Сегодня мы разберем основные приложения к Приказу о системе защиты. Как я уже писал, некоторые приложения придется перерабатывать под себя. Некоторые данные, которые я советую Вам указывать в этих приложениях, являются необязательными, но лучше, если они будут – большая часть просто может пригодиться при проверке.
Приложение 1. Перечень персональных данных.
Это основное приложение, над которым должны поработать не только ответственные за безопасность, но и работники, непосредственно обрабатывающие персональные данные, как в электронном, так и в бумажном виде.
Это основное приложение, над которым должны поработать не только ответственные за безопасность, но и работники, непосредственно обрабатывающие персональные данные, как в электронном, так и в бумажном виде.
Для составления перечня можно:
- провести опрос работников, какие данные они используют;
- проанализировать бумажные формы с персональными данными (приказы, внутренние списки, карточки, анкеты и т.д.);
- проанализировать таблицы баз данных и формы вывода информации в программном обеспечении;
- проанализировать законодательство, в соответствии с которым работает компания.
Возможно на первом этапе у Вас получится не совсем «правильный список», в частности для работы Вам необходим меньший набор персональных данных, чем Вы собираете на данный момент. В дальнейшем мы разберемся, как и в каких случаях следует минимизировать объем обрабатываемых персональных данных (это требует ФЗ 152). Так или иначе, вы получите полный список содержания персональных данных и кому эти персональные данные принадлежат.
Что касается принадлежности, то не стоит сильно обобщать: если данные принадлежат только работникам, или жителям только Вашего города, то так и пишите, а не «Гражданам РФ». Этот фактор в дальнейшем будет влиять на уровень ущерба при составлении модели угроз.
В моем примере я объединял персональные данные в группы. Это не обязательно, просто в следующих списках по доступу к данным нам придется указывать пункты этого перечня, поэтому я позаботился минимизировать количество пунктов, и моя группировка возможно Вам не подойдет.
Последний, достаточно важный с точки зрения ФЗ 152, параметр – Срок хранения. Здесь даже не знаю, что посоветовать – нужно просто читать законодательство, в соответствии с которым ведется работа в компании. Самое, наверно, непривычное – это то, что Вы должны будете позаботиться об уничтожении персональных данных по истечению срока их хранения.
Приложение 2. Перечень информационных систем персональных данных.
По определению в этот перечень войдут информационные системы, в которых ведется обработка персональных данных. Здесь придется группировать под какими-то общими названиями программное обеспечение, базы данных и технические средства, с помощью которых и ведется обработка. У меня в примере указана одна система для кадрового делопроизводства, но систем может быть много, и они могут включать в себя подсистемы, объединенные общей целью.
Я внес в этот перечень дополнительные графы, чтобы сделать описание систем сразу один раз, а затем (например, в модели угроз) просто ссылаться на это приложение.
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
Приложение 3. Список отделов, секторов и должностей, занимающихся обработкой ПДн.
Список по отделам и должностям в основном нужен в связи со сменой кадрового состава. Функционал отделов и должностей меняется редко, поэтому обработка персональных данных может быть закреплена за конкретной должностью, чтобы в дальнейшем можно было сразу видеть, давать ли доступ новому сотруднику к работе с персональными данными.
Приложение 4. Список лиц, допущенных к работе с персональными данными.
Это приложение касается как автоматизированной работы с персональными данными, так и на бумажных носителях, но желательно указывать только работников, непосредственно ведущих работу с данными.
В этот список, конечно, попадут кадровик, непосредственно ведущий дела работников, руководитель, который имеет право ознакомиться с личными делами работников, технический специалист, настраивающий бухгалтерскую программу и видящий при этом персональные данные, вахтер, ведущий записи в журнале на проходной.
Однако не стоит включать с него, например, технического специалиста, который настраивает работу принтера (если, конечно, он не проверяет его работоспособность на распечатке реальных данных).
В графе «Порядковые номера ПДн» указываются номера из «Приложения 1. Перечень персональных данных» через запятую.
Приложение 5. Список лиц, допущенных к работе в информационных системах персональных данных.
Это приложение касается только автоматизированной обработки персональных данных, причем в список необходимо включать всех, кто имеет доступ к программному обеспечению, базам данных, техническим средствам, включая инженеров-программистов, и инженеров-ремонтников.
Работников, которые ведут обработку персональных данных только на бумажных носителях – в данный приказ включать не следует по определению.
Работников, которые ведут обработку персональных данных только на бумажных носителях – в данный приказ включать не следует по определению.
В графе «Основные действия» можно кратко в произвольной форме описать функционал работника, который более точно будет определен в матрице доступа.В графе «список ИСПДн» указываются номера из «Приложения 2. Перечень информационных систем персональных данных» через запятую.
