Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СЗПДн. Культура эксплуатации ИСПДн и СЗПДн

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

Регулярно сталкиваюсь с ситуацией, когда в организации проведены работы по организации обработки и защиты ПДн, создании СЗПДн в соответствии с требованиями законодательства, но через некоторое время система защиты теряет эффективность, разработанные документы не выполняются, появляются несоответствия требованиям.


Иногда это связано с отношением организаций к проектам compliance (соответствия требованиям законодательства) как к разовым, которые можно выполнять раз в три года и в промежутках забывать о них. Иногда у организации создается впечатление что требования невозможно выполнить и выполнять постоянно, поэтому основной акцент делается на подготовку к проверкам регуляторов – compliance на время проверки.


По-моему мнению, требования законодательства в сфере обработки и защиты ПДн несложные, их можно выполнить и обеспечить их выполнение  постоянно. Даже если относится к процессам управления безопасностью ПДн как к циклическим "Планирование-реализация-проверка-совершенствование" (PDCA)  -  нужно сокращать время цикла - проверку и совершенствование делать раз в полгода. Но ещё более эффективным будет понимание, что большинство требуемых мер нужно выполнять постоянно, поэтому они должны относится к процессам эксплуатации ИС и СЗПДн.


Для того чтобы выполнять требования постоянно во время эксплуатации ИС и СЗПДн в организации должна создаваться определенная культура, в соответствии которой действуют все ответственные лица организации (перечень основных действующих ролей я уже приводил в одной из предыдущих статей). В идеале мы должны разработать правила, которые будут требовать от ответственных лиц выполнять действия сразу же после наступления определенных событий. К этому можно стремится, но на промежуточном этапе можно зафиксировать некоторые небольшие промежутки времени, по истечении который проверять - не упустили ли мы какое-то событие и не должны ли принять определенные меры.


Подготовил таблицу, содержащую роли лиц, задействованных в мероприятиях по обработке или защите ПДн, мероприятия, которые требуются законодательством, среднестатистическую частоту мероприятий в год для взятой для примера организации (100 пользователей ИСПДн, обрабатывают данные более 1000 субъектов ПДн) и рекомендованную регулярность выполнения мероприятий на промежуточном этапе. Возможно кому-то будет полезной: можно ознакомится по ссылке.


Наиболее часто встречаемые и интересные мероприятия выбрал в отдельную табличку по размеру слайда презентации.






 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.