1 Апреля, 2013

Перечень ОРД по ПДн (mini). Я жгу )))

Andrey Prozorov
Предупреждение: пост ироничный и провокационный. 


Я уже несколько раз обновлял рекомендуемый перечень ОРД по ПДн (нормативные акты оператора, определяющие требования и процедуры по обработке и обеспечению безопасности ПДн) и, не смотря на предупреждение, что перечень является некой моделью, которую можно изменять (например, переименовывать и объединять документы), все равно продолжаю получать комментарии типа "слишком много документов, можно сократить в 2-3 раза". Да можно, но не удалением документов, а объединением.

Ну, ладно, иду на поводу общественного мнения... Попробуем подготовить минимально необходимый сокращенный перечень:
Основные идеи для сокращения: 
  • По максимуму объединяем документы. 
  • Ориентируемся не на удобство пользователей документов и обеспечение безопасности ПДн, а на формальное документирование "для проверяющих".
  • Убираем все документы группы "Справочная информация". Все держим "в голове" или, при необходимости, будем каждый раз искать того, у кого можно узнать ответ.
  • Убираем все памятки. Кому надо, те и так все знают или пусть смотрят в первоисточник (закон и подзаконные акты, внутренние нормативные документы) или спрашивают у ответственных.
  • Шаблоны форм тоже убираем. Предполагаем. что мы уже все правки в должностные инструкции, положения о подразделении и в договора внесли, РКН уведомили, форму согласия утвердили и используем.
  • Все журналы тоже убираем. Ведь явного требования по их наличию нет. Общеизвестную практику их проверок регуляторами и привычку аудиторов смотреть "записи" игнорируем.
  • Приказ оставим только один, но обо всем.

Итого получаем всего 3 документа и приказ:
  1. "Политика в отношении обработки ПДн" (общедоступная).
  2. "Модель угроз". В нем пишем все про угрозы, ущерб для субъектов, уровень защищенности ПДн, базовый набор мер и пр.
  3. "Положение об обеспечении безопасности ПДн".
  4. "Приказ о персональных данных". В нем пишем про ответственных и о внедрении СЗПДн (средства защиты и документы).
  • Под вопросом "Положение об обработке ПДн", "План мероприятий по обеспечению безопасности ПДн", ТЗ и ТП на СЗПДн, ведь явных требований по их наличию нет.
В майндкарте указал какие документы сливаются друг с другом ( в PDF тут ):


Хм...

А что если попробовать вообще в 1 документ все "слить"? Формального запрета же нет...

Я бы назвал такой документ "Положение об обработке и обеспечении безопасности ПДн" и строил его по такой структуре:
  1. Введение (проблематика)
  2. Область действия документа
  3. Роли и ответственность
  4. Часть 1. Обработка ПДн
    1. Принципы обработки ПДн
    2. Общие требований по обработке ПДн
    3. Цели и основания для обработки ПДн
    4. Порядок получения доступа к ПДн
    5. Сроки хранения и порядок уничтожения
    6. Реагирование на запросы субъектов
    7. Реагирование на запросы регулирующих органов
    8. Передача ПДн третьим лицам
    9. Трансграничная передача ПДн
    10. Общедоступная политика
    11. ...
    12. Особые случаи обработки ПДн
      1. Специальные ПДн
      2. Биометрические ПДн
      3. Общедоступные ПДн
      4. Обезличенные ПДн
      5. ...
  5. Часть 2. Угрозы ПДн
    1. Оценка вреда субъекту ПДн
    2. Методика и процедура оценки актуальности угроз
    3. Тип угроз
    4. Уровень защищенности ПДн
    5. ...
  6. Часть 3. Обеспечение безопасности ПДн
    1. Общее описание СЗПДн
    2. Общие принципы обеспечения безопасности ПДн
    3. Управление ИБ:
      1. Планирование и совершенствование СЗПДн
      2. Управление инцидентам
      3. Контроль (аудит)
      4. Обучение и повышение осведомленности
    4. Требования по областям ИБ
      1. Физическая безопасность и контроль доступа в помещения
      2. Антивирусная защита
      3. Управление доступом и защита от НСД
      4. Парольная защита
      5. Сетевая безопасность
      6. Учет и обеспечение безопасности носителей ПДн
      7. Резервное копирование и восстановление
      8. Управление конфигурацией и изменениями ИСПДн
      9. Допустимое использование активов
      10. Мониторинг событий ИБ
      11. Управление уязвимостями

  7. Порядок пересмотра документа
  8. Приложения
    1. "Политика в отношении обработки ПДн" (общедоступная)
    2. Перечень ПДн
    3. Перечень лиц, допущенных к обработке ПДн
    4. Комплект форм согласия на обработку ПДн
    5. Комплект шаблонов ответов на типовые запросы субъектов ПДн
    6. Перечень ИСПДн
    7. Краткое описание ИСПДн
    8. Модель угроз
    9. Положение о применимости базовых мер защиты ПДн
    10. Комплект форм журналов
    11. ...
Вроде ничего не забыл. И, да, будет много страниц (~200-1000, в зависимости от детализации модели угроз и других важных требований), но документ можно будет положить на полку и доставать только при проверках регуляторами. А работать с ним (выполнять требования и процедуры) уже будет сложно / не возможно.


Вот интересно, такой вариант комплекта ОРД по ПДн кому-то будет полезен и удобен? Прокомментируйте пожалуйста...
или введите имя

CAPTCHA
mike
1 Апреля, 2013
Идея на мой взгляд не плохая, единственно, что модель угроз, всё-таки прописан в 152 законе явно, а всё остальное действительно можно в кучу, что собственно в моей конторе и сделано.
0 |
1 Апреля, 2013
Дело в том, что про МУ в законе ничего не сказано. Есть именно про угрозы: "Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных". По этому формат документа можем выбирать самостоятельно., т.е. вполне можем "слить" в 1 документ
0 |
mike
1 Апреля, 2013
Да что гадать, надеюсь скоро мы увидим "секретный" документ ФСТЭКа от февраля текущего, из него всё и поймём, что писать и как писать. А так спасибо за идею.
0 |
1 Апреля, 2013
В нем не написано какие документы должны быть. В ряде требований прописано, что должно быть регламентировано...
0 |
Алексей Беседин
9 Февраля, 2015
"-положение об обработке ПДн - положение об обработке и обеспечении безопасности ПДн" А в чем принципиальное отличие между ними? Да, а Правила обработки ПДн (по ПП211) = Положению об обработке ПДн?
0 |