Добрый день, коллеги! Выкладываю таблицу с вебинара в текстовом виде для удобства. Первая колонка - что проверяем в начале проверки, вторая колонка - проверяем во вторую очередь, третья колонка - мои примечания для вас.
Также на вебинаре я поделилась фрагментом своего платного Чек-листа: Создаем систему защиты персональных данных с нуля. Вы можете скачать его бесплатно.
Хорошего дня!
|
Проверяем в первую очередь |
Стоит обратить внимание на |
Примечание |
|
Комплектность пакета документов |
Своевременное внесение изменений в документы |
Нужно предварительно составить полный перечень. |
|
Листы ознакомления (подписи!) |
Своевременное переознакомление |
Ознакомление при трудоустройстве, при выходе нового
документа, при обнаружении инцидентов и т.д. Ведем реестр. |
|
Наличие согласий на обработку |
Соответствие формы согласия |
Проверяем досконально по п. 4 ст. 9 ФЗ 152. |
|
Наличие политики обработки ПДн |
Соответствие политики обработки ПДн закону |
Рекомендации Роскомнадзора https://rkn.gov.ru/personal-data/p908/ |
|
Назначено ли ЛОООПДн |
Назначены ли другие ответственные лица |
За организацию обработки отвечает руководитель
уровня заместителя директора и т.п., обычно отдельно назначают ответственных за безопасность ПДн
(ИБ), за обработку данных сотрудников (кадры), за обработку данных клиентов
(фронт-офис). |
|
Наличие уведомления об обработке |
Своевременное внесение изменений в уведомление |
Ищем полное соответствие обработки на бумаге и в жизни. |
|
Определен ли порядок работы с СКЗИ |
Актуальность документации на СКЗИ |
Сертификаты, лицензии, списки лиц, правила работы –
все имеет значение. |
|
Наличие журналов |
Правильное ведение журналов |
Проверяем подписи, корректные даты, заполнение всех
полей согласно внутренним требованиям. |
|
Есть ли правила доступа пользователей |
Настройки прав доступа |
Тестируем. Заходим под пользователем и пытаемся
сделать что-то запрещенное. |
|
Организовано ли хранение носителей |
Соответствие правил хранения на практике и на
бумаге |
Бумага, флешки, диски, сейфы, шкафы, замки на
шкафах, хранение на столах в открытом виде, хранение в незапертых ящиках –
изучаем досконально. |
|
Соответствует ли документам размещение ОТСС |
Размещение ВТСС |
Проверяем соответствие физического размещения ИСПДн
схемам помещений, в которых ведется обработка. |
|
Проводится ли оценка вреда субъектам |
Адекватность оценки вреда субъектам |
Требований со стороны закона пока нет. |
А для ИСПДн как и для секретки рисуют схемы помещения с размещением ВТСС и ОТСС? В каком документе есть такое требование?
ОтветитьУдалитьТребований нет, но для моделирования угроз, обозначения контролируемой зоны, определения возможностей злоумышленника лучше сделать (для удобства и наглядности).
УдалитьЯвных требований к этому нет, но есть косвенные:
ОтветитьУдалить- п. 15 пп 687
- п. 8.12, ЗТС.3-4
В соответствии с которыми должны быть приняты какие то меры связанные с безопасностью помещений, в которых ведется обработка ПДн. Если такие требования установлены, то в рамках аудита можно определить для каких помещений это должно быть выполнено и проверить, выполняются ли эти правила в требуемых помещениях. Как свидетельства тут могут появится схемы помещений.
п.15 ПП 687 - "15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором." Про схемы ВТСС и ОТСС ничего нет. Это ооочень косвенные требования :)
УдалитьДайте, пдз, ссылку на термины отсс и втсс в нормативке по пдн. 21 век на дворе...
ОтветитьУдалитьВся описанная таблица - бумажки, бумажки, бумажки, никакого отншения к безопасности не имеющие.
РКН интересуют только бумажки, выполнение технических требований они не проверяют.
УдалитьЛюбая техническая мера должна быть подтверждена бумагой.
Удалитьпри всём уважении - ЗТС.4 на схему размещения ВТСС и ОТСС тоже не дотягивает.
ОтветитьУдалитьвы правы, что явного требования нет.
Удалить