8329 подписчиков

Шаблон опросного листа по защите и обработке ПДн

3 апреля 20243 апр 2024

138

13 мин

Начальный этап практически любого проекта по обеспечению защиты персональных данных связан со сбором информации об объекте, в частности, интервьюированием ответственных лиц и систематизацией свидетельств выполнения требований и реализации мер ИБ. Для этого аудиторы используют опросные листы, в которые заносят информацию после интервью с ответственными лицами. В некоторых случаях также возможен удаленный сбор данных, при котором участники обследования заполняют опросные листы самостоятельно.

Качество опросных листов напрямую влияет как на продолжительность этапа обследования, так и на достоверность предоставляемой информации. Например, если проводить обследование удаленно, то срок его выполнения может увеличиться в два раза. Далеко не все заполняющие опросные листы знают, в каком виде и как подробно аудитор ожидает получить информацию, поэтому зачастую отвечают коротко, не погружаясь в вопрос основательно. Наверняка все хоть раз получали ёмкий ответ «да» на вопрос, который подразумевал в себе, например, перечисление информации.

В своей статье я приведу возможные варианты опросных листов для разных подразделений, а также расскажу о специфике их заполнения. Описанные в статье шаблоны могут использоваться не только внешними аудиторами, но и ответственными за обработку персональных данных в компании для начального обследования. Подчеркну, что это лишь рекомендации, которые не являются «истиной в последней инстанции». Несмотря на то, что эти шаблоны были проверены мной и моими коллегами из STEP LOGIC, как на крупных объектах, имеющих более 90 бизнес-процессов и 30 информационных систем персональных данных, так и на множестве маленьких проектов, в них все еще можно найти места для оптимизации сбора информации.

Разделение опросных листов по направлениям

При проведении обследования мы чаще всего делим опросные листы на несколько направлений:

для подразделения, осуществляющего обработку персональных данных;
для технического владельца информационный системы;
по защите персональных данных в компании.

При этом, во всех вариантах желательно указывать примеры ответа, чтобы сотрудники, заполняющие их, понимали формат.

Опрашиваемым лицом в подразделениях, осуществляющих обработку персональных данных, обычно является руководитель отдела (кадров, бухгалтерии, маркетинга, документооборота и т. д.). Нередко они не знакомы с термином «персональные данные» и не понимают цели обследования, поэтому перед сбором информации рекомендуется провести встречу, чтобы подробно объяснить, для чего проводится аудит, и ответить на возникающие вопросы.

Опросный лист для технического владельца информационной системы обычно направляется администратору ИС или ответственному работнику ИТ-отдела (включая руководителя отдела). Главное, чтобы опрашиваемое лицо располагало сведениями относительно обследуемой информационной системы.

Опросный лист по защите персональных данных может заполнить как сотрудник отдела ИБ, если он выделен в компании, так и работник, ответственный за ИТ. В идеале отвечать на вопросы должен ответственный за организацию обработки персональных данных. Поэтому данный опросный лист в названии имеет только тему, опрашиваемое лицо определяется после старта аудита. Он собирается в единственном экземпляре и содержит вопросы, касающиеся компании в целом. В случае, если для каких-то систем или процессов ответ не может быть однозначным, то в ответе перечисляются все возможные варианты.

Опросный лист для подразделений, осуществляющих обработку персональных данных

Пример шаблона опросного листа для подразделения, осуществляющего обработку персональных данных, приведен в Таблице 1.

Таблица 1 – Шаблон опросного листа для подразделения, осуществляющего обработку персональных данных

Наименование бизнес-процесса, в котором осуществляется обработка ПДн Цели обработки ПДн Правовые основания обработки ПДн Источник получения ПДн Категории Субъектов ПДн и состав обрабатываемых ПДн Обработка с использованием средств автоматизации Наименование информационной системы, осуществляющей обработку ПДн Сроки хранения ПДн Обработка без использования средств автоматизации Места хранения ПДн Сроки хранения ПДн Передача персональных данных сторонним лицам Получатели Обоснование передачи Трансграничная передача ПДн Получатели

Этот опросный лист используется для сбора информации о бизнес-процессах обработки персональных данных в конкретном подразделении.

Данный шаблон подразумевает сбор информации по бизнес-процессам, в которых осуществляется обработка персональных данных, а не по подразделениям. Дело в том, что в компаниях в одном бизнес-процессе могут участвовать несколько подразделений. Чтобы не множить документы, которые затем необходимо будет анализировать, лучше собирать сведения сразу по бизнес-процессам. Небольшие и средние компании обычно имеют стандартный набор бизнес-процессов, включающие в себя подбор и обучение персонала, добровольное медицинское страхование, бухгалтерский учет и т. п., а крупные предприятия с развитой цифровой зрелостью уже сами ведут список бизнес-процессов.

