Обзор Privacy Box, системы автоматизации операций по ведению реестра ПДн
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

→ Оставить заявку
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Обзор Privacy Box, системы автоматизации операций по ведению реестра ПДн


Обзор Privacy Box, системы автоматизации операций по ведению реестра ПДн

Privacy Box — программная система для автоматизации действий с реестром процессов по обработке персональных данных. Упрощает обработку ПДн в соответствии с законом. Особенности: создание анкет, использование шаблонов, анализ по 152-ФЗ, формирование документов. Важна для юридических департаментов и специалистов по безопасности.

Сертификат AM Test Lab

Номер сертификата: 434

Дата выдачи: 31.10.2023

Срок действия: 31.10.2028

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности Privacy Box
  3. Архитектура Privacy Box
  4. Системные требования Privacy Box
  5. Сценарии использования Privacy Box
    1. 5.1. Организация единого хранилища документов
    2. 5.2. Оценка риска для новых процессов и информационных систем
    3. 5.3. Учёт сайтов и размещаемых на них форм ввода ПДн
  6. Выводы

Введение

В условиях распространения цифровых технологий обработка и контроль персональных данных приобретают первостепенное значение. Управление такой информацией требует чёткого подхода.

В этой статье мы расскажем, как организовать и оптимизировать подобные процессы с помощью решения Privacy Box от компании «Б-152». В последующих разделах будут рассмотрены технические детали, архитектура и другие аспекты.

 

Рисунок 1. Основное окно интерфейса Privacy Box

Основное окно интерфейса Privacy Box

 

Функциональные возможности Privacy Box

Основной акцент стоит сделать на том, что продукт предлагает удобный способ агрегировать в одном месте всю информацию о процессах обработки ПДн и базовые сведения о компании с возможностью автоматизировать рутинные действия.

Дадим обзор функциональности Privacy Box на примере личного кабинета в облачной версии. 

Создание анкет

Анкета — одна из основных сущностей в Privacy Box, удобный способ собрать и структурировать данные о компании, её веб-ресурсах, а также сотрудниках и отделах, ответственных за обработку персональных данных. К примеру, можно создать анкеты на темы «Информация о компании» или «Ответственные за обработку и защиту персональных данных». Чем лучше пользователь проведёт подготовительную работу по заполнению анкеты, тем проще будет в дальнейшем на остальных этапах.

 

Рисунок 2. Анкетирование процессов обработки ПДн в Privacy Box

Анкетирование процессов обработки ПДн в Privacy Box

 

Автоматизация процессов обработки ПДн

Система позволяет автоматизировать ведение и обновление информации о процессах обработки персональных данных, например, при предоставлении медицинской информации или обучении сотрудников.

 

Рисунок 3. Заведённые процессы в Privacy Box

Заведённые процессы в Privacy Box

 

Инвентаризация ИСПДн

Важно отметить, что между процессами, информационными системами персональных данных (ИСПДн) и средствами защиты информации (СЗИ) существуют отношения связанности и вложенности. При заполнении анкеты по процессу предоставляется возможность указать, в какой конкретной ИСПДн размещается этот процесс, а также какими СЗИ обеспечивается её безопасность. Это позволяет создать целостную картину защиты данных, исключая фрагментированность и изолированность информации.

 

Рисунок 4. Перечень ИСПДн организации в Privacy Box

Перечень ИСПДн организации в Privacy Box

 

Учёт средств защиты информации

Privacy Box позволяет учитывать программные и аппаратные средства, которые применяются для обеспечения безопасности персональных данных: криптографические инструменты, антивирусы и т. п. (рис. 5).

 

Рисунок 5. Список используемых СЗИ / СКЗИ в Privacy Box

Список используемых СЗИ / СКЗИ в Privacy Box

 

Обзор заведённых процессов

В разделе «Обзор» удобно просматривать все данные (рис. 6), разбивая их по различным спискам и категориям, что обеспечивает быстрый доступ к нужной информации.

 

Рисунок 6. Раздел «Обзор» в Privacy Box

Раздел «Обзор» в Privacy Box

 

Генерирование документации и управление ею

Система умеет автоматически формировать документы (планы, приказы, инструкции) на основе введённой информации, а также их наборы для предоставления в регулирующие органы. Документацию можно просматривать, дополнять, выгружать при необходимости.

 

Рисунок 7. Раздел управления документами в Privacy Box

Раздел управления документами в Privacy Box

 

В целом, система предоставляет гибкий и комплексный инструментарий для организации процессов обработки персональных данных, реализации требований по безопасности и выполнения предписаний регуляторов.

Архитектура Privacy Box

Архитектуру продукта мы опишем на примере локальной инсталляции.

Privacy Box использует систему из нескольких контейнеров Docker, что обеспечивает модульность и удобство развёртывания / обновления сервисов.

  • Фронтенд (порт 80): содержит файлы клиентской части и HTTP-сервер. Для создания фронтенда используется фреймворк Vue.
  • Бэкенд (порт 8000): серверная часть, написанная на языке Python с использованием фреймворка Django. Все скрипты и модули собраны в этом контейнере.
  • Сканер (порт 8001): принимает запросы с фронтенда по прикладному интерфейсу (API) и может использоваться для сканирования сайтов.
  • PostgreSQL: основное хранилище данных.
  • Redis: применяется для кеширования и других операций с быстрым доступом.
  • RabbitMQ (опционально): брокер сообщений, который может быть использован в системе сканирования сайтов.

Для обеспечения безопасности рекомендуется установить файрвол и разрешить доступ только к названным выше портам.

Системные требования Privacy Box

Если в приоритете простота и быстрый старт работ, то базовым вариантом будет облачный. Но если требования безопасности в компании более строги, можно развернуть систему локально.

Таблица 1 содержит минимальные системные требования для корректной работы программы. Следуйте этим параметрам, если вы планируете использовать продукт для тестовых или небольших проектов.

 

Таблица 1. Минимальные системные требования для локальной версии

Компонент

Требования

Оперативная память

1 ГБ

Жёсткий диск

15 ГБ

Процессор

Более 2 ГГц

 

Для оптимальной производительности и стабильности на больших проектах рекомендуется использовать конфигурацию в таблице 2. Это особенно актуально для тех компаний, которые предъявляют самые высокие требования к безопасности и отказоустойчивости используемых приложений.

 

Таблица 2. Рекомендуемые системные требования для локальной версии

Компонент

Требования

Оперативная память

2 ГБ

Жёсткий диск

30 ГБ

Процессор

Двухъядерный, более 2 ГГц

 

В силу архитектуры продукта (см. выше) сервер должен соответствовать и системным требованиям Docker. Большинство современных серверов им удовлетворяют (табл. 3).

 

Таблица 3. Требования Docker

Компонент

Требования

Версия ядра Linux

3.10 и более новые

Версия Iptables 

1.4 и выше

 

Далее рассмотрим возможные практические сценарии и рабочие кейсы для Privacy Box.

Сценарии использования Privacy Box

Privacy Box ориентирован на широкий круг профессионалов и предлагает разнообразные сценарии использования. Юристы и специалисты по обеспечению конфиденциальности найдут удобную функциональность для быстрого формирования реестра ПДн, оценки рисков в отношении новых процессов и информационных систем, а также учёта третьих лиц и контроля трансграничных потоков данных. Специалисты по информационной безопасности могут вести актуальный перечень ИСПДн в одном месте и обеспечивать контроль за дочерними организациями. Для ИТ-департамента продукт предоставляет возможности по учёту всех информационных систем и контролю потоков данных в них, а специалисты по маркетингу могут осуществлять эффективный контроль за сайтами компании. Таким образом, инструмент обеспечивает глубокую интеграцию различных аспектов управления персональными данными в разных сферах деятельности организации.

Весомым плюсом Privacy Box является возможность лёгкого и эффективного выполнения требований закона № 152-ФЗ в части п. 2 ст. 18.1. Продукт позволяет организациям автоматизированно сгенерировать и опубликовать документы по их политике обработки ПДн, а также сведения о реализуемых мерах защиты этих данных.

Организация единого хранилища документов

Этот сценарий подходит как для юридического отдела, так и для службы информационной безопасности, обеспечивая быстрый, удобный и безопасный доступ к сведениям о ПДн и ИСПДн в организации. Документы загружаются через одноимённый раздел в интерфейсе.

 

Рисунок 8. Раздел для загрузки своих документов в Privacy Box

Раздел для загрузки своих документов в Privacy Box

 

Загруженные документы автоматически классифицируются на категории: физические лица, третьи лица, иные.

Для удобства и быстрого доступа все документы по ПДн собираются в Privacy Box, что исключает необходимость перехода между различными файлами или системами.

В разделе «Анкеты» предоставляется доступ к актуальной информации об ИСПДн. При выборе конкретной системы открывается соответствующая анкета с полной информацией.

 

Рисунок 9. Основные анкеты в Privacy Box

Основные анкеты в Privacy Box

 

Возможность добавления нескольких компаний в аккаунт позволяет эксплуатантам Privacy Box отслеживать соответствие требованиям 152-ФЗ для каждой из дочерних структур.

Для обзора всех филиалов необходимо нажать на название организации, а затем выбрать пункт «Показать все компании» в выпадающем списке.

 

Рисунок 10. Просмотр всех компаний, включая дочерние, в Privacy Box

Просмотр всех компаний, включая дочерние, в Privacy Box

 

Для решения проблемы разбросанных файлов и версий документов Privacy Box предоставляет функциональность сортировки по логике и фильтрации по тегам, ИСПДн, названию и дате.

