После 30 мая в связи с вступлением в силу изменений в законе о защите персональных данных (152-ФЗ) многие компании озаботились соответствием требованиям этого закона, но не знают с чего начать и за что хвататься. Начинать я рекомендую с инвентаризации. Инвентаризация информационных систем персональных данных (ИСПДн) – это базовый шаг для построения системы защиты данных. Она позволяет понять, где и как хранятся персональные данные, кто имеет к ним доступ и какие угрозы нужно нейтрализовать. Без полного учета таких систем есть риск пропустить уязвимые места, а при проверке контролирующими органами можно столкнуться с неожиданными вопросами: какие у нас системы обрабатывают ПДн, какие данные там содержатся, где расположены базы, какими средствами защиты они защищены? Если заранее этого не знать, проверки могут обернуться паникой. Ниже рассмотрим небольшой пошаговый план, как правильно провести инвентаризацию ИСПДн, чтобы избежать подобных проблем и обеспечить соответствие требованиям законодательства.
Шаг 1. Выявление бизнес-процессов, связанных с ПДн
Начинать инвентаризацию лучше не с перечня систем, а с анализа бизнес-процессов, в ходе которых возникают персональные данные. Проще говоря, сперва ответьте на вопрос: в каких процессах компании обрабатываются ПДн? Это позволит не упустить из виду ни одну систему. Например, персональные данные могут появляться в таких процессах, как: прием сотрудников на работу (кадровый учет), прием обращений клиентов через сайт (CRM-система), проведение платежей (бухгалтерия), поддержка пользователей (HelpDesk) и т.д. Для каждого ключевого бизнес-процесса нужно определить, в какой информационной системе он реализован, и зафиксировать эту связь. Именно эти выявленные системы и станут отправной точкой реестра ИСПДн организации.
Подход «от процессов» гарантирует, что вы охватите все области работы с ПДн. Результатом данного этапа должен стать документированный перечень всех видов персональных данных, обрабатываемых в организации, с указанием подразделений и сотрудников, допущенных к их обработке. Такой перечень обеспечивает структуру для дальнейшего описания систем и повышает прозрачность – всем понятно, какие данные где обрабатываются и кто за них отвечает. Кстати, нормативные рекомендации прямо требуют от оператора персональных данных определять используемые ИСПДн и утверждать их перечень приказом. Таким образом, уже на первом шаге вы закладываете фундамент соответствия требованиям: у вас появляется список всех информационных систем, где обрабатываются персональные данные, официально закрепленный во внутреннем документе.
Шаг 2. Описание данных в каждой системе
Выявив все системы, переходим к сбору подробной информации о персональных данных, которые в них обрабатываются. Для каждой системы важно задокументировать следующие сведения:
Состав ПДн: перечислите, какие именно персональные данные обрабатываются. Например, ФИО, дата рождения, паспортные данные, адрес, телефон, email и пр. Здесь же можно указать цель использованияданных и общую характеризацию (например, "данные клиентов для оформления заказов").
Категория данных: определите, являются ли данные обычными персональными данными или относятся к специальным категориям (например, сведения о здоровье, биометрия и т.п.). Специальные категории требуют повышенной защиты.
Категория субъектов: укажите, чьи данные содержатся в системе – например, сотрудники, клиенты, контрагенты, пользователи сайта и т.д.
Объем данных: оцените приблизительное количество субъектов ПДн, чьи данные хранятся в системе. Обычно достаточно указать, меньше или больше ли 100 тысяч человек в базе. Этот параметр важен для определения уровня защищённости ИСПДн в соответствии с требованиями (большие базы с >100k записей зачастую требуют более высоких мер защиты).
Источник данных: по возможности зафиксируйте, откуда эти данные получены. Например, напрямую от субъекта через веб-форму, из договора, от третьей стороны и т.д. Это не всегда обязательно, но полезно знать пути поступления информации.
Кроме того, рекомендуется описать жизненный цикл персональных данных в рамках данной системы: как данные поступают (создаются или собираются) в систему, как хранятся, для чего используются и как в итоге удаляются, архивируются или обезличиваются. Такой детальный взгляд помогает убедиться, что на каждом этапе жизненного цикла соблюдаются меры защиты и предусмотрены необходимые процедуры (например, регулярное удаление устаревших данных).
