Вопрос был очень неожиданным и приятным, ведь большинство специалистов рассматривают соответствие требованиям только с точки зрения "бумажек" и "железок", стараясь не смотреть в суть. Да и мало кто знаком с хорошим стандартом ISO 10012...
Процессная модель обеспечения безопасности ПДн интересна и полезна тем, что мы можем определить конкретного ответственного за каждый процесс, выявить входы и выходы процесса, и, что немаловажно, определить его периодичность и/или то, что его запускает.
На основании требований закона и подзаконных актов, а также практического опыта и здравого смысла мы подготовили майндкарту, содержащую перечень процессов, их периодичность, необходимые документы и основание (ссылка на законодательные акты). Получилось очень наглядно.
Всего процессов выявили 13:
- Анализ и пересмотр требований законодательства
- Получение согласия субъектов ПДн на обработку
- Разработка и пересмотр ОРД и подхода к построению СЗПДн
- Обучение и повышение осведомленности сотрудников (ПДн и общие вопросы ИБ)
- Реагирование на запросы субъектов ПДн
- Внутренний контроль (аудит) процессов обработки и защиты ПДн
- Резервное копирование и восстановление
- Управление правами доступа
- Управление носителями ПДн
- Реагирование на инциденты ИБ ПДн
- Пересмотр угроз ИСПДн
- Уничтожение ПДн
- Внешнее тестирование на проникновение
Более подробно в майндкарте (в PDF тут ):
P.S. Подскажите, не забыли ли какой процесс? Как можно улучшить схему?
