Обследование и оценка уровня защиты ПДн
В настоящее время проблема защиты персональных данных по-прежнему является одной из наиболее актуальных для многих российских компаний. Это обусловлено ужесточением системы штрафов, участившимися жалобами со стороны субъектов персональных данных, увеличением числа обращений со стороны органов надзора и зачастую неоднозначными формулировками в законодательстве. Все это влечет сложности в реализации требований и построении систем защиты персональных данных.
Анализ и оценка соответствия требованиям законодательства являются первым этапом приведения процессов обработки и защиты персональных данных (ПДн) в соответствие законодательству.
Для проведения таких работ необходимо провести сбор информации о процессах обработки ПДн, анализ текущих процессов обработки ПДн, а также применяемых мер защиты ПДн на предмет соответствия требованиям Федерального закона № 152-ФЗ «О персональных данных» и смежных нормативных правовых актов (постановлений Правительства РФ, Приказов ФСТЭК России, ФСБ России, Роскомнадзора и других регуляторов).
Сбор и анализ информации осуществляются следующими способами:
- сбор и анализ действующей документации Заказчика, устанавливающей порядок обработки и обеспечения защиты ПДн, типовых форм документов, содержащих ПДн, шаблонов договоров с клиентами и контрагентами, а также иных документов;
- сбор и анализ эксплуатационной документации информационных систем Заказчика, описывающей состав, структуру, функциональные возможности, технические характеристики и порядок использования ИСПДн и средств защиты информации;
- интервьюирование и анкетирование работников, осуществляющих обработку персональных данных и администрирование ИТ-инфраструктуры и информационных систем персональных данных.
Оценка соответствия процессов обработки и защиты ПДн включает в себя:
- определение перечня и категорий обрабатываемых ПДн, а также целей их обработки;
- анализ процессов, связанных с обработкой ПДн, с точки зрения их соответствия положениям Федерального закона № 152-ФЗ «О персональных данных»;
- определение перечня элементов информационных систем персональных данных (ИСПДн);
- определение степени участия персонала в обработке ПДн, характера взаимодействия персонала, ответственного за обеспечение безопасности ПДн;
- оценку актуальности и достаточности внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн;
- определение используемых технических средств, организационных мер и способов защиты ПДн и оценка их соответствия требованиям нормативных документов;
- моделирование потенциального нарушителя безопасности ПДн и определение актуальных угроз безопасности ПДн;
- определение требуемого уровня защищенности ПДн при их обработке в ИСПДн в соответствии с составом, объемом обрабатываемых ПДн и типом актуальных угроз безопасности ПДн.
В ходе анализа процессов обработки ПДн осуществляется оценка соблюдения требований и принципов, предъявляемых законодательством РФ при обработке ПДн, в том числе:
- обработка ПДн должна осуществляться только при наличии соответствующих правовых оснований на законной и справедливой основе;
- обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями их сбора;
- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
- обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, если иное не предусмотрено федеральным законом.
По результатам обследования формируется отчет, в котором содержатся описание текущего состояния процессов обработки и защиты персональных данных, оценка их соответствия требованиям правовых актов и рекомендации по устранению выявленных недостатков и нарушений.
Кроме того, при необходимости разрабатываются следующие документы:
- перечень обрабатываемых персональных данных;
- перечень информационных систем персональных данных;
- перечень подразделений и работников, допущенных к обработке персональных данных;
- перечень мест хранения носителей персональных данных, обрабатываемых без использования средств автоматизации;
- частная модель нарушителя и угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- необходимый комплект приказов об утверждении указанных выше документов;
- приказ о выборе требуемых уровней защищенности ПДн.