Автоматизация и контроль: IT‑решения для работы с персональными данными
По данным Роскомнадзора, в 2023 году в публичный доступ попали более 165 млн записей с данными россиян
Эти специалисты помогают компании выстроить комплаенс в области работы с ПДн и поддерживать его в актуальном состоянии. В зону их ответственности попадает множество направлений: от определения процессов обработки ПДн до обучения персонала. DPO приходится балансировать между стратегическими задачами (например, внедрение новых процессов) и рутинными, которые зачастую оказываются даже более трудоемкими.
Основные задачи DPO:
- Анализ применимого законодательства и подготовка к его соблюдению. DPO обязан регулярно анализировать применимые к организации нормы, отслеживать все изменения и планировать шаги по приведению организации в соответствие новым требованиям.
- Разработка и внедрение внутренней нормативной документации (ВНД). DPO полностью отвечает за политики и процедуры по обработке и защите ПДн — от создания базовых документов и далее к их развитию и постоянной актуализации.
- Аудит текущих процессов обработки. DPO регулярно анализирует существующие процедуры и планирует мероприятия по приведению процессов в соответствие законодательству.
- Контроль соблюдения внутренних стандартов. DPO отслеживает выполнение правил безопасности данных в организации, внедряет лучшие практики в этой области, взаимодействует с разными подразделениями компании по вопросам обработки и защиты ПДн.
- Обучение персонала. DPO следит, чтобы сотрудники знали правила обработки и защиты ПДн, работает над повышением осведомленности, чтобы снизить риски непреднамеренных нарушений, которые грозят компании штрафами.
- Реагирование на инциденты безопасности. При возникновении угрозы персональным данным из‑за действий злоумышленников или случайных ошибок DPO помогает снизить ущерб: проводит оценку серьезности инцидентов, определяет причины, разрабатывает меры по предотвращению подобных ситуаций в будущем.
- Взаимодействие с регуляторами. DPO берет на себя контакт с представителями Роскомнадзора и других контролирующих органов при запросах и проверках, связанных с обработкой ПДн.
- Взаимодействие с субъектами ПДн. DPO реагирует на входящие запросы и подключает другие подразделения организации для их обработки.
Из этого обширного списка видно, что рутинная работа отнимает у специалистов по ПДн значительное время, из‑за чего на стратегические активности ресурсов может уже не хватить. Это подтверждают результаты опроса BI.ZONE, проведенного среди 32 компаний. Вот какие задачи DPO респонденты назвали наиболее трудоемкими:
- Ведение реестра процессов обработки ПДн и поддержание его актуальности. Это самая крупная задача по мнению 80% респондентов. Реестр составляет основу всего процесса комплаенса, при формировании этого документа необходимо опросить все подразделения компании, изучить информационные системы и действующие документы, проанализировать все данные и привести их к понятному, редактируемому виду. В среднем DPO тратит на это от 2 до 4 месяцев. Если в компании меняется организационная структура или архитектура процессов, появляются новые офисы или отделы, запускаются новые продукты, реестр приходится актуализировать. Как показывает практика, такие задачи возникают постоянно.
- Процесс управления запросами субъектов ПДн и регуляторов. О сложностях в этом вопросе заявили 60% респондентов. Компания должна не только оперативно реагировать на запросы субъектов ПДн, но и активно взаимодействовать с регулятором. С 2022 года Роскомнадзор нужно своевременно уведомлять о трансграничной передаче и утечках ПДн, оперативно предоставлять пояснительную информацию по запросам и т. д. Проблемы во взаимодействии с регулятором могут иметь далекоидущие последствия для бизнеса: от штрафов до приостановки деятельности.
- Задачи по оценке угроз безопасности ПДн. Этот пункт отметили 56% респондентов. В данном случае главные трудности связаны не с временными затратами, а с наличием ресурсов. Чтобы разработать модели угроз, требуются глубокие технические компетенции. Зачастую компаниям приходится привлекать сторонних специалистов по кибербезопасности, а DPO должен координировать их работу. В 2021 году ФСТЭК изменил методику моделирования угроз, и теперь самостоятельная разработка модели для одной информационной системы ПДн занимает у компании в среднем 2–4 недели.
