ADG Оставить заявку
Блог Регуляторика 5 мин чтения

Аудит по 152-ФЗ у ритейлера: инвентаризация ИСПДн и пакет оргдокументов

Проводим внутренний аудит персональных данных у клиента-ритейлера: инвентаризируем системы, классифицируем по приказу №55/86/20, готовим организационную документацию.

Контекст момента

Роскомнадзор активизировал плановые проверки операторов персональных данных в 2011 году

Роскомнадзор в этом году явно решил не ограничиваться рассылкой писем. По нескольким каналам прилетают сигналы, что плановые проверки операторов ПДн стали чаще и конкретнее - запрашивают документы, смотрят на реальное состояние, а не на бумагу. Один из наших клиентов - федеральная розничная сеть - обратился с просьбой разобраться: что у них вообще есть с точки зрения 152-ФЗ и насколько это всё соответствует требованиям.

Спойлер: