Итак, у нас новый проект! Наша команда не один десяток лет на рынке, и мы хотим поделиться с вами секретом успешного проекта по приведению в соответствие 152-ФЗ.
Во-первых, лучше соглашаться на проекты, которые идут "оптом", например, когда это группа компаний. Ничего сложного! Один раз все проверил, размножил на количество компаний в группе, увеличил ценник в N раз - успех!
Во-вторых, зачем тратить время на изучение деятельности компании, пробовать искать какие-либо сведения в интернете, спрашивать у юристов (эти напыщенные курицы из юридического все равно будут носом крутить)? Это драгоценное время лучше потратить на себя, ну или еще 5 проектов. А часы, которые заложены на подготовку к аудиту и так в премию пойдут. Только плюсы!
В-третьих, ради экономии денег мы отправим обследовать студентов. Ну а что, опросник есть, что сложного? Еще тратить время, все равно ничего не поймет. Ну и что, что ребенок по бумажке спросит у кадровички: "какие у вас ПДн в ИСПДн?". Та пожмет плечами, догадается. Студент честно запишет полный перечень ПДн, который ему будет продиктован с типовой карточки Т-2, стандартные сроки хранения. Н карточке фотография? Это же неавтоматизированная обработка биометрии! Так и запишем.
Обследует все автоматизированные системы, и сертифицированный межсетевой экран PowerPoint.
Ну и что, что будет в лучшем случае отправлен на допроверку? Пусть учится!
Заказчик ошарашен отчетом, присланным на согласование? Ну отчет же студент делал, пусть он и расхлебывает.
Все описано не так, как было сказано на интервью? Ничего, в споре рождается истина.
Все в плюсах - квалифицированный специалист экономит свое золотое время, студент опыта набирается!
Едем дальше. Отчет готов, настала очередь делать перечень персональных данных. Удобнее всего будет его сгруппировать по системам. Зачем одни и те же данные писать несколько раз? Из того, в каких они системах, и так ясно - с какой целью они обрабатываются.
Группируем ИСПДн. Включаем в них все системы, которые мы нашли! Все-все, куда они загружают данные: глобальные порталы, объединенные кадровые системы и т.д., ими пользуются все компании в группе, припишем в каждую. Ну маркетинговую мы выделим в отдельную - она же расположена в здании офиса, остальные - распределенные, в том числе АРМ пользователей в Москве, а серверы в Германии. Трансграничка! Электронную почту не рассматриваем, она же принадлежит штаб-квартире в Европе. В описание ИСПДн не будем копировать информацию о системах, зачем ненужный копипаст из отчета, там же все и так есть! Сделаем табличку соответствия ИСПДн бизнес-процессам и дело с концом.
Моделируем угрозы. В компании в принципе всё достаточно неплохо. Но все средства защиты несертифицированные, поэтому мы их будем игнорировать, как это сделали бы ФСТЭК и ФСБ. Моделируем угрозы, нарушителей - одни на всех для всех ИСПДн, а какая разница? Они все равно все в одном месте. На компьютерах пользователей фулл-диск шифрование битлокером. В компании все же есть СКЗИ! Надо им разработать положение о криптографической защите ПДн и проект приказа о вводе СКЗИ в эксплуатацию, у них же их нет! Ну вот, целый ворох актуальных угроз.
Классифицируем ИСПДн. Все неплохо, спецкатегории нет, биометрии нет, угрозы 3 типа, везде 4 уровень защищенности. Прекрасно!
Тут коллеги из смежного подразделения подсказывают, что им присылают информацию о побочных эффектах. Вроде это даже и спецкатегория. Но присылают их по электронной почте, которая вне скоупа у нас, а хранятся они на ноутбуках, которые уже и так вошли в другую ИСПДн. Даже рассматривать не будем.
Ну вот. Настала очередь плана защиты. Копипастим меры из 21 приказа для 4 УЗ. Адаптируем: ставим плюсы, если они есть, и минусы, если их нет. Все же и так понятно!
Шаблоны нормодоков у нас есть на любой случай жизни, подкорректировали цели - и готово.
Мы разработаем для компании самое лучшее техническое решение. В него войдут и SecretDisk, и Infowatch, потому что их DLP-решение не сертифицировано, самая полная лицензия на Макспатрол - им же нужно лучше всего защищаться от нарушителей! Ну и еще Kaspersky и сертифицированный Windows на все ноутбуки. А серверы Dallas Lock'ом защитим, так надежнее. Пусть русские администрируют, а не всякие индусы по SLA. Кто знает, что они могут туда наставить? А уже объяснить глобальным менеджерам, зачем менять их централизованное ПО на отечественное - задача начальника по ИТ компании: по российским законам положено.
Выполнение наших рекомендаций - залог успеха в области обработки персональных данных.