Помимо этого, 38% респондентов сталкиваются со сложностями при разработке и актуализации ВНД. Еще 15% DPO заявили, что испытывают трудности с управлением согласиями и поручениями на обработку ПДн.
Зачастую сложности вызваны недостатком времени и ресурсов, ведь объем задач постоянно растет, а количество сотрудников — не всегда. Именно здесь на помощь приходят решения по автоматизации: они позволяют избавить DPO от большинства рутинных задач, позволяя сосредоточиться на управлении процессами и стратегическом планировании.
Функционально решения для автоматизации работы с ПДн можно разделить на несколько классов.
1. Учет ПДн и процессов их обработки.
Эти инструменты позволяют структурировать инвентаризацию процессов обработки ПДн, задействованных информационных систем, подразделений, третьих лиц и др. Такие решения позволяют сделать реестр процессов обработки ПДн удобным для работы и регулярно обновляемым — его можно быстро наполнить, например, с помощью автоматизированных опросных форм или объединения ресурсов всех подразделений компании.
Реестр процессов в интерфейсе BI.ZONE Compliance Platform
Централизованный сбор данных
2. Управление документацией.
Системы этого класса позволяют автоматизировать разработку ВНД в области обработки и защиты ПДн в соответствии с законодательством. Самое главное, при изменении стандартов или внутрикорпоративных процессов актуализация ВНД происходит также в полуавтоматическом режиме.
Отметим, что речь идет не о конструкторах для разработки шаблонных документов. Системы для управления документацией связывают ВНД с процессами компании. Например, при добавлении новых процессов в реестр или при появлении дополнительных требований законодательства, они уведомляют пользователей о необходимости корректировок и позволяют оптимизировать процедуры.
Управление документацией
3. Моделирование угроз и проектирование системы защиты.
В этот класс попадают решения, позволяющие автоматизировать оценку актуальных угроз, разработать модели угроз и нарушителя безопасности ПДн. Компания может определить эффективные меры безопасности, чтобы снизить вероятность реализации рисков и спроектировать средства защиты ПДн. Системы такого класса автоматически готовят варианты технического проекта, в основе которого — результаты оценки соответствия и моделирования угроз, данные об особенностях IT‑инфраструктуры и информационных систем.
Пример моделирования угроз в интерфейсе BI.ZONE Compliance Platform
Техническое проектирование системы защиты
4. Управление согласиями на обработку ПДн.
Инструменты этого класса позволяют создавать шаблоны согласий и вести единый реестр для их хранения. Системы автоматизируют сбор и отзыв согласий, а также контроль сроков их действия.
5. Оценка эффективности принятых мер и выполненных задач.
Такие решения позволяют автоматизировать проведение аудитов и оценок соответствия требованиям законодательства, включая разработку итогового отчета.
6. Автоматический поиск персональных данных (data discovery).
В этот класс входят системы, которые собирают ПДн из различных источников и объединяют их в пул. DPO не приходится тратить время и силы, чтобы исследовать, оценить и проанализировать весь объем информации, а бизнес может не беспокоиться о том, что какая‑то часть ПДн остается вне зоны внимания.
7. Управление запросами и взаимодействие с регуляторами.
Такие решения отвечают за отправку регуляторам уведомлений об утечках, трансграничной передаче данных и др. Кроме того, они обеспечивают учет и сопровождение запросов от субъектов ПДн.
На рынке есть немало инструментов автоматизации работы с ПДн, из которых большинство есть в реестре отечественного ПО. Как правило, решения тарифицируются по подписной модели: компания может приобрести их на срок от нескольких месяцев до нескольких лет, а стоимость меняется в зависимости от размера организации, количества офисов и подразделений, объема обрабатываемых данных.
Средство автоматизации ни в коем случае не заменяет DPO. Это лишь помощник, который делает работу сотрудника проще и эффективнее.
Кроме того, важно понимать, что хотя многие решения позволяют автоматизировать сразу несколько процессов, на данный момент нет программного продукта, который полностью закрывает все задачи DPO. Поэтому при выборе решений нужно оценить, что представляет для компании первостепенную цель и где критически не хватает ресурсов.
Оценить возможности автоматизированных систем вы можете с BI.ZONE Compliance Platform. Оставьте заявку, и мы предоставим бесплатный демодоступ на 14 дней.