Сертификат AM Test Lab
Номер сертификата: 434
Дата выдачи: 31.10.2023
Срок действия: 31.10.2028
- Введение
- Функциональные возможности Privacy Box
- Архитектура Privacy Box
- Системные требования Privacy Box
- Сценарии использования Privacy Box
- Выводы
Введение
В условиях распространения цифровых технологий обработка и контроль персональных данных приобретают первостепенное значение. Управление такой информацией требует чёткого подхода.
В этой статье мы расскажем, как организовать и оптимизировать подобные процессы с помощью решения Privacy Box от компании «Б-152». В последующих разделах будут рассмотрены технические детали, архитектура и другие аспекты.
Рисунок 1. Основное окно интерфейса Privacy Box
Функциональные возможности Privacy Box
Основной акцент стоит сделать на том, что продукт предлагает удобный способ агрегировать в одном месте всю информацию о процессах обработки ПДн и базовые сведения о компании с возможностью автоматизировать рутинные действия.
Дадим обзор функциональности Privacy Box на примере личного кабинета в облачной версии.
Создание анкет
Анкета — одна из основных сущностей в Privacy Box, удобный способ собрать и структурировать данные о компании, её веб-ресурсах, а также сотрудниках и отделах, ответственных за обработку персональных данных. К примеру, можно создать анкеты на темы «Информация о компании» или «Ответственные за обработку и защиту персональных данных». Чем лучше пользователь проведёт подготовительную работу по заполнению анкеты, тем проще будет в дальнейшем на остальных этапах.
Рисунок 2. Анкетирование процессов обработки ПДн в Privacy Box
Автоматизация процессов обработки ПДн
Система позволяет автоматизировать ведение и обновление информации о процессах обработки персональных данных, например, при предоставлении медицинской информации или обучении сотрудников.
Рисунок 3. Заведённые процессы в Privacy Box
Инвентаризация ИСПДн
Важно отметить, что между процессами, информационными системами персональных данных (ИСПДн) и средствами защиты информации (СЗИ) существуют отношения связанности и вложенности. При заполнении анкеты по процессу предоставляется возможность указать, в какой конкретной ИСПДн размещается этот процесс, а также какими СЗИ обеспечивается её безопасность. Это позволяет создать целостную картину защиты данных, исключая фрагментированность и изолированность информации.
Рисунок 4. Перечень ИСПДн организации в Privacy Box
Учёт средств защиты информации
Privacy Box позволяет учитывать программные и аппаратные средства, которые применяются для обеспечения безопасности персональных данных: криптографические инструменты, антивирусы и т. п. (рис. 5).
Рисунок 5. Список используемых СЗИ / СКЗИ в Privacy Box
Обзор заведённых процессов
В разделе «Обзор» удобно просматривать все данные (рис. 6), разбивая их по различным спискам и категориям, что обеспечивает быстрый доступ к нужной информации.
Рисунок 6. Раздел «Обзор» в Privacy Box
Генерирование документации и управление ею
Система умеет автоматически формировать документы (планы, приказы, инструкции) на основе введённой информации, а также их наборы для предоставления в регулирующие органы. Документацию можно просматривать, дополнять, выгружать при необходимости.
Рисунок 7. Раздел управления документами в Privacy Box
В целом, система предоставляет гибкий и комплексный инструментарий для организации процессов обработки персональных данных, реализации требований по безопасности и выполнения предписаний регуляторов.
Архитектура Privacy Box
Архитектуру продукта мы опишем на примере локальной инсталляции.
Privacy Box использует систему из нескольких контейнеров Docker, что обеспечивает модульность и удобство развёртывания / обновления сервисов.
- Фронтенд (порт 80): содержит файлы клиентской части и HTTP-сервер. Для создания фронтенда используется фреймворк Vue.
- Бэкенд (порт 8000): серверная часть, написанная на языке Python с использованием фреймворка Django. Все скрипты и модули собраны в этом контейнере.
- Сканер (порт 8001): принимает запросы с фронтенда по прикладному интерфейсу (API) и может использоваться для сканирования сайтов.
- PostgreSQL: основное хранилище данных.
- Redis: применяется для кеширования и других операций с быстрым доступом.
