ПДн. Изменения процессов обработки ПДн в крупных распределенных компаниях

ПДн. Изменения процессов обработки ПДн в крупных распределенных компаниях

Наверняка в крупных распределенных компаниях вам приходилось сталкиваться со следующей ситуацией: сколько не привлекай ежегодных внешних консультантов, сколько не проводи месячников по приведению в соответствие обработки и защиты ПДн, а только новые проверки и аудиты стабильно продолжают выявлять нарушения. Я с такой ситуацией сталкиваюсь постоянно.

Вероятнее всего – все дело в постоянных изменениях:
·        отдел продаж запустил новую маркетинговую акцию, и начал обрабатывать категории субъектов ПДн, которых не было ранее;
·        подключили новые каналы получения информации, стали тянуть данные о клиентах из соцсетей
·        открыли несколько новых офисов
·        автоматизация добралась до внутреннего процесса и перечень действий с ПДн уже другой и принятие решений на основе автоматизированной обработки появилось;
·        данные из системы А перенесли в систему Б и будем теперь там хранить – там удобнее
·        часть серверов той системы переехали на новую площадку, для отказоустойчивости;
·        подразделение переехало в другой кабинет, и бумажные дела с ПДн перенесли;
·        два подразделения объединили, а часть функций третьему подразделению передали
·        поменялись наименования должностей
·        ERPсистема показала себя хорошо, количество пользователей выросло в 10 раз
·        пару второстепенных бизнес-функций отдали на аутсорсинг
·        привлекли нового подрядчика в удаленном подразделении
·        в филиале с новым банком по зарплатному проекту стали работать

В итоге у нас:
·        новые согласия не собираются
·        старые согласия не соответствуют обработке
·        политика обработки ПДн на сайте не актуальна
·        уведомления в РКН не актуально
·        при ответе субъектам ПДн на их запросы даем неправильную информацию
·        при прекращении отношений с субъектом ПДн, удалили данные из 10 систем, а из 11-ой забыли, “они что ещё и туда попадают?”
·        нет понимания какие сотрудники с какими данными работают
·        нет актуальной информации, какие ПДн в этой системе хранятся и насколько они критичны
·        а сервера этой системы вообще где?
·        у половины пользователей ИСПДн не используются СЗИ

Практика показывает, что ни один ответственный ни одно подразделение самостоятельно не сможет угнаться за всеми этими изменениями.
Казалось бы, естественная мысль – нужно руководителей всех подразделений вовлекать в правильное управление обработкой ПДн и соответствие требованиям.
Но если просто назначить ответственных на местах и успокоиться – то ничего само не заработает. Уж слишком много разных компетенций и специалистов может потребовать изменения. Ответственные на местах самостоятельно не смогут во всем разобраться и привлечь всех необходимых специалистов.
Также по моим наблюдениям плохо работает практика рассылки больших бумажных анкет, которые нужно заполнять перед или после каждого изменения. Если их заполнять долго, если заполнять сложно, если для их заполнения нужно больше одного человека – то такие варианты не работают: про такие анкеты забывают, забивают или они застревают.  А если наделать много маленьких разноплановых анкет, то потом замучаешься отслеживать и собирать информацию по кусочкам в одно место

Мое мнение: одному не вытянуть и нужно вовлекать все подразделения в управление изменениями и управление обработкой ПДн, но делать это максимально просто и удобно:
·        для каждого из ответственных лиц должна быть своя анкета, с вопросами в областях, за которые он отвечает
·        анкета максимально простая, с готовыми вариантами ответов и подсказками (в общем не более 5 минут на заполнение)
·        при разных изменениях разные цепочки опрашиваемых лиц
·        все это объединяется, централизованно коррелируется и анализируется и потом доступно для потребителей (ответственного за обработку, ответственных за защиту, ответственных за взаимодействие с субъектами и регуляторами) уже в готовом виде

В таком варианте как мне кажется без автоматизации не обойтись:
·        начинать можно с наколенной автоматизации – умные анкеты в excel, скрипты для консолидации
·        можно попробовать написать свое web приложение под задачи ПДн
но есть и готовые варианты, например:
·        DocShell – вариант который подойдет для гос. организаций, которых устроят максимально типовые анкеты и отчетные формы
·        Eplat4m – платформа которая позволяет моделировать процессы ПДн, ИБ любой сложности, создавать настраиваемые анкеты, правила консолидации и отчетные документы

PS: также напомню что все ещё идет голосование за следующую тему межблогерского вебинара. Можно предложить и свою. Согласитесь - ведь интереснее когда рассказывают именно то что вам надо ?!



Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!