Автоматизируем ведение реестра процессов обработки ПДн: сравнение двух подходов

Автоматизируем ведение реестра процессов обработки ПДн: сравнение двух подходов

Автоматизируем ведение реестра процессов обработки ПДн: сравнение двух подходов

Организация обработки ПДн согласно закону № 152-ФЗ — значимая задача для многих компаний. Реестр процессов обработки ПДн помогает соответствовать нормативам и обеспечивать безопасность данных. Что удобнее для достижения этих целей: система Privacy Box или привычный табличный редактор?

 

 

 

 

 

 

  1. Введение
  2. Методика сравнения
  3. Первичное заполнение информации
  4. Внесение изменений и поддержание реестра в актуальном состоянии
  5. Подготовка уведомлений в Роскомнадзор
  6. Формирование политики конфиденциальности для сайта
  7. Выводы

Введение

В современном цифровом мире, где обработка и защита персональных данных становятся критически важными, особое внимание уделяется правильной организации их обработки в рамках юридических и корпоративных структур. Основополагающий аспект здесь — формирование и актуализация реестра обработки ПДн. Такой реестр не только обеспечивает соответствие нормативным требованиям, но и позволяет эффективно управлять данными, гарантируя их безопасность и конфиденциальность. Это особенно важно в контексте пункта 2 части 1 статьи 18.1 федерального закона № 152-ФЗ, где от организаций требуют разрабатывать и обновлять политику обработки персональных данных.

Ещё одним ключевым аспектом процесса является подготовка документации для взаимодействия с регуляторными органами, такими как Роскомнадзор. В этом контексте крайне важно обеспечить правильное и своевременное документирование всех процессов обработки данных, чтобы соответствовать законодательным требованиям и избежать негативных юридических последствий.

Наконец, третьим значимым элементом является формирование политик конфиденциальности для сайтов: это не только является обязательным требованием законодательства, но и служит залогом доверия пользователей. Правильно составленная политика конфиденциальности укрепляет отношения с клиентами и способствует созданию прозрачной и безопасной среды обработки данных.

Методика сравнения

Мы сравнили два способа решения задачи по ведению реестра процессов обработки ПДн: с помощью продукта Privacy Box (облачная версия) и с помощью Microsoft Excel. 

Критерии сравнения

  1. Удобство первичного заполнения:
    • Оценка интерфейса и интуитивности использования обоих инструментов при внесении начальных данных.
    • Сравнение времени и усилий, необходимых для первоначальной настройки и заполнения реестра.
  2. Возможности внесения изменений в реестр ПДн и автоматические действия:
    • Анализ достижимой гибкости в части внесения изменений.
    • Оценка наличия и эффективности автоматических функций, таких как напоминания или предложения по корректировке данных.
  3. Логирование изменений:
    • Исследование возможностей фиксировать и отображать историю изменений.
    • Сравнение удобства просмотра логов в обеих системах.
  4. Возможность отката изменений и скрытия устаревших процессов:
    • Оценка функциональности по возврату к предыдущим версиям документа.
    • Анализ возможностей управлять устаревшей информацией и исключать её из активного просмотра.
  5. Объединение анкет:
    • Изучение механизмов объединения различных записей и анкет в общую структуру.
    • Сравнение эффективности обработки связанных данных и управления ими.
  6. Автоматические рассылки по запланированному графику и плану работ:
    • Оценка возможностей планирования и автоматизации рассылок.
    • Сравнение удобства настройки и эффективности исполнения запланированных задач.

Для объективного сравнения были разработаны следующие подходы:

  • Практическое тестирование: непосредственное использование обоих инструментов с целью ведения реестра ПДн с одинаковым набором данных.
  • Экспертные оценки: привлечение специалистов в области защиты персональных данных для оценки функциональности и удобства использования обоих инструментов.

Ожидаем, что результаты исследования помогут организациям выбрать наиболее подходящий инструмент для ведения реестра ПДн, учитывая их уникальные требования и рабочие процессы.

Первичное заполнение информации

При работе по созданию и наполнению реестра ПДн важно быстро сформировать и иметь возможность заполнить все необходимые базовые и расширенные поля. 

В Privacy Box на главной странице есть список анкет. Можно создавать их вручную либо воспользоваться шаблонами (всего таких шаблонов 120). При заполнении надо для начала ввести данные о компании, они подтянутся после ввода ИНН и нажатия кнопки (блоки 1 и 2 на рис. 1; в блоке 3 видно автоматически добавленную информацию). После заполнения основных сведений можно добавить типовые процессы (блок 4).

 

Рисунок 1. Первичное заполнение анкеты с информацией о компании

Первичное заполнение анкеты с информацией о компании

 

Под каждый процесс будет сформирована карточка, в которой можно (и нужно) детализировать информацию.

 

Рисунок 2. Окно добавления новых процессов (из шаблонов)

Окно добавления новых процессов (из шаблонов)

 

В программах управления таблицами (Microsoft Excel, «Google Таблицы», OpenOffice Calc и др.) обычно возникает громоздкий реестр со множеством строк и столбцов. Это усложняет не только заполнение, но и восприятие содержимого, повышает риск что-то упустить или забыть. Также на основе данных из таблиц не удастся автоматически сформировать необходимые по требованиям законодательства документы.

 

Рисунок 3. Пример классического реестра ПДн в программе управления таблицами

Пример классического реестра ПДн в программе управления таблицами

 

Рассмотрим, насколько удобно оперативно обновлять структуры (добавлять новые блоки) при изменении требований регулятора.

В Privacy Box, как уже говорилось, при формировании процессов создаются карточки под каждый из них (рис. 4).

 

Рисунок 4. Редактирование шаблонного процесса, стартовая страница

Редактирование шаблонного процесса, стартовая страница

 

Например, процесс «Предоставление доступа к информационным системам» уже будет содержать основные типовые сведения, останется только уточнить и дополнить их (рис. 5). Необходимые поля и блоки можно будет обновить в следующих итерациях.

 

Рисунок 5. Возможность обновлять и заменять информацию в различных блоках

Возможность обновлять и заменять информацию в различных блоках

 

В карточках процесса отображаются риски несоответствия требованиям 152-ФЗ, которые система помогает обнаружить (рис. 6). 

 

Рисунок 6. Подсвечивание рисков по процессам и системам

Подсвечивание рисков по процессам и системам

 

При заполнении таблиц с данными о процессах обработки ПДн (рис. 7) высок риск упустить важные детали или запутаться, потому что если таблицы заполняют несколько человек, каждый из них может дать свой термин или собственную формулировку. Кроме того, в офлайн-редакторах узким местом становится синхронизация изменений.

 

Рисунок 7. Ручное заполнение полей в реестре процессов ПДн в программах управления таблицами

Ручное заполнение полей в реестре процессов ПДн в программах управления таблицами

 

Следующим немаловажным аспектом при ведении реестра ПДн является его отправка на заполнение и проверку. Дело не только в требованиях закона, но и в контроле произведённых действий — чтобы всё было прозрачно, подотчётно и отслеживаемо (рис. 8).

 

Рисунок 8. Формирование и отправка ссылки на группу анкет, объединённых по тегу

Формирование и отправка ссылки на группу анкет, объединённых по тегу

 

Для классического реестра ПДн в файле придётся либо отправлять его через электронную почту (тогда встанет вопрос о версионировании и синхронизации изменений), либо выкладывать в облачные сервисы, такие как «Яндекс Документы» или Office 365. Такой подход сопряжён с рисками и не отличается большим удобством.

Отметим также, что в Privacy Box есть возможность отслеживать и контролировать изменения через логирование (рис. 9). 

 

Рисунок 9. Просмотр изменений процессов, систем, СЗИ в интерфейсе Privacy Box

Просмотр изменений процессов, систем, СЗИ в интерфейсе Privacy Box

 

По умолчанию под каждым процессом и каждой ИСПДн в системе отображаются дата создания / изменения и имя пользователя, который выполнил операцию. Если в документе появились некорректные изменения, можно понять, кто их внёс, и обсудить правки.

 

Рисунок 10. Краткая информация о процессах в колонке «Обновлено»

Краткая информация о процессах в колонке «Обновлено»

 

В Microsoft Excel и схожих решениях возможно выполнять рецензирование в локальном файле, пересылать его или редактировать в облаке, где есть история изменений, однако в Privacy Box следить за событиями удобнее. Кроме того, в Excel сложнее настроить сохранение и экспорт логов изменений во внешние системы, например когда учёт процессов ПДн ставится на мониторинг в комплексе управления событиями (SIEM).

В классическом реестре ПДн, когда процессов очень много, трудно понять, что и где находится, плюс бывают процессы сезонные или временные, которые надо убирать или помечать как завершённые, что может быть крайне трудоёмко. Поэтому возможность скрыть неактивные процессы, которая есть в Privacy Box, добавляет удобства в ведении реестра ПДн, позволяет не захламлять его и не отвлекать всех заинтересованных лиц на уже неактуальные процессы, при этом не удаляя последние.

 

Рисунок 11. Демонстрация скрытия неактивного процесса

Демонстрация скрытия неактивного процесса

 

На сайте компании могут быть формы ввода ПДн и другие подобные сущности (рис. 12). Если учёт процессов ведётся классическим методом, то эту работу придётся делать вручную, и не факт, что специалист не упустит из вида какой-то раздел или некую форму. В Privacy Box процедура автоматизирована, предусмотрен сканер сайтов и мобильных приложений.

 

Рисунок 12. Результаты проверки и найденные разделы с формами ввода ПДн в Privacy Box

Результаты проверки и найденные разделы с формами ввода ПДн в Privacy Box

 

Внесение изменений и поддержание реестра в актуальном состоянии

Важно не только наполнить и сформировать реестр ПДн, но и обеспечивать его актуальность. 

В Privacy Box присутствует возможность объединить анкеты с помощью тегов (рис. 13), что позволит сформировать единую ссылку на группу анкет с общим признаком, таким как ответственное лицо или отдел в организации. Такой подход не только упростит учёт, но и даст возможность отдать процессы на проверку именно тем сотрудникам, которые за них отвечают, вместо доступа к громоздким таблицам с сотнями ячеек и множеством других данных.

 

Рисунок 13. Процесс тегирования анкет процессов

Процесс тегирования анкет процессов

 

В результате простановки тегов можно отобрать нужные процессы, относящиеся, например, к ИТ (рис. 14).

 

Рисунок 14. Объединение и фильтрация по выбранным тегам

Объединение и фильтрация по выбранным тегам

 

Эта функциональность похожа на стандартные возможности табличных редакторов, где за счёт проставления дополнительной информации в специально выделенных столбцах можно проводить сортировку и фильтрацию строк ПДн-реестра.

В Privacy Box можно запланировать регулярные рассылки уведомлений о том, что необходимо проверить актуальность данных в анкетах, где получатель указан в качестве ответственного лица (рис. 15). Если в арсенале имеется только программа для управления таблицами, придётся придумывать варианты автоматизации, способы доставки / получения информации по процессам в реестре и объединения полученных данных. 

 

Рисунок 15. Планировщик рассылок и уведомлений о событиях с анкетами

Планировщик рассылок и уведомлений о событиях с анкетами

 

Подготовка уведомлений в Роскомнадзор

Отправка отчётности и уведомлений в регулирующие органы, например РКН, требует дополнительной информации, которую необходимо извлечь из объёмистой документации по обработке ПДн и самого реестра. Рутинные и не всегда оправданные действия такого рода могут замедлить реакцию на запросы, привести к штрафным санкциям и даже просто к тому, что специалист по защите данных будет заниматься низкоквалифицированной работой, которую можно и нужно автоматизировать или сильно упростить.

Для заполнения формы уведомления на сайте РКН требуется ввести различные данные. Будет проще, если они окажутся в единой точке доступа.

 

Рисунок 16. Заполнение формы уведомления на сайте Роскомнадзора

Заполнение формы уведомления на сайте Роскомнадзора

 

Классический реестр ПДн в таблице может быть такой единой точкой, что сближает его с Privacy Box. Однако в последней есть ещё возможность получить необходимую для заполнения формы информацию в пару щелчков мышью, основываясь на атрибуте «Макроцель» (рис. 17).

 

Рисунок 17. Выгрузка макроцелей для заполнения уведомления в РКН

Выгрузка макроцелей для заполнения уведомления в РКН

 

Процессы с общей макроцелью выводятся в один документ, внутри которого собраны агрегированные данные по каждому из них, причём без дублей (рис. 18).

 

Рисунок 18. Выгруженный документ процессов с общей макроцелью

Выгруженный документ процессов с общей макроцелью

 

В случае передачи ПДн третьим лицам, в т. ч. в зарубежные филиалы или компании, хочется быстро и удобно собрать информацию по всем кейсам такого рода. Privacy Box позволяет это сделать (рис. 19): ещё на этапе формирования карточек можно выставить отметку о наличии трансграничной передачи данных.

 

Рисунок 19. Отметки о всех трансграничных передачах ПДн

Отметки о всех трансграничных передачах ПДн

 

Формирование политики конфиденциальности для сайта

Полезная возможность Privacy Box — формирование и выгрузка документов (рис. 20). При использовании офисного пакета сгенерировать свой документ на основе ряда таблиц возможно только в том случае, если написать свою собственную автоматизацию; специалист по защите данных вряд ли станет этим заниматься, а для внутренней разработки компании всегда найдётся более важное применение.

 

Рисунок 20. Типы документов, которые может сгенерировать Privacy Box

Типы документов, которые может сгенерировать Privacy Box

 

Один из полезных шаблонов — политика конфиденциальности для веб-сайта.

 

Рисунок 21. Выбор сайта из выпадающего списка

Выбор сайта из выпадающего списка

 

Рисунок 22. Выбор процессов, которые нужно опубликовать в политике конфиденциальности

Выбор процессов, которые нужно опубликовать в политике конфиденциальности

 

На выходе мы получим готовую для размещения на сайте политику конфиденциальности (рис. 23).

 

Рисунок 23. Пример сформированной политики конфиденциальности для сайта

Пример сформированной политики конфиденциальности для сайта

 

Выводы

Подведём итоги:

  • Система Privacy Box предназначена специально для работы с персональными данными, позволяет быстро и эффективно вносить изменения в реестр обработки ПДн. Автоматизация и пользовательский интерфейс оптимизированы для удовлетворения требований законодательства, что делает процесс внесения изменений менее трудоёмким. Microsoft Excel (или другой табличный редактор) позволяет быстро изменять данные, но он не создавался для работы с персональными данными. Любые изменения в структуре реестра или содержании данных требуют ручного вмешательства, что требует времени и часто приводит к ошибкам.
  • Privacy Box имеет встроенные механизмы аудита и логирования, которые автоматически фиксируют, кто, когда и какие изменения вносил в анкеты. Это обеспечивает прозрачность и отслеживаемость изменений. В Microsoft Excel есть функции для отслеживания изменений, но они не такие удобные и интуитивно понятные, как в Privacy Box. Для адекватного логирования потребуется дополнительная настройка или использование дополнительных инструментов.
  • Privacy Box предоставляет инструменты для быстрого формирования и экспорта пакетов документов, что является значительным преимуществом при управлении большим объёмом персональных данных. Microsoft Excel тоже может использоваться для сбора и хранения данных, но процесс формирования и экспорта пакетов документов менее автоматизирован и требует более активного участия пользователя.
  • По нашим оценкам, Privacy Box позволяет выполнять указанные задачи втрое быстрее, чем Microsoft Excel.

В контексте требований закона № 152-ФЗ и задач управления реестром персональных данных, использование Privacy Box — более удобный и эффективный метод, чем применение Microsoft Excel. Privacy Box предлагает автоматизированные решения для внесения изменений, логирования и формирования документов. Это повышает эффективность и снижает риски ошибок по сравнению с Excel, который хотя и гибок, но требует больше времени и усилий для соответствия тем же стандартам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru