Песочница →
Про день ЗПДн или как работать с персональными данными в белую — 2
Хай, Хабр!
Продолжаем готовиться к «судному дню» 1 июля, до наступления которого каждой компании, организации, корпорации и даже индивидуальному предпринимателю необходимо определиться, является ли мы оператором персональных данных и необходимо ли наши персональные данные защищать. В первой статье из серии «Про день ЗПДн или как работать с персональными данными в белую» мы вошли в комиссию (не забыв про компенсационный пакет) по приведению информационной системы ПДн ООО «Белые и пушистые» в соответствие с требованиями 152-ФЗ. Сейчас перед нами встает более сложная высокоуровневая задача: классификация информационной системы персональных данных.
Первое, что стоит держать в уме: периметр ИСПДн не обязательно совпадает с периметром всей локально-вычислительной сети. В большинстве случаев в сетке «нарезается» сегмент, в границах которого происходит обработка персональных данных (например, пользователи 1С и компьютеры менеджеров по продажам), который и будет считаться нашей ИСПДн. Хотя при финансовых возможностях лучше среднего можно расширить ИСПДн до границ всей нашей необъятной корпоративной сети, в таком случае практически полностью отпадает необходимость коммуникаций с каждым сотрудником на предмет участвует ли он/она в процессах обработки персональных данных или нет. Хотя лучше, конечно, такую работу провести, например, подключив ресурсы другого члена нашего загрядотряда – эйчара, или кадровички, как говорили во времена дискотек 80-х. Наша главная цель – узнать: кто, на каких узлах и в каких объемах обрабатывает персональные данные. Этим и будет определяться класс нашей ИСПДН.
Согласно приказа ФСТЭК/ФСБ/Мининформсвязи предусмотрено 4 класса ИСПДн: от К4 до К1. К4 — это обезличенные или общедоступные данные, например, список сборной по мини-футболу или состав корпоративного cs-клана. К3 – база клиентов с указанием города проживания. К2 – данные по доходам сотрудников. А в К1 гарантированно попадут массивы данных с дополнительной (кроме ФИО) информацией о более чем 100 000 физических лиц или сведения, касающимися расовой, национальной принадлежности, политических, религиозных, философских взглядов, состояния здоровья и интимной жизни.
Защищать ИСПДн с классом К1 – это примерно как строительство снежной крепости – энергии море, результат непредсказуем. Причем материалы, точнее средства защиты, придется использовать только сертифицированные. Намного проще дела обстоят с К3 и К2 – требования к защищенности ниже, сертифицированная защита не обязательна, от «помощи» со стороны «товарищей в теме» можно почти всегда отказаться. Поэтому, если и принято накапливать ПДн с критериями по К1, например, коллекцию необычных фантазий клиентов со статусом VIP, лучше обратиться к добрым читерским ходам, и iddqd тому наглядный пример. К числу самых распространенных способов понижения класса ИСПДн относятся: обезличивание персональных данных, перевод ПДн в категорию общедоступных, отказ от сбора и заведения в ИС части информации (например, графы «национальность»), дробление базы данных с меньшим объемом, использование кодификаторов (18-23, 24-29 лет и т.д.), и наконец, перевод электронных ПДн на бумажные носители, защита которых ограничится хранением под замком. Например, результаты профосмотра сотрудников, редко когда необходимо хранить на сетевых дисках.
Итак, ближе к делу, мы должны получить перечень персональных данных – структурированный документ, содержащий информацию обо всех категориях и видах персональных данных, обрабатываемых оператором. При его подготовке следует уделить внимание комплексному подходу, не забывая, что на секретарском компьютере запросто могут храниться «сканы» паспортов всех, кому она когда-либо заказывала авиабилеты, необязательно включать этот компьютер в ИСПДн, намного проще удалить все *.jpg и составить для офис-менеджера понятную инструкцию, исключающую повторение таких случаев. Сам перечень может выглядеть в виде обычной таблицы, на служебном бланке, например, в виде заполненного шаблона.
За перечнем следует Акт классификации нашей ИСПДн, с указанием структуры сети (автономная, ЛВС, распределенная), наличия подключения к интернет (если «да», то с высокой вероятностью потребуется файервол), режима обработки (одно- или многопользовательский), разграничения прав пользователей и места базирования ИСПДн (целиком или частично, в РФ или за бугром). На выходе документа требуется своей доброй волей назначить нашей ИСПДн класс и это решение мы принимаем сами, без необходимости в сторонних услугах. Класс ИСПДн в будущем может пересматриваться оператором в любую сторону, при практически любых для этого основаниях, правда таким же правом наделены и регуляторы. Акт станет нашим пропуском всообщество реестр операторов ПДн, к которому мы присоединимся на следующем этапе, не наступая на оставленные мотыги и логические бомбы.
Продолжаем готовиться к «судному дню» 1 июля, до наступления которого каждой компании, организации, корпорации и даже индивидуальному предпринимателю необходимо определиться, является ли мы оператором персональных данных и необходимо ли наши персональные данные защищать. В первой статье из серии «Про день ЗПДн или как работать с персональными данными в белую» мы вошли в комиссию (не забыв про компенсационный пакет) по приведению информационной системы ПДн ООО «Белые и пушистые» в соответствие с требованиями 152-ФЗ. Сейчас перед нами встает более сложная высокоуровневая задача: классификация информационной системы персональных данных.
Первое, что стоит держать в уме: периметр ИСПДн не обязательно совпадает с периметром всей локально-вычислительной сети. В большинстве случаев в сетке «нарезается» сегмент, в границах которого происходит обработка персональных данных (например, пользователи 1С и компьютеры менеджеров по продажам), который и будет считаться нашей ИСПДн. Хотя при финансовых возможностях лучше среднего можно расширить ИСПДн до границ всей нашей необъятной корпоративной сети, в таком случае практически полностью отпадает необходимость коммуникаций с каждым сотрудником на предмет участвует ли он/она в процессах обработки персональных данных или нет. Хотя лучше, конечно, такую работу провести, например, подключив ресурсы другого члена нашего загрядотряда – эйчара, или кадровички, как говорили во времена дискотек 80-х. Наша главная цель – узнать: кто, на каких узлах и в каких объемах обрабатывает персональные данные. Этим и будет определяться класс нашей ИСПДН.
Согласно приказа ФСТЭК/ФСБ/Мининформсвязи предусмотрено 4 класса ИСПДн: от К4 до К1. К4 — это обезличенные или общедоступные данные, например, список сборной по мини-футболу или состав корпоративного cs-клана. К3 – база клиентов с указанием города проживания. К2 – данные по доходам сотрудников. А в К1 гарантированно попадут массивы данных с дополнительной (кроме ФИО) информацией о более чем 100 000 физических лиц или сведения, касающимися расовой, национальной принадлежности, политических, религиозных, философских взглядов, состояния здоровья и интимной жизни.
Защищать ИСПДн с классом К1 – это примерно как строительство снежной крепости – энергии море, результат непредсказуем. Причем материалы, точнее средства защиты, придется использовать только сертифицированные. Намного проще дела обстоят с К3 и К2 – требования к защищенности ниже, сертифицированная защита не обязательна, от «помощи» со стороны «товарищей в теме» можно почти всегда отказаться. Поэтому, если и принято накапливать ПДн с критериями по К1, например, коллекцию необычных фантазий клиентов со статусом VIP, лучше обратиться к добрым читерским ходам, и iddqd тому наглядный пример. К числу самых распространенных способов понижения класса ИСПДн относятся: обезличивание персональных данных, перевод ПДн в категорию общедоступных, отказ от сбора и заведения в ИС части информации (например, графы «национальность»), дробление базы данных с меньшим объемом, использование кодификаторов (18-23, 24-29 лет и т.д.), и наконец, перевод электронных ПДн на бумажные носители, защита которых ограничится хранением под замком. Например, результаты профосмотра сотрудников, редко когда необходимо хранить на сетевых дисках.
Итак, ближе к делу, мы должны получить перечень персональных данных – структурированный документ, содержащий информацию обо всех категориях и видах персональных данных, обрабатываемых оператором. При его подготовке следует уделить внимание комплексному подходу, не забывая, что на секретарском компьютере запросто могут храниться «сканы» паспортов всех, кому она когда-либо заказывала авиабилеты, необязательно включать этот компьютер в ИСПДн, намного проще удалить все *.jpg и составить для офис-менеджера понятную инструкцию, исключающую повторение таких случаев. Сам перечень может выглядеть в виде обычной таблицы, на служебном бланке, например, в виде заполненного шаблона.
За перечнем следует Акт классификации нашей ИСПДн, с указанием структуры сети (автономная, ЛВС, распределенная), наличия подключения к интернет (если «да», то с высокой вероятностью потребуется файервол), режима обработки (одно- или многопользовательский), разграничения прав пользователей и места базирования ИСПДн (целиком или частично, в РФ или за бугром). На выходе документа требуется своей доброй волей назначить нашей ИСПДн класс и это решение мы принимаем сами, без необходимости в сторонних услугах. Класс ИСПДн в будущем может пересматриваться оператором в любую сторону, при практически любых для этого основаниях, правда таким же правом наделены и регуляторы. Акт станет нашим пропуском в
27.05.2011 17:15+0400