14 Декабря, 2015

СЗПДн. Культура эксплуатации ИСПДн и СЗПДн

Сергей Борисов

Регулярно сталкиваюсь с ситуацией, когда в организации проведены работы по организации обработки и защиты ПДн, создании СЗПДн в соответствии с требованиями законодательства, но через некоторое время система защиты теряет эффективность, разработанные документы не выполняются, появляются несоответствия требованиям.

Иногда это связано с отношением организаций к проектам compliance (соответствия требованиям законодательства) как к разовым, которые можно выполнять раз в три года и в промежутках забывать о них. Иногда у организации создается впечатление что требования невозможно выполнить и выполнять постоянно, поэтому основной акцент делается на подготовку к проверкам регуляторов – complianceна время проверки.

По-моему мнению, требования законодательства в сфере обработки и защиты ПДн несложные, их можно выполнить и обеспечить их выполнение  постоянно. Даже если относится к процессам управления безопасностью ПДн как к циклическим "Планирование-реализация-проверка-совершенствование" (PDCA)  -  нужно сокращать время цикла - проверку и совершенствование делать раз в полгода. Но ещё более эффективным будет понимание, что большинство требуемых мер нужно выполнять постоянно, поэтому они должны относится к процессам эксплуатации ИС и СЗПДн.

Для того чтобы выполнять требования постоянно во время эксплуатации ИС и СЗПДн в организации должна создаваться определенная культура, в соответствии которой действуют все ответственные лица организации (перечень основных действующих ролей я уже приводил в одной из предыдущих статей ). В идеале мы должны разработать правила, которые будут требовать от ответственных лиц выполнять действия сразу же после наступления определенных событий. К этому можно стремится, но на промежуточном этапе можно зафиксировать некоторые небольшие промежутки времени, по истечении который проверять - не упустили ли мы какое-то событие и не должны ли принять определенные меры.

Подготовил таблицу, содержащую роли лиц, задействованных в мероприятиях по обработке или защите ПДн, мероприятия, которые требуются законодательством, среднестатистическую частоту мероприятий в год для взятой для примера организации (100 пользователей ИСПДн, обрабатывают данные более 1000 субъектов ПДн) и рекомендованную регулярность выполнения мероприятий на промежуточном этапе. Возможно кому-то будет полезной: можно ознакомится по ссылке .

Наиболее часто встречаемые и интересные мероприятия выбрал в отдельную табличку по размеру слайда презентации.