В соответствии с требованиями Федерального закона “О персональных данных” от 27.07.2006 № 152-ФЗ (далее – 152-ФЗ) обработка персональных данных в компании должна ограничиваться конкретно обозначенными целями, имеющими законные основания. В рамках одного бизнес-процесса может существовать несколько целей обработки персональных данных с разными правовыми основаниями, поэтому при аудировании необходимо собирать эту информацию. В поле правовых оснований обработки персональных данных указываются наименование нормативно-правовых актов, типы договоров, в соответствии с которыми осуществляется сбор ПДн, или непосредственно согласие субъекта на их обработку.

Для каждого бизнес-процесса необходимо определять источник получения персональных данных, которым может являться как сам субъект персональных данных, так и его представитель. Также источником получения персональных данных может быть другая компания, которая передает персональные данные в соответствии с поручением на их обработку. Ответ на этот вопрос не является прозрачным, поэтому следует выносить его отдельным пунктом, так как в 152-ФЗ есть связанное с ним требование.

Следом определяются категории субъектов персональных данных и состав обрабатываемых для них персональных данных. Стоит отметить, что в рамках одного бизнес-процесса состав обрабатываемой информации для каждой категории может сильно различаться. Например, при трудоустройстве собирается большой перечень персональных данных работника, в рамках этого же бизнес-процесса могут запрашиваться данные его близких родственников, который обычно включают в себя только степень родства, ФИО и год рождения.

Обработка персональных данных в подразделении может осуществляться как с использованием средств автоматизации, так и без них. Для каждого случая необходимо указывать соответствующую информацию. Особое внимание нужно уделять срокам хранения персональных данных, так как они не должны быть дольше, чем этого требуют цели его обработки. После их достижения персональные данные должны удаляться или обезличиваться.

Далее заполняем поля, связанные с передачей персональных данных. Для каждого бизнес-процесса необходимо определять, осуществляется ли передача персональных данных, куда и на каком основании (включая трансграничную передачу). Эта информация нужна для подготовки согласий на обработку персональных данных, а также для анализа необходимости выполнения новых требований по трансграничной передаче.

Кстати, если опираться на проектную практику STEP LOGIC, то бессрочное хранение и неправильно составленные согласия на обработку (передачу) персональных данных являются наиболее популярным нарушением у компаний. Зачастую в информационных системах персональные данные хранятся бессрочно, что является нарушением п.7, ст.5 152-ФЗ «О персональных данных», а также п.3 ст.86 ТК РФ. В согласиях же нередко прописывают общие категории третьих лиц, которым передаются персональные данные, однако в соответствии с ч.6, п.4, ст. 9 152-ФЗ «О персональных данных» должны указываться полные наименования и адреса лиц, осуществляющих обработку персональных данных по поручению компании.

Опросный лист для технического владельца информационный системы

Опросный лист для технического владельца информационной системы имеет более свободный формат, однако в нем также присутствуют обязательные разделы, повышающие качество сбора информации. Обязательные разделы приведены в Таблице 2.

Таблица 2 – Шаблон опросного листа для технического владельца

Наименование информационной системы Общие сведения об информационной системе Наименование и версия используемого прикладного ПО Сведения о разработчике прикладного ПО Схемы по ИСПДн (структурная /функциональная / схема информационных потоков ИС/ и т. п.) Состав информационной системы Перечень компонентов (модулей) системы Перечень бизнес-процессов, поддерживаемых ИСПДн Перечень подразделений-пользователей, имеющих доступ к ИСПДн Наличие информационного обмена ПДн с внешними ИС. Каналы и способы обмена (при наличии) Наличие передачи за границу ПДн, обрабатываемых в системе Перечень ПДн обрабатываемых в системе Число ПДн обрабатываемых в системе

В раздел общих сведений об информационной системы нужно вносить информацию об используемом прикладном ПО (например, Jira v8.20.16). Это необходимо для понимания, используется ли последняя версия прикладного ПО и поддерживается ли оно до сих пор.

В сведениях о разработчике прикладного ПО указывается наименование организации и страна. Это позволяет в связке с предыдущем пунктом найти дополнительную информацию о системе в целом и прикладном ПО в частности, если предоставленные данные будут неполными или непонятными. По этой же причине собираются схемы по информационной системе – они не являются обязательным компонентом, но дают много информации аудитору.

В графе «Состав информационной системы» у технического владельца запрашиваются данные, касающиеся процесса обработки ПДн. Перечни компонентов (модулей) системы дают общее представление о процессе обработки персональных данных, а вопросы, связанные с составом персональных данных, обрабатываемых в системе, их передачей (как трансграничной, так и между информационными системами) и числом обрабатываемых персональных данных, служат для уточнения.

Перечни бизнес-процессов и подразделений-пользователей, имеющих доступ к системе должны коррелировать с разделом обработки персональных данных с использованием средств автоматизации. В нашей практике эта информация зачастую не совпадает, поэтому аудитор должен отдельно обращать на это внимание. Несовпадение связано с тем, что или ответственное лицо за обработку персональных данных или технический владелец имеет более полную картинку бизнес-процесса, в котором осуществляется обработка персональных данных.