- RabbitMQ (опционально): брокер сообщений, который может быть использован в системе сканирования сайтов.
Для обеспечения безопасности рекомендуется установить файрвол и разрешить доступ только к названным выше портам.
Системные требования Privacy Box
Если в приоритете простота и быстрый старт работ, то базовым вариантом будет облачный. Но если требования безопасности в компании более строги, можно развернуть систему локально.
Таблица 1 содержит минимальные системные требования для корректной работы программы. Следуйте этим параметрам, если вы планируете использовать продукт для тестовых или небольших проектов.
Таблица 1. Минимальные системные требования для локальной версии
Компонент | Требования |
Оперативная память | 1 ГБ |
Жёсткий диск | 15 ГБ |
Процессор | Более 2 ГГц |
Для оптимальной производительности и стабильности на больших проектах рекомендуется использовать конфигурацию в таблице 2. Это особенно актуально для тех компаний, которые предъявляют самые высокие требования к безопасности и отказоустойчивости используемых приложений.
Таблица 2. Рекомендуемые системные требования для локальной версии
Компонент | Требования |
Оперативная память | 2 ГБ |
Жёсткий диск | 30 ГБ |
Процессор | Двухъядерный, более 2 ГГц |
В силу архитектуры продукта (см. выше) сервер должен соответствовать и системным требованиям Docker. Большинство современных серверов им удовлетворяют (табл. 3).
Таблица 3. Требования Docker
Компонент | Требования |
Версия ядра Linux | 3.10 и более новые |
Версия Iptables | 1.4 и выше |
Далее рассмотрим возможные практические сценарии и рабочие кейсы для Privacy Box.
Сценарии использования Privacy Box
Privacy Box ориентирован на широкий круг профессионалов и предлагает разнообразные сценарии использования. Юристы и специалисты по обеспечению конфиденциальности найдут удобную функциональность для быстрого формирования реестра ПДн, оценки рисков в отношении новых процессов и информационных систем, а также учёта третьих лиц и контроля трансграничных потоков данных. Специалисты по информационной безопасности могут вести актуальный перечень ИСПДн в одном месте и обеспечивать контроль за дочерними организациями. Для ИТ-департамента продукт предоставляет возможности по учёту всех информационных систем и контролю потоков данных в них, а специалисты по маркетингу могут осуществлять эффективный контроль за сайтами компании. Таким образом, инструмент обеспечивает глубокую интеграцию различных аспектов управления персональными данными в разных сферах деятельности организации.
Весомым плюсом Privacy Box является возможность лёгкого и эффективного выполнения требований закона № 152-ФЗ в части п. 2 ст. 18.1. Продукт позволяет организациям автоматизированно сгенерировать и опубликовать документы по их политике обработки ПДн, а также сведения о реализуемых мерах защиты этих данных.
Организация единого хранилища документов
Этот сценарий подходит как для юридического отдела, так и для службы информационной безопасности, обеспечивая быстрый, удобный и безопасный доступ к сведениям о ПДн и ИСПДн в организации. Документы загружаются через одноимённый раздел в интерфейсе.
Рисунок 8. Раздел для загрузки своих документов в Privacy Box
Загруженные документы автоматически классифицируются на категории: физические лица, третьи лица, иные.
Для удобства и быстрого доступа все документы по ПДн собираются в Privacy Box, что исключает необходимость перехода между различными файлами или системами.
В разделе «Анкеты» предоставляется доступ к актуальной информации об ИСПДн. При выборе конкретной системы открывается соответствующая анкета с полной информацией.
Рисунок 9. Основные анкеты в Privacy Box
Возможность добавления нескольких компаний в аккаунт позволяет эксплуатантам Privacy Box отслеживать соответствие требованиям 152-ФЗ для каждой из дочерних структур.
Для обзора всех филиалов необходимо нажать на название организации, а затем выбрать пункт «Показать все компании» в выпадающем списке.
Рисунок 10. Просмотр всех компаний, включая дочерние, в Privacy Box
Для решения проблемы разбросанных файлов и версий документов Privacy Box предоставляет функциональность сортировки по логике и фильтрации по тегам, ИСПДн, названию и дате.
