На сайте ISACA появилась небольшая заметка на тему " 10 privacy resolutions for 2013 ". Идеи, заложенные в ней, подойдут и нашим операторам ПДн.
Приведу их полностью:
Приведу их полностью:
- Назначение ответственного. Assign someone to be responsible for your privacy issues. Appoint a chief privacy officer or, at minimum, designate someone as the person responsible for privacy in your organization.
- Анализ процедур сбора и хранения ПДн, инвентаризация мест хранения ПДн. Know what personally identifiable information your organization collects and retains about your customers and employees. Take a data inventory so you know where the information is stored.
- Создание понятнойполитики обработки и защиты ПДн. Ensure that your privacy policies are clearly written and enforceable. They should address issues related to the collection, use, disclosure, retention and disposal of personally identifiable information. Do you do what your privacy policy says that you do?
- Получение согласия субъекта на передачу его ПДн третьей стороне. Disclose personally identifiable information to third parties only for the reasons stated in your privacy notice. Be sure to have the implicit or explicit consent of the individual.
- Создание и поддержка в коллективе культуры безопасности. Create a privacy-friendly environment. Make sure your employees understand why it is important to protect personally identifiable information and the risk to the organization if they don’t.
- Соблюдение требований законодательства. Address all privacy-related laws and regulations that apply to your business. Even if you do not have a physical presence in a state or country, you may be subject to its privacy regulations. Know where your customers are located.
- Обучение и повышение осведомленности персонала. Train your employees to protect the privacy of personally identifiable information. Implement a privacy training program for all employees that includes information sessions, posters, emails, etc., on the importance of keeping personally identifiable information secure, both in and out of the office.
- Построение процесса обработки запросов и жалоб субъектов ПДн. Provide a process for individuals to make complaints. Give customers an online form or email address for communicating their privacy problems or concerns. If problems arise, deal with them efficiently and effectively.
- Создание плана реагирования на инциденты. Create an incident-response plan. Privacy breaches can occur despite your best attempts at prevention. Creation of an incident-response plan enables you to respond promptly.
- Проведение аудита с привлечением третьей доверенной стороны. Consider having a privacy audit performed by an outside trusted entity. Hire someone knowledgeable in privacy, such as someone who holds the Certified Information Systems Auditor (CISA) credential.
Ну, а для российской действительности я бы предложил такой список "10 задач на 2013":
- Создать (пересмотреть) перечень ПДн, обрабатываемых оператором. Чаше всего такой перечень делают лишь формально и в дальнейшем не используют. Я рекомендую делать документ, который Вам пригодится и для понимания процессов и для планирования СЗПДн. Имеет смысл в перечень ПДн включать:
- перечень групп субъектов ПДн (например, "работники", "кандидаты на вакантные должности", "клиенты" и пр.);
- для каждой группы субъектов ПДн указать цели и правовые основания обработки (из 152-ФЗ);
- перечень требований по срокам хранения ПДн (ссылки на нормативные акты и/или договор);
- по каждой группе субъектов ПДн определить группы ПДн и их содержание, а также тип обработки ПДн и срок хранения (пример на картинке).
- Назначить ответственных за обработку и обеспечение безопасности ПДн, провести их обучение. Многие операторы до сих пор не назначили ответственных...
- Создать и опубликовать Политику оператора в отношении обработки ПДн. К сожалению, на данный момент это требование 152-ФЗ выполнили лишь единицы. Как разработать данный документ я рассказал в посте в " Политика в отношении обработки персональных данных ".
- Провести анализ соответствия процессов обработки и системы защиты ПДн новым требованиям регуляторов. Это я, в первую очередь, про ПП1119 и Требования ФСТЭК России .
- Пересмотреть (разработать) модель угроз и подготовить план совершенствования СЗПДн. Это в том числе и в продолжение предыдущего пункта. Обратите внимание, что правильно составленная модель угроз помогает не только спланировать адекватную защиту ПДн, но и формально отказаться от выполнения новых требований ФСТЭК России . Крайне рекомендую уже начинать присматриваться (если еще не внедряли) к таким средствам защиты информации как:
- IDS/IPS;
- средства управления (анализа) уязвимостей;
- средств защиты виртуальных сред;
- средства защиты мобильных устройств.
- Решить вопрос с "применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации" (ст.19.2 3) 152-ФЗ). Тут либо вы идете по пути закупки и внедрения сертифицированных средств защиты, или используете "метод Волкова".
- Пересмотреть подход с получением форм согласия субъектов ПДн.Получение согласия с субъектов ПДн на обработку их ПДн - одно из ключевых требований закона (152-ФЗ). Основными ошибками, совершаемыми операторами на данный момент, являются:
- отсутствие согласия в случаях когда это необходимо (особенно при обработке биометрических ПДн, трансграничной передаче ПДн, передаче 3м лицам);
- несоответствие согласия форме представления (в некоторых случаях требуется письменное согласие);
- отсутствие (или некорректность представления) в форме согласия необходимой информации (особое внимание обратите на цели обработки и действия с ПДн)
- получение согласия в случаях, когда необходимость в его получении отсутствует (полезно посмотреть информационное письмо РКН ).
- Провести обучение (повышение осведомленности) сотрудников, допущенных к обработке ПДн. Сотрудникам необходимо донести и разъяснить основные требования закона и подзаконных актов, требования оператора по обработке и защите ПДн, а также их практическое применение в повседневной деятельности.
- Принять участи в обсуждении проектов документов, выпускаемых регуляторами, направить свои пожелания, замечания и предложения. Позитивный опыт уже имеется .
- Продолжить совершенствовать свою систему информационной безопасности...