воскресенье, 21 апреля 2013 г.

Обзор сервиса 152pro.ru

17 апреля прошел вебинар компании Leta, касающийся разработанного ей сервиса 152pro.ru. Сервис призван помочь компаниям малого и среднего бизнеса выполнить требования закона о персональных данных. 

Прежде чем перейти к описанию сервиса, перечислю несколько интересных вопросов, которые задавали слушатели вебинара и на которые отвечал:
Вопрос: Выход Постановления Правительства 1119 поставил в основу типизации угроз недекларированные возможности. Как определять актуальны ли недекларированные возможности в программном (прикладном или системном) обеспечении для информационной системы?

Ответ: Точный ответ на данный вопрос будет после выхода в свет 21-го приказа ФСТЭК (его ожидают в июне-июле). Пока же эксперты считают, что все будет зависеть от разработанной в организации модели угроз. Если организация сама решит, что в отношении нее могут действовать технические разведки иностранных государств, то, соответственно это будет занесено в модель и станет критерием при определении типа угроз.
Вопрос: Считать ли ксерокопии паспорта биометрией? Относятся ли к биометрическим персональным данным видеозаписи камер СКУД, нечеткие фотографии и т.п.?

Ответ: Четкие критерии о том, что относить к биометрии, а что нет, - отсутствуют. Часть территориальных органов Роскомнадзора придерживается мнения, что к биометрии будут относится данные, взятые с соблюдением правил соответствующего ГОСТа. Но в каждом отдельном случае придется общаться с местным отделением РКН.
Вопрос: По 1119 необходимо определить потенциальный вред субъекту ПДн, который наступит в следствии нарушения защиты персональных данных. Как определить этот вред?

Ответ: Методика определения потенциального ущерба не регламентирована, поэтому Вы можете разработать собственную методику и ссылаться на нее при составлении документов.

Как работает сервис 152pro?  

Пользователям предлагается заполнить ряд информации, на основании которой по шаблонам будут сгенерированы документы, соответствующие текущим требованиям законодательства. Также в сервисе присутствует "Корзина решений" - перечень средств защиты информации, которые предлагается внедрить в информационную систему, опять же, чтобы выполнялись требования по защите ПДн.

Генерация документов предполагает 9 шагов:
  1. Назначение ответственных за обработку и защиту ПДн лиц
  2. Определение состава обрабатываемых персональных данных, целей, сроков и условий обработки
  3. Разработка основных организационно-распорядительных документов
  4. Определение порядка взаимодействия с субъектом ПДн
  5. Определение порядка взаимодействия с другими организациями при обработке ПДн
  6. Определение перечня информационных систем персональных данных
  7. Определение угроз безопасности и определение уровня защищенности ПДн
  8. Внедрение технических средств защиты
  9. Подача уведомления в Роскомнадзор
Каждый шаг сопровождается подробными разъяснениями и ссылками на нормативные документы. В общем, приняли решение о приобретении сервиса - по результатам работы с ним уже напишу более информативный отзыв. Печально, что пока ни один из клиентов, воспользовавшихся данным сервисом не проходил проверку, дабы убедиться в качестве сервиса "в боевых условиях", ибо не в боевых все выглядит весьма... здорово.

Комментариев нет:

Отправить комментарий