четверг, 20 августа 2020 г.

Аудит ИСПДн

Добрый день, коллеги! Выкладываю таблицу с вебинара в текстовом виде для удобства. Первая колонка - что проверяем в начале проверки, вторая колонка - проверяем во вторую очередь, третья колонка - мои примечания для вас. 

Также на вебинаре я поделилась фрагментом своего платного Чек-листаСоздаем систему защиты персональных данных с нуля. Вы можете скачать его бесплатно.

Хорошего дня!

По вопросам сотрудничества и приобретения моих книг (электронных):
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 


Проверяем в первую очередь

Стоит обратить внимание на

Примечание

Комплектность пакета документов

Своевременное внесение изменений в документы

Нужно предварительно составить полный перечень.

Листы ознакомления (подписи!)

Своевременное переознакомление

Ознакомление при трудоустройстве, при выходе нового документа, при обнаружении инцидентов и т.д. Ведем реестр.

Наличие согласий на обработку

Соответствие формы согласия

Проверяем досконально по п. 4 ст. 9 ФЗ 152.

Наличие политики обработки ПДн

Соответствие политики обработки ПДн закону

Рекомендации Роскомнадзора https://rkn.gov.ru/personal-data/p908/

Назначено ли ЛОООПДн

Назначены ли другие ответственные лица

За организацию обработки отвечает руководитель уровня заместителя директора и т.п., обычно отдельно  назначают ответственных за безопасность ПДн (ИБ), за обработку данных сотрудников (кадры), за обработку данных клиентов (фронт-офис).

Наличие уведомления об обработке

Своевременное внесение изменений в уведомление

Ищем полное соответствие обработки на бумаге и в жизни.

Определен ли порядок работы с СКЗИ

Актуальность документации на СКЗИ

Сертификаты, лицензии, списки лиц, правила работы – все имеет значение.

Наличие журналов

Правильное ведение журналов

Проверяем подписи, корректные даты, заполнение всех полей согласно внутренним требованиям.

Есть ли правила доступа пользователей

Настройки прав доступа

Тестируем. Заходим под пользователем и пытаемся сделать что-то запрещенное.

Организовано ли хранение носителей

Соответствие правил хранения на практике и на бумаге

Бумага, флешки, диски, сейфы, шкафы, замки на шкафах, хранение на столах в открытом виде, хранение в незапертых ящиках – изучаем досконально.

Соответствует ли документам размещение ОТСС

Размещение ВТСС

Проверяем соответствие физического размещения ИСПДн схемам помещений, в которых ведется обработка.

Проводится ли оценка вреда субъектам

Адекватность оценки вреда субъектам

Требований со стороны закона пока нет.

9 комментариев:

  1. А для ИСПДн как и для секретки рисуют схемы помещения с размещением ВТСС и ОТСС? В каком документе есть такое требование?

    ОтветитьУдалить
    Ответы
    1. Требований нет, но для моделирования угроз, обозначения контролируемой зоны, определения возможностей злоумышленника лучше сделать (для удобства и наглядности).

      Удалить
  2. Явных требований к этому нет, но есть косвенные:
    - п. 15 пп 687
    - п. 8.12, ЗТС.3-4
    В соответствии с которыми должны быть приняты какие то меры связанные с безопасностью помещений, в которых ведется обработка ПДн. Если такие требования установлены, то в рамках аудита можно определить для каких помещений это должно быть выполнено и проверить, выполняются ли эти правила в требуемых помещениях. Как свидетельства тут могут появится схемы помещений.

    ОтветитьУдалить
    Ответы
    1. п.15 ПП 687 - "15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором." Про схемы ВТСС и ОТСС ничего нет. Это ооочень косвенные требования :)

      Удалить
  3. Дайте, пдз, ссылку на термины отсс и втсс в нормативке по пдн. 21 век на дворе...
    Вся описанная таблица - бумажки, бумажки, бумажки, никакого отншения к безопасности не имеющие.

    ОтветитьУдалить
    Ответы
    1. РКН интересуют только бумажки, выполнение технических требований они не проверяют.

      Удалить
    2. Любая техническая мера должна быть подтверждена бумагой.

      Удалить
  4. при всём уважении - ЗТС.4 на схему размещения ВТСС и ОТСС тоже не дотягивает.

    ОтветитьУдалить