Защита персональных данных для операторов ПДн стала постоянной практической задачей. Нужно поддерживать документацию в актуальном состоянии, учитывать информационные системы, контролировать доступ, фиксировать меры защиты и готовиться к проверкам. Значительная часть времени при этом уходит на ручное обновление сведений и подготовку документов.
Что меняет новый продукт
Новый продукт помогает выстроить работу с персональными данными как единую систему.
Решение ориентировано на подготовку и поддержание в актуальном состоянии всей необходимой документации. Решение встраивается в привычный контур, включая интеграцию с семейством программ 1С:Предприятие.
Это важно для организаций, у которых данные о средствах защиты, сотрудниках и системах уже ведутся в учетной среде: продукт использует единые справочники и данные бухгалтерского учета 1С.
По данным бухучета 1С система автоматически учитывает приобретенные средства защиты. Для каждой ИСПДн она также формирует матрицу доступа. Это сокращает ручную работу и упрощает внутренний контроль. Дополняет это экспертная поддержка консультантов и сопровождение во время проверок.
Какие задачи по ИСПДн закрывает система
Функциональность решения охватывает сразу несколько критически важных направлений.
Продукт позволяет вести учет информационных систем, обрабатывающих персональные данные, включая перечень ИСПДн, технические паспорта, акты определения уровня защищенности персональных данных и акты по результатам проверок.
Отдельный блок связан с обнаружением фактов несанкционированного доступа к персональным данным: здесь предусмотрены протоколы, заключения, акты по результатам проверок, а также работа с инцидентами за счет интеграции с SIEM/SOC и аналогичными системами.
Система также поддерживает учет машинных носителей персональных данных: предусмотрены журнал учета МНИ и перечень мест хранения, а также оформление документов по результатам проверок.
Еще один важный блок связан с учетом работников, допущенных к обработке персональных данных. В продукте можно вести перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных обязанностей.
Документация оператора в одном контуре
Решение помогает формировать и поддерживать документы, определяющие политику оператора, в том числе:
- политику в отношении обработки персональных данных с возможностью автоматической корректировки;
- локальные акты по вопросам обработки персональных данных с возможностью автоматической корректировки;
- категории и перечень обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- способы, сроки обработки и хранения персональных данных;
- перечень и цели обработки персональных данных;
- процедуры, направленные на предотвращение и выявление нарушений законодательства, также с возможностью автоматической корректировки.
Безопасность ПДн и средства защиты
В системе можно формировать и актуализировать:
- модель угроз безопасности персональных данных при их обработке в ИСПДн с возможностью автоматической корректировки;
- сведения о системе защиты персональных данных;
- правила доступа к персональным данным, обрабатываемым в ИСПДн, то есть матрица доступа.
Кроме того, решение поддерживает учет средств защиты информации. Для этого предусмотрены:
- журнал поэкземплярного учета средств криптографической защиты информации;
- журнал учета средств защиты информации;
- акты установки средств защиты информации.
Уведомление об обработке персональных данных
Система помогает вести сведения для уведомления об обработке персональных данных, в том числе:
- наименование и адрес оператора;
- цели обработки персональных данных;
- описание мер по обеспечению безопасности;
- данные об ответственных лицах;
- дату начала обработки;
- срок или условие прекращения обработки;
- сведения о трансграничной передаче;
- данные о месте нахождения базы персональных данных граждан РФ.
Локальное развертывание vs облачные решения
Решение выделяется на фоне облачных аналогов по нескольким причинам.
Во-первых, продукт устанавливается в инфраструктуре заказчика, а чувствительная информация остается внутри периметра компании.
Во-вторых, это полная интеграция с учетными системами и отсутствие необходимости вести справочники отдельно.
В-третьих, сотрудники работают в привычном интерфейсе, без лишнего обучения новому самостоятельному продукту.
И, наконец, решение соответствует высоким требованиям информационной безопасности: поддерживает формирование моделей угроз, матриц доступа и интеграцию с системами мониторинга событий безопасности.
Практический результат от решения для бизнеса и ИБ-служб
Для бизнеса это означает единый контур работы, в котором документация, учет, контроль и меры защиты связаны между собой. Для специалистов по защите информации – сокращение ручных операций, ускорение подготовки документов и более прозрачное управление процессами.
В условиях, когда тема ПДн напрямую связана с ответственностью оператора, внутренним контролем и соблюдением требований 152-ФЗ, такие инструменты становятся частью рабочей инфраструктуры. Чем сложнее ИТ-ландшафт компании и чем больше процессов связано с обработкой персональных данных, тем выше потребность в системе, которая помогает поддерживать порядок, снижать нагрузку на специалистов и системно выстраивать защиту.
Защита персональных данных в организации
От формального документооборота к управляемому процессу
