пятница, 18 апреля 2014 г.

ИСПДн "Система Предотвращения Утечек Информации"

В одном из своих прошлых постов я написал, что являюсь сторонником открытости систем DLP. Можно явно не указывать, что за система, однако рассказать о ней своим сотрудникам и сказать, для каких благих целей это делается, на мой взгляд, нужно. 
И на этом фоне возникает еще один интересный нюанс. Что мы расскажем сотрудникам?
  1. Что есть такая умная система.
  2. Что она  в автоматическом режиме собирает и хранит информацию.
  3. Что она на своем уровне ее анализирует.
  4. Что сотрудник может иметь к ней доступ.
Больше всего здесь интересен пункт 2, и вот почему:
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 
(ФЗ "О персональных данных")

Могут ли в системе DLP быть персональные данные? Могут! Ведь используем мы ее, в том числе, для защиты таких данных. Значит система DLP может являться ИСПДн. И тогда необходимо соблюсти все законодательные требования относительно такой ИСПДн, однако в силу специфики систем DLP необходимо учитывать некоторые нюансы:

1. В первую очередь необходимо понять, обрабатываются ли в системе DLP персональные данные. Скорее всего, да. 
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных 
(ФЗ "О персональных данных")

2. В DLP-системе могут находится как данные сотрудников, по которым мы их в последующем можем идентифицировать при расследовании инцидентов, так и прочие данные сотрудников и данные клиентов. Следовательно, нужно провести категоризацию информации, которую мы защищаем от утечек с помощью DLP. Я бы в этом случае не упирался рогом только в "ПДн клиентов" и "ПДн сотрудников", а взглянул на эти две категории шире и глубже.

3. В DLP-системе могут находиться все четыре категории ПДн (которые определены в ФЗ-152 и ПП 1119), так как в большинстве случаев DLP защищает всё и вся. Однако, если мы защищаем с помощью DLP базу СКУД и если в ней есть фотографии сотрудников - биометрические персональные данные -, то в DLP они уже не будут таковыми, так как они не будут использоваться для идентификации субъекта. Таким образом, при определении категорий персональных данных не нужно руководствоваться простым суммированием.

4. Если мы все-таки решаем обозначать такую ИСПДн, то в согласии на обработку персональных данных в целях обработки нужно указать что-то вроде "Предотвращение утечек информации". И это будет как у клиентов, так и у сотрудников.

Это только основные, на мой взгляд, и выделяющиеся моменты, которые дают повод задуматься, является ли ваша DLP-система ИСПДн и сделать первые выводы. Остальное может варьироваться от случая к случаю (от DLP к DLP ;) )

Также интересно: DLP. Спрятать или показать?

Комментариев нет:

Отправить комментарий