Также в рамках аудита у технического владельца информационной системы запрашивается ролевая модель, в которой необходимо отражать доступ к персональным данным у всех пользователей, в том числе не являющихся сотрудниками компании (третьих лиц). Заполненная ролевая модель используется при моделировании угроз безопасности информации, на этапе анализа возможных нарушителей безопасности. Также эта информация может пригодиться при анализе бизнес-процессов, в которых обрабатываются персональные данные, и для определения лиц (подразделений), участвующих в их обработке. Пример запрашиваемой ролевой модели приведен в Таблице 3.

Таблица 3 – Шаблон запроса ролевой модели

Пользователи Роль Объекты доступа Права доступа

Опросный лист по защите персональных данных в компании

Опросный лист по защите персональных данных включает в себя вопросы по реализации организационных, технических и физических мер защиты информации. Перечень мер защиты информации, реализованных в компании, формируется по итогу классификации информационных систем по уровню защищенности персональных данных, и моделирования угроз. Информация для реализации этих мероприятий собирается на этапе обследования, в том числе с помощью опросных листов, описанных выше.

После классификации информационных систем и моделирования угроз (или если информация по данным мероприятиям была предоставлена при запросе действующей документации), формируется опросный лист, который содержит перечень необходимых мер и уточнение, какие из них реализованы и каким способом. Например, для мер безопасности, связанных с управлением доступом, рекомендуется включать следующие категории вопросов.

Вопросы, связанные с ролевой моделью (ответственные за формирование и согласование ролевой модели, в каких случаях заводится новая роль и т. п.)
Вопросы, связанные с учетными записями (ответственные за формирование заявок и за предоставление доступа, в каких случаях заводится учетная запись и т. п.)
Вопросы, связанные с аутентификацией (используемые средства аутентификации, требования к сложности паролей, используется ли SSO, системы сквозной аутентификации и т. п.)
Вопросы, связанные с предоставлением доступа (как осуществляется регистрация заявки предоставления доступа, какая информация указывается в заявке, как осуществляется уведомление об исполнении заявки (по почте, письменно), какая информация регистрируется при событиях доступа (дата, содержание операции) и т. п.)
Вопросы, связанные с лишением доступа (как часто производится пересмотр прав доступа, удаляются неактивные учетные записи, кто несет ответственность за их удаление, через какой период блокируется неактивный сеанс и т. п.)
Вопросы про безопасность удаленного доступа (с помощью каких механизмов осуществляется шифрование передаваемой информации, а также доступ к внешним или внутренним ресурсам и т. п.)
Вопросы про организацию предоставления удаленного доступа (какие аппаратные средства аутентификации используются (токены, карты и т. д.), к каким ресурсам предоставляется удаленный доступ, какие требования ИБ возлагаются на третьи стороны, которым предоставляется удаленный доступ, и как осуществляется контроль выполнения данных требований со стороны организации и т. п.).
Вопросы про сеанс удаленного доступа (какие требования ИБ выдвигаются для рабочих мест, с которых осуществляется удаленный доступ, какое максимальное время сеанса удаленного доступа и через сколько осуществляется разрыва неактивной сессии и т. п.)

Стоит отдельно отметить, что базовый набор мер из Приказа ФСТЭК №21 по обеспечению безопасности персональных данных, обрабатываемых в информационной системе, зачастую меньше, чем дополненный уточненный адаптированный базовый набор, включающий также требования Приказа ФСБ № 378, который подготавливается по итогу моделирования угроз и классификации информационных систем. Поэтому, если мы говорим о защите персональных данных, а не просто о выполнении требований законодательства, то рекомендуется сначала подготовить дополненный уточненный адаптированный базовый набор, а затем собирать информацию о реализованных мерах из этого набора.

Рисунок 1. Пример оценки реализации мер защиты в ИСПДн

Также рекомендуется включать в опросный лист вопросы, связанные с оценкой соответствия общих процессов обработки и защиты персональных данных требованиям законодательства. К ним относятся пункты из статьи 86 ТК РФ, 152-ФЗ и Постановления Правительства РФ № 1119. Эти вопросы можно представить в виде чек-листа, где ответственное лицо будет отвечать да/нет. Примеры таких опросников можно найти в интернете.

В данной статье приведены основные рекомендации по содержанию опросных листов. Используя их, можно сократить продолжительность среднестатистического проекта и существенно сократить затраты на этап обследования. Однако, как я уже говорил выше, в зависимости от проекта содержание опросных листов может меняться. Например, при построении системы защиты персональных данных возникают вопросы, связанные со сетевой инфраструктурой (IP-адреса серверов, пропускная способность каналов связи между площадками и т. п.), а при обследование исключительно информационных систем часть вопросов по бизнес-процессам можно опустить.