8 Октября, 2012

Иной взгляд на ПДн. Процессы

Andrey Prozorov
Недавно один мой коллега задал мне вопрос: "А какие процессы должны функционировать в организации с точки зрения выполнения требований 152-ФЗ+ ?".

Вопрос был очень неожиданным и приятным, ведь большинство специалистов  рассматривают соответствие требованиям только с точки зрения "бумажек" и "железок", стараясь не смотреть в суть. Да и мало кто знаком с хорошим стандартом ISO 10012...
Процессная модель обеспечения безопасности ПДн интересна и полезна тем, что мы можем определить конкретного ответственного за каждый процесс, выявить входы и выходы процесса, и, что немаловажно, определить его периодичность и/или то, что его запускает.

На основании требований закона и подзаконных актов, а также практического опыта и здравого смысла мы подготовили майндкарту, содержащую перечень процессов, их периодичность, необходимые документы и основание (ссылка на законодательные акты). Получилось очень наглядно.

Всего процессов выявили 13:
  1. Анализ и пересмотр требований законодательства 
  2. Получение согласия субъектов ПДн на обработку
  3. Разработка и пересмотр ОРД и подхода к построению СЗПДн
  4. Обучение и повышение осведомленности сотрудников (ПДн и общие вопросы ИБ)
  5. Реагирование на запросы субъектов ПДн
  6. Внутренний контроль (аудит) процессов обработки и защиты ПДн
  7. Резервное копирование и восстановление
  8. Управление правами доступа
  9. Управление носителями ПДн
  10. Реагирование на инциденты ИБ ПДн
  11. Пересмотр угроз ИСПДн
  12. Уничтожение ПДн
  13. Внешнее тестирование на проникновение 
Более подробно в майндкарте (в PDF тут ):



P.S. Подскажите, не забыли ли какой процесс? Как можно улучшить схему?