Все эти сведения фиксируются в реестре ИСПДн для каждой системы. Они пригодятся не только для самой инвентаризации, но и для последующих задач: на основе этой информации вы сможете подготовить акт установления уровня защищённости каждой ИСПДн (требуется согласно постановлению Правительства РФ №1119) и составить описание объекта защиты, а также обосновать выбор необходимых мер защиты согласно требованиям регуляторов. Иными словами, качественно описав данные, вы заложите основу для правильной классификации системы и дальнейшей защиты.
Шаг 3. Анализ доступа и мер защиты в системе
Следующий шаг инвентаризации – собрать информацию о том, как каждая система защищает персональные данные и кто имеет к ним доступ. По каждому информационному ресурсу следует уточнить:
Права доступа: какие группы пользователей или конкретные роли имеют доступ к системе и к ее данным. Желательно указать, как реализовано разграничение доступа – существуют ли разные уровни прав (например, пользователь, администратор, разработчик) и по каким принципам они разделяются.
Управление доступом: опишите, как осуществляется аутентификация и авторизация в системе. Используются ли именованные учетные записи для каждого сотрудника, есть ли многофакторная аутентификация, как быстро отключается доступ уволенным и т.д. Это показывает, насколько контролируем доступ к ПДн.
Резервное копирование: как организовано резервное копирование базы данных с ПДн. Указывается, с какой периодичностью делаются бэкапы, где они хранятся и защищены ли они (например, шифрованием). Резервные копии зачастую содержат те же ПДн, что и основная база, поэтому требуются аналогичные меры защиты.
Журналы безопасности: ведется ли в системе журнал событий безопасности – логирование действий пользователей, особенно тех, что связаны с доступом к персональным данным (чтение, изменение, удаление). Регистрация и учет всех действий с персональными данными в ИСПДн – прямая рекомендация регуляторов. Если такие журналы есть, важно отметить, сколько они хранятся и кто их анализирует.
Антивирусная защита: применяется ли на серверах и рабочих станциях системы антивирусное ПО, и обновляется ли оно регулярно. Отсутствие вредоносного ПО – обязательное условие безопасности данных.
Другие средства защиты: перечислите прочие использующиеся меры – межсетевые экраны (фаерволы) для защиты сетевого периметра системы, системы обнаружения вторжений (IDS/IPS), средства шифрования каналов связи или базы данных, средства контроля целостности, DLP-системы для предотвращения утечек и пр. Важно отметить, какие именно средства защиты информации задействованы.
Отдельно обратите внимание на инфраструктуру и соответствие требованиям: где развернута система – на собственной ИТ-инфраструктуре компании или в облаке? Если в облаке, удостоверитесь, что понятны условия обеспечения безопасности у провайдера. Проверьте, используются ли в системе только сертифицированные средства защиты информации (особенно если речь о ФСТЭК/ФСБ-сертификации, что требуется для защиты ПДн по закону). Все применяемые средства защиты должны пройти в установленном порядке оценку соответствия, т.е. иметь действующие сертификаты ФСТЭК или ФСБ. Также желательно отметить, проводилась ли оценка эффективности примененных мер до ввода системы в эксплуатацию (в крупных системах с высокой категорией данных рекомендуется аудит или аттестация перед запуском).
Не забудьте описать и техническую сторону системы: например, сколько серверов задействовано и где они находятся физически, сколько рабочих станций (клиентов) имеют доступ и где они расположены географически. Эта информация важна для понимания границ системы и зоны, где распространяются персональные данные. Если система использует арендуемые решения или находится на площадках третьих лиц, это тоже фиксируется, поскольку в таких случаях могут требоваться отдельные договоры о защите данных с поставщиками услуг.
Итогом этого шага должно стать четкое представление, насколько защищена каждая ИСПДн на текущий момент. Вы сможете увидеть, где отсутствуют те или иные меры (например, нет журнала безопасности или резервного копирования) и наметить план улучшений.
Шаг 4. Проверка документов по каждой системе
После сбора технической информации нельзя забывать про документальное оформление обработки персональных данных в каждой системе. Для каждой ИСПДн необходимо убедиться, что:
Есть правовое основание обработки данных: для законной работы с ПДн должна быть юридическая основа – например, согласие самого субъекта, трудовой договор (для данных сотрудников), договор с клиентом, исполнение закона или государственного требования и т.д. Необходимо проверить, что для всех персональных данных в системе имеется соответствующий пункт в политике или договоре. Если где-то данные собираются без ясного основания, это серьезный риск.
Разработаны локальные нормативные акты: как минимум должна быть утверждена Политика обработки персональных данных организации. Кроме того, могут потребоваться положения, инструкции или приказы, регламентирующие работу конкретной системы или процесса (например, регламент работы CRM с персональными данными клиентов, положение об информационной системе и т.п.). Все такие документы должны отражать, какие данные обрабатываются, кто отвечает за их защиту, порядок доступа и т.д. Если таких документов нет, их следует создать.
Уведомление в Роскомнадзор (если требуется): согласно Закону №152-ФЗ оператор ПДн в ряде случаев обязан уведомлять Роскомнадзор о начале обработки персональных данных. Убедитесь, что все необходимые ИСПДн учтены в уведомлении, и что при изменениях (например, появлении нового хранилища или изменении адреса базы данных) уведомление обновлено своевременно.
Акты ввода в эксплуатацию и аттестации: если система разработана или внедрена внутри организации, полезно иметь акт о вводе ее в эксплуатацию (особенно для внутренних систем – это подтверждает, что система официально принята и используется). Для типовых тиражных систем (например, 1С) такой акт тоже не помешает для порядка. Кроме того, если по классификации система относится к высокому классу защиты, необходима аттестация – проверка системы на соответствие требованиям безопасности с выдачей аттестата. Нужно проверить, проводилась ли аттестация там, где она нужна, и действительны ли полученные аттестаты. Отсутствие обязательной аттестации или заключения о соответствии может быть нарушением.
Также рекомендуется сверить, что по каждой системе сформирован приказ или перечень ИСПДн внутри компании. В этом документе перечисляются все выявленные системы и базы данных, с указанием их наименования, места нахождения (адреса серверов или площадок) и ответственных лиц за их эксплуатацию. Такая сводная опись должна храниться в организации и при необходимости представляться проверяющим. Она же поможет при заполнении уведомления в Роскомнадзор: фактически, данные для уведомления берутся из этого внутреннего перечня. Если какого-то пункта в документации не хватает (например, нет приказа о назначении ответственного за конкретную систему или не отражено местонахождение базы данных), самое время эти пробелы заполнить.
После инвентаризации: используем результаты
Когда все вышеперечисленные шаги выполнены, у вас получится актуальный реестр ИСПДн – исчерпывающий список всех систем с персональными данными и их характеристиками. Этот реестр – живая вещь: его нужно поддерживать в актуальном состоянии. Назначьте ответственного за внесение изменений: при появлении новой информационной системы или процесса с ПДн, либо при изменениях (смена локации сервера, расширение состава данных и пр.) информацию в реестре следует обновлять и при необходимости издавать новые приказы. Рекомендуется пересматривать реестр хотя бы раз в год, даже если в компании не происходило явных изменений, чтобы убедиться, что ничего не упущено.
Правильно проведенная инвентаризация принесет компании сразу несколько выгод. Во-первых, вы обеспечите соответствие требованиям законодательства – факт наличия утвержденного перечня ИСПДн и упорядоченных данных о них свидетельствует о выполнении организационных мер безопасности. Во-вторых, у вас на руках будет вся необходимая информация для проведения моделирования угроз и оценки рисков, поскольку понятно, какие данные и где хранятся. В-третьих, при подготовке мер защиты и выборe средств вы будете точно знать, какие именно меры нужны – например, какая система требует шифрования, где нужен усиленный контроль доступа и т.д. Наконец, при проверках или запросах (будь то проверка Роскомнадзора либо внутренний аудит) вы сможете быстро предоставить требуемые сведения о любой системе: что за данные обрабатываются, на каком основании, как защищены.
Инвентаризация ИСПДн – это фундамент вашей системы защиты персональных данных. Потратив время и силы на тщательное описание процессов, данных, систем и документов, вы закладываете основу для надежной защиты информации и избавляете себя от множества проблем в будущем. Возможно, проделав эту работу, вы сами удивитесь, насколько более управляемой стала область персональных данных в вашей компании. Спасибо за внимание, и пусть ваш реестр ИСПДн всегда будет образцовым!
Больше информации в телеграмм-канале
