о назначении лица, можно назначить ответственной за определенные мероприятия комиссию или рабочую группу. 

  




Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3