четверг, 16 июня 2016 г.

Как защитить персональные данные в организации? Часть 1

Многие задаются таким вопросом, но как правило мало что то делают для этого. Легче пригласить организацию, которая всё сделает и можно дальше будет сидеть и ничего не делать, думая что всё хорошо. Это ошибка друзья! Всё равно придётся вникать в вопрос обеспечения безопасности ПДн.

В общем хотелось бы в данной статье определить некий порядок к действиям на пути к защите персональных данных.Первое, что нужно сделать, это по максимуму выяснить где ведётся обработка ПДн? Другими словами - провести внутреннее обследование на предмет выявления ПДн в организации.

Это очень важный этап, так как базе обследования и строиться дальнейшая работа.


Пример из практики. Обратилась гос. организация, что бы защитить персональные данные. На этапе встречи ответственный за обработку ПДн утверждал, что кроме ПДн сотрудников они ничего не обрабатывают и вся обработка ПДн ведётся в системе 1С.
На этапе обследования выяснилось, что в организации присутствует система контроля учёта доступа (СКУД) на проходной.
Далее, организация работает с государственными информационными системами, куда вносится информация о лицах обратившихся за гос. услугой.
Организация ведёт различные реестры граждан в формате Excel.

Это небольшой список того, где могут накапливаться персональные данные.
Поэтому этап обследования очень важен, так же он важен для того что бы увидеть куда информация передаётся.
Пример из практики. Организация обрабатывает существенное количество персональных данных населения, в своей работе эта организация имеет несколько юридических лиц. Основное Юр. лицо берёт плату с населения, другое скажем оказывает услуги по ремонту. Данные передаются как из одного в другое Юр. лицо так и обратно без правовых оснований.
  
Так же нужно обратить внимание на организации с кем непосредственно работаете. Каждая организация в своей работе имеет дело с банками, и у каждой существует зарплатный проект.

Не менее важно, на этапе обследования посмотреть на состояние рабочих станций (компьютеров) и серверов, способно ли они выдержать дополнительное программное обеспечение в виде средств защиты информации и на каких операционных системах работают они.

На этапе обследования так можно оптимизировать обработку ПДн, скажем из двух рабочих станций можно выделить одну если это не критично процессом работы. Или вот у нас например был такой случай в одной крупной организации. В ней обрабатывалось множество ИСПДн с различными категориями. На этапе обследования выяснилось что одна информационная система просто лишняя. И что люди которые в ней работают, все как один говорили, что исторически так сложилось. Мы это показали руководству. Руководство приняло решение в дальнейшем приостановить работу этой системы и удалить её. Бывает и такое).

Итак вы выяснили что ваша организация обрабатывает ПДн причём не только сотрудников, но и обслуживаемого населения. Причём обработка ведётся не только на бумажных носителях но и в автоматизированном виде.

Далее необходимо выделить информационные системы персональных данных содержащие персональные данные.

Комментариев нет:

Отправить комментарий