Добавить в корзинуПозвонить
Найти в Дзене
Б-152: защита персональных данных
45 подписчиков

#ВопросМесяца

2 мин
Вы точно помните, что в начале месяца мы предлагали вам выбрать тему, которую разберем подробнее в конце. По итогам опроса победил вопрос про инвентаризацию систем и данных 🤩 Разбираем. Когда к инвентаризации возвращаются спустя некоторое время, почти всегда повторяется одна и та же ошибка: начинают с перечня серверов, программ и оборудования. В результате получается список активов, но не появляется понимание, где именно в компании обрабатываются персональные данные, кто к ним допущен, чем это защищено и какие документы это подтверждают 📁 Начинать стоит не с инфраструктуры, а с процессов. Где в компании возникают ПДн: прием на работу, заявки с сайта, продажи, поддержка, бухгалтерия, CRM, кадровый учет. Для каждого процесса нужно определить, в какой системе он реализован. Именно так появляется не формальный список систем, а рабочий реестр ИСПДн, который можно использовать дальше. ➡️ Следующий шаг — описание самой системы. По каждой ИС нужно зафиксировать назначение, категории да

#ВопросМесяца

Вы точно помните, что в начале месяца мы предлагали вам выбрать тему, которую разберем подробнее в конце.

По итогам опроса победил вопрос про инвентаризацию систем и данных 🤩

Разбираем.

Когда к инвентаризации возвращаются спустя некоторое время, почти всегда повторяется одна и та же ошибка: начинают с перечня серверов, программ и оборудования.

В результате получается список активов, но не появляется понимание, где именно в компании обрабатываются персональные данные, кто к ним допущен, чем это защищено и какие документы это подтверждают 📁

Начинать стоит не с инфраструктуры, а с процессов.

Где в компании возникают ПДн: прием на работу, заявки с сайта, продажи, поддержка, бухгалтерия, CRM, кадровый учет. Для каждого процесса нужно определить, в какой системе он реализован. Именно так появляется не формальный список систем, а рабочий реестр ИСПДн, который можно использовать дальше.

➡️ Следующий шаг — описание самой системы.

По каждой ИС нужно зафиксировать назначение, категории данных, категории субъектов, примерный объем обработки, состав технических средств, программное обеспечение. Без этих сведений нельзя нормально определить уровень защищенности, подготовить описание объекта защиты и перейти к модели угроз.

➡️ Дальше нужно смотреть на то, что обычно остается за кадром: доступы и реальные меры защиты.

🔘Кто имеет доступ к системе?

🔘Как разграничены права?

🔘Есть ли ролевое разделение?

🔘Как устроено резервное копирование?

🔘Ведутся ли журналы событий безопасности?

🔘Применяется ли антивирусная защита?

🔘Какие еще средства защиты используются на практике?

Здесь же проверяют, где размещена система, какие средства защиты применяются, сертифицированы ли они, прошли ли они оценку соответствия, используются ли собственные решения или арендованные сервисы.

➡️ После этого проверяют документальную связку.

У системы должно быть не только фактическое существование, но и правовое и организационное оформление: основание обработки, локальные акты, уведомление в РКН, если оно требуется, документы о вводе в эксплуатацию для типовых внутренних систем.

Если система работает, но не подтверждена документально, дальше начнутся проблемы: от ошибок в модели угроз до вопросов на проверке.

Инвентаризация — это не просто про то, чтобы "пересчитать" оборудование. Это про то, чтобы собрать по каждой системе целостную картину: зачем она нужна, какие данные в ней есть, кто с ними работает, как они защищены и чем это подтверждено.

Если этот этап сделать поверхностно, дальше придется переделывать почти все.

Если у вас есть похожий вопрос или ситуация, которую стоит разобрать отдельно, оставляйте заявку через нашу постоянную форму 👆

😎

💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен