Привожу в данной статье обзор системы “Privacy-SPS” производства компании ООО "АйРЭД" (IRADD) , которая относится к новому классу систем – “Системы управления ПДн”. Примечательно, что система местного производства – разработчик находится в Краснодаре.
Система предназначена для автоматизации процессов связанных с обработкой и защитой персональных данных. Выполнение всех требований законодательства РФ в области ПДн требует большого количества рутинных операций и как следствие больших трудозатрат.
Причем, требуемые операции выполняются не один раз, а постоянно в течении срока жизни ИСПДн. Я думаю, что любой Оператор пытающийся выполнить требования осознал необходимость автоматизация таких операций. Я блоге я уже писал про некоторые из них: 1 , 2 , 3 , 4 .
На сайте выложена документация и по требованию Разработчик проводит демонстрацию решения. Основное, что можно почерпнуть из этого:
Разработчик заявляет, что в их продукте автоматизирован необходимый комплекс операций, например:
·
Сбор данных и описание процессов обработки ПДн
·
Сбор данных и описание процессов защиты ПДн
·
Учет активов (зданий, помещений, оборудования, информационных
массивов, носителей ПДн, средств защиты и документации)
·
Описание системы защиты
·
Обработка запросов и обращений субъектов ПДн
·
Контроль процессов обработки и защиты ПДн
·
Генерация документов на систему защиты ПДн
(модели угроз, акты классификации, описания систем защиты)
·
Генерация уведомлений, форм согласий, других
документов необходимых субъекту ПДн
·
Генерация перечня ПДн, Уведомления об обработке
ПДн в Роскомнадзор
·
Генерация внутренних
организационно-распорядительных документов (приказов, актов, заключений и т.п.)
Система имеет трехуровневую
архитектуру: клиент, СУБД, коннекторы для внешних систем.
В системе используется ролевая
модель. Предлагается – Пользователь, Делопроизводитель, Секретарь,
Администратор ИТ, Администратор ИБ, Сотрудник службы безопасности.
При внедрении в систему вносится вся необходимая исходная
информация и настраивается связь с существующими ИСПДн у Оператора. Первоначально
– это процедура трудоемкая, но в дальнейшем внесение информации производится
всеми лицами участвующими в обработке или защите ПДн с учетом их сфер
ответственности либо автоматически экспортируется из других систем.
Например, внесение информации о
структуре подразделений:
Например, ввод типов документов
с ПДн:
Например, заполнение справочника
составов ПДн в процессах обработки ПДн:
Например, ввод целей обработки
ПДн:
Например, инвенторизация активов
– серверов:
Например, учет актуальных угроз:
Например, задание требуемых
функций безопасности СЗИ в зависимости от ключевых характеристик ИСПДн.
И так далее, документируется вся
информация об ИСПДн и СЗПДн. Аналогичная работа выполняется Интеграторами при
проведении обследования ИСПДн, разработке модели угроз, ТЗ, разработке рабочей
документации на СЗПДн.
Далее начинается этап эксплуатации ИСПДн, в рамках которого автоматизируются все
операции. Например, учет обращений на ознакомление с характером ПДн и генерация
уведомлений:
Например, учет жалоб и запросов
на уточнение/дополнение ПДн:
Например, регулярная генерация
актуального уведомления Роскомнадзора, которое нужно формировать при любых
изменениях информации, приводящейся в уведомлении:
Например, регулярная генерация
актуальных Актов классификации ИСПДн, которые надо переделывать при изменении
существенных характеристик ИСПДн:
Например, генерация актов и
приказов контроль защищенности ИСПДн, который надо проводить на регулярной
основе:
Например, генерация заключений о
готовности СЗИ к эксплуатации, которые надо делать по мере их
установки/переустановки:
Например, генерация приказов на
допуск к работе с СКЗИ при изменении пользователей СКЗИ:
Например, генерация перечня ПДн
при изменениях в характеристиках обработки ПДн:
Все приведенные выше функции, а
так-же функции имеющиеся в системе, но не вошедшие в статью, позволяют
действительно регулярно выполнять необходимые процедуры, хранить всю актуальную
информацию в единой базе данных, а отчетные документы генерировать именно
тогда, когда они нужны – когда приходит проверка Регуляторов, аудиторов и
других сторонних организаций.
По информации на сайте
разработчика клиентами являются МТС и Комстар-ОТС . Дополнительно представитель Разработчика прокомментировал, что изначально система “Privacy-SPS” внедрялась
и обкатывалась в МТС, но теперь уже перешла в стадию коммерческого
распространения и доступна всем желающим.
С моей точки зрения, данный
продукт может быть интересен не только каждому Оператору ПДн, но так-же и
Интеграторам, осуществляющим аутсорсинг организации и защиты ПДн. Ведь “Privacy-SPS”
позволяет автоматизировать и их рутинные операции.
У производителя опубликованы
цены на “Privacy-SPS”
Позиция
|
Стоимость
|
Лицензия до 10 объектов
|
20 000р.
|
Лицензия до 50 объектов
|
40 000р.
|
Лицензия до 100 объектов
|
60 000р.
|
Лицензия до 300 объектов
|
150 000р.
|
Лицензия до 500 объектов
|
300 000р.
|
Лицензия до 1000 объектов
|
700 000р.
|
Лицензия более 1000 объектов
|
1 500 000р.
|
Объект – это любой
значимый компонент информационной системы. В качестве объектов могут выступать
– автоматизированные рабочие места, серверы, сетевое и телекоммуникационное
оборудование и т.п.
Как видно, для есть предложения
как для больших так и для маленьких операторов ПДн.
