Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Иной взгляд на ПДн. Процессы (версия 2, обновление)

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Опубликовано в:
Пересмотрел перечень процессов, которые должны функционировать в организации с точки зрения выполнения требований 152-ФЗ и других подзаконных актов. Причин необходимости пересмотра три:
По правкам могу сообщить следующее:
  • Пометил цветом "общие вопросы и обработка ПДн", а также "обеспечение безопасности ПДн", поставил 3 приоритета (что внедрять в 1, 2 и 3 очередь).
  • Пометил устаревшие ссылки на требования и добавил новые (актуальные).
  • Переименовал процесс, связанный с аудитом/контролем.
  • Управление инцидентами дополнил событиями ИБ.
  • Добавил 2 новых процесса: "Анализ защищенности ИСПДн" и "Управление конфигурациями ИСПДн" (новые группы мер в SOISO).

Итоговый перечень процессов:
  1. Анализ и пересмотр требований законодательства
  2. Разработка и пересмотр локальных актов оператора  
  3. Получение согласий субъектов ПДн на обработку
  4. Реагирование на запросы субъектов ПДн и регулирующих органов
  5. Обучение и повышение осведомленности сотрудников
  6. Контроль (аудит) процессов обработки и системы защиты ПДн
  7. Пересмотр угроз ИСПДн и подхода к построению СЗПДн
  8. Управление доступом в ИСПДн 
  9. Резервное копирование и восстановление  
  10. Управление носителями ПДн
  11. Анализ защищенности ИСПДн и проведение тестов на проникновение (при необходимости)
  12. Управление событиями и инцидентами ИБ
  13. Управление конфигурацией ИСПДн
  14. Уничтожение ПДн

Кстати, если кто еще не видел, в ПП1119 и SOISO появились интересные моменты:
ПП 1119 п.17: Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.
 (+аналог в п.6 SOISO)
SOISO п.4: Безопасность ПДн при их обработке в информационной системе обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационных системах в соответствии с законодательством РФ могут привлекаться на договорной основе юридические лица или индивидуальные предприниматели, имеющие лицензию на деятельность по ТЗКИ.
 
С точки зрения передачи на аутсорсинг, я бы рекомендовал рассмотреть вот эти процессы:
  • Анализ и пересмотр требований законодательства
  • Разработка и пересмотр локальных актов оператора  
  • Обучение и повышение осведомленности сотрудников
  • Контроль (аудит) процессов обработки и системы защиты ПДн
  • Пересмотр угроз ИСПДн и подхода к построению СЗПДн
  • Анализ защищенности ИСПДн и проведение тестов на проникновение (при необходимости)

Итоговая майндкарта (в PDF тут):

 
 

 

Оцените материал:
Total votes: 478
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.