Оценка риска для новых процессов и информационных систем
При внедрении новой информационной системы или изменении существующей стоит провести оценку рисков с целью установить соответствие требованиям законодательства по персональным данным.
Внутри Privacy Box инициируется процесс создания анкеты, предназначенной для сбора информации о новой системе или изменениях в текущей. После этого система предоставит возможность сгенерировать уникальную ссылку на анкету.
Рисунок 11. Создаём и отправляем исполнителю уникальную ссылку в Privacy Box
Сгенерированная ссылка направляется ответственному лицу или группе лиц, которые осведомлены о деталях информационной системы и могут корректно заполнить анкету.
Ответственное лицо вводит всю необходимую информацию о системе. После этого нажимается кнопка «Подтвердить данные», чтобы зафиксировать сведения и отправить их на анализ.
Рисунок 12. Интерфейс на стороне исполнителя, проводящего оценку рисков
Privacy Box автоматически проверит предоставленную информацию на соответствие требованиям российского законодательства по персональным данным. При обнаружении несоответствий в разделе «Анкеты» появится значок с восклицательным знаком. Для получения детализированной информации о найденных несоответствиях следует перейти в анкету и рассмотреть каждый выявленный пункт отдельно.
Рисунок 13. Система, прошедшая оценку рисков с неудовлетворительным результатом
Таким образом, продукт позволяет систематизированно и детально провести оценку рисков для новой или изменённой информационной системы и гарантировать её соответствие законодательным требованиям.
Учёт сайтов и размещаемых на них форм ввода ПДн
Контроль за сайтами становится всё более актуальным, так как многие организации используют веб-ресурсы для взаимодействия с клиентами, партнёрами и иными заинтересованными сторонами. Основная цель такого контроля — удостовериться, что сайты соответствуют нормативам по обработке и защите персональных данных, предотвращая утечки и неправомерное использование последних.
Основные риски, связанные с сайтами, — эксплуатация уязвимостей, неправомерный сбор данных, отсутствие должного информирования пользователей и отсутствие согласия на обработку ПДн.
В разделе «Сайты и мобильные приложения» внутри Privacy Box указывается адрес ресурса, который подлежит анализу.
Рисунок 14. Ставим сайт на проверку соответствия требованиям (сканирование) в Privacy Box
Privacy Box начнёт автоматический процесс сканирования сайта для определения его соответствия требованиям законодательства по персональным данным.
Рисунок 15. Результаты проверки и найденные разделы с формами ввода ПДн в Privacy Box
После завершения сканирования, если обнаружено несоответствие требованиям, в разделе «Сайты и мобильные приложения» появляется значок с восклицательным знаком.
Рисунок 16. Результаты сканирования сайта, не соответствующего требованиям
В таком случае понадобится привести сайт в соответствие требованиям законодательства.
Выводы
Privacy Box представляет собой комплексное решение для обработки персональных данных, ориентированное на многогранные потребности различных рынков. Его функциональность, включая создание анкет, автоматизацию процессов, инвентаризацию ИСПДн и учёт средств защиты информации, делает его необходимым инструментом для компаний, которые сталкиваются с задачами обработки и хранения больших объёмов персональных данных.
Автоматизация процессов значительно упрощает работу всех специалистов, чьи трудовые функции имеют отношение к ПДн. Рутинные процедуры сокращаются, риск ошибок уменьшается. Таким образом, продукт может стать незаменимым инструментом для профессионалов, которые ответственны за соблюдение стандартов безопасности персональных данных в организации.
Широкий функциональный спектр и ориентация на разные рынки создают у этого продукта потенциал стать ключевым решением для всех компаний, которые ищут эффективные и надёжные методы управления персональными данными, соответствующие международным стандартам и требованиям.
Достоинства:
- Локальная и облачная версии.
- Возможность реализовать требования п. 2 ст. 18.1 закона 152-ФЗ, согласно которым оператор обязан вести реестр ПДн.
- Автоматическая генерация документов, централизация работы с ними.
- Большое количество видеоинструкций внутри сервиса.
Недостатки:
- Нет готового инструмента для импорта собственных анкет, каждый случай требует индивидуальной доработки.
