Иной взгляд на ПДн. Процессы (версия 2, обновление)

Иной взгляд на ПДн. Процессы (версия 2, обновление)
Пересмотрел перечень процессов, которые должны функционировать в организации с точки зрения выполнения требований 152-ФЗ и других подзаконных актов . Причин необходимости пересмотра три:
По правкам могу сообщить следующее:
  • Пометил цветом "общие вопросы и обработка ПДн", а также "обеспечение безопасности ПДн", поставил 3 приоритета (что внедрять в 1, 2 и 3 очередь)
  • Пометил устаревшие ссылки на требования и добавил новые (актуальные)
  • Переименовал процесс, связанный с аудитом/контролем
  • Управление инцидентами дополнил событиями ИБ
  • Добавил 2 новых процесса: "Анализ защищенности ИСПДн" и "Управление конфигурациями ИСПДн" (новые группы мер в SOISO). Им поставил приоритет 3

Итоговый перечень процессов:
  1. Анализ и пересмотр требований законодательства
  2. Разработка и пересмотр локальных актов оператора  
  3. Получение согласий субъектов ПДн на обработку
  4. Реагирование на запросы субъектов ПДн и регулирующих органов
  5. Обучение и повышение осведомленности сотрудников
  6. Контроль (аудит) процессов обработки и системы защиты ПДн
  7. Пересмотр угроз ИСПДн и подхода к построению СЗПДн
  8. Управление доступом в ИСПДн 
  9. Резервное копирование и восстановление  
  10. Управление носителями ПДн
  11. Анализ защищенности ИСПДн и проведение тестов на проникновение (при необходимости)
  12. Управление событиями и инцидентами ИБ
  13. Управление конфигурацией ИСПДн
  14. Уничтожение ПДн

Кстати, если кто еще не видел , в ПП1119 и SOISO появились интересные моменты:
ПП 1119 п.17: Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.
 (+аналог в п.6 SOISO)
SOISO п.4: Безопасность ПДн при их обработке в информационной системе обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационных системах в соответствии с законодательством РФ могут привлекаться на договорной основе юридические лица или индивидуальные предприниматели, имеющие лицензию на деятельность по ТЗКИ.

С точки зрения передачи на аутсорсинг, я бы рекомендовал рассмотреть вот эти процессы:
  • Анализ и пересмотр требований законодательства
  • Разработка и пересмотр локальных актов оператора  
  • Обучение и повышение осведомленности сотрудников
  • Контроль (аудит) процессов обработки и системы защиты ПДн
  • Пересмотр угроз ИСПДн и подхода к построению СЗПДн
  • Анализ защищенности ИСПДн и проведение тестов на проникновение (при необходимости)

Итоговая майндкарта (в PDF тут ):



Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Andrey Prozorov

Информационная безопасность в России и мире