Оценка риска для новых процессов и информационных систем

При внедрении новой информационной системы или изменении существующей стоит провести оценку рисков с целью установить соответствие требованиям законодательства по персональным данным.

Внутри Privacy Box инициируется процесс создания анкеты, предназначенной для сбора информации о новой системе или изменениях в текущей. После этого система предоставит возможность сгенерировать уникальную ссылку на анкету.

 

Рисунок 11. Создаём и отправляем исполнителю уникальную ссылку в Privacy Box

Создаём и отправляем исполнителю уникальную ссылку в Privacy Box

 

Сгенерированная ссылка направляется ответственному лицу или группе лиц, которые осведомлены о деталях информационной системы и могут корректно заполнить анкету.

Ответственное лицо вводит всю необходимую информацию о системе. После этого нажимается кнопка «Подтвердить данные», чтобы зафиксировать сведения и отправить их на анализ.

 

Рисунок 12. Интерфейс на стороне исполнителя, проводящего оценку рисков

Интерфейс на стороне исполнителя, проводящего оценку рисков

 

Privacy Box автоматически проверит предоставленную информацию на соответствие требованиям российского законодательства по персональным данным. При обнаружении несоответствий в разделе «Анкеты» появится значок с восклицательным знаком. Для получения детализированной информации о найденных несоответствиях следует перейти в анкету и рассмотреть каждый выявленный пункт отдельно.

 

Рисунок 13. Система, прошедшая оценку рисков с неудовлетворительным результатом

Система, прошедшая оценку рисков с неудовлетворительным результатом

 

Таким образом, продукт позволяет систематизированно и детально провести оценку рисков для новой или изменённой информационной системы и гарантировать её соответствие законодательным требованиям.

Учёт сайтов и размещаемых на них форм ввода ПДн

Контроль за сайтами становится всё более актуальным, так как многие организации используют веб-ресурсы для взаимодействия с клиентами, партнёрами и иными заинтересованными сторонами. Основная цель такого контроля — удостовериться, что сайты соответствуют нормативам по обработке и защите персональных данных, предотвращая утечки и неправомерное использование последних.

Основные риски, связанные с сайтами, — эксплуатация уязвимостей, неправомерный сбор данных, отсутствие должного информирования пользователей и отсутствие согласия на обработку ПДн.

В разделе «Сайты и мобильные приложения» внутри Privacy Box указывается адрес ресурса, который подлежит анализу.

 

Рисунок 14. Ставим сайт на проверку соответствия требованиям (сканирование) в Privacy Box

Ставим сайт на проверку соответствия требованиям (сканирование) в Privacy Box

 

Privacy Box начнёт автоматический процесс сканирования сайта для определения его соответствия требованиям законодательства по персональным данным.

 

Рисунок 15. Результаты проверки и найденные разделы с формами ввода ПДн в Privacy Box

Результаты проверки и найденные разделы с формами ввода ПДн в Privacy Box

 

После завершения сканирования, если обнаружено несоответствие требованиям, в разделе «Сайты и мобильные приложения» появляется значок с восклицательным знаком.

 

Рисунок 16. Результаты сканирования сайта, не соответствующего требованиям

Результаты сканирования сайта, не соответствующего требованиям

 

В таком случае понадобится привести сайт в соответствие требованиям законодательства.

Выводы

Privacy Box представляет собой комплексное решение для обработки персональных данных, ориентированное на многогранные потребности различных рынков. Его функциональность, включая создание анкет, автоматизацию процессов, инвентаризацию ИСПДн и учёт средств защиты информации, делает его необходимым инструментом для компаний, которые сталкиваются с задачами обработки и хранения больших объёмов персональных данных.

Автоматизация процессов значительно упрощает работу всех специалистов, чьи трудовые функции имеют отношение к ПДн. Рутинные процедуры сокращаются, риск ошибок уменьшается. Таким образом, продукт может стать незаменимым инструментом для профессионалов, которые ответственны за соблюдение стандартов безопасности персональных данных в организации.

Широкий функциональный спектр и ориентация на разные рынки создают у этого продукта потенциал стать ключевым решением для всех компаний, которые ищут эффективные и надёжные методы управления персональными данными, соответствующие международным стандартам и требованиям.

Достоинства:

  • Локальная и облачная версии.
  • Возможность реализовать требования п. 2 ст. 18.1 закона 152-ФЗ, согласно которым оператор обязан вести реестр ПДн.
  • Автоматическая генерация документов, централизация работы с ними.
  • Большое количество видеоинструкций внутри сервиса.

Недостатки:

  • Нет готового инструмента для импорта собственных анкет, каждый случай требует индивидуальной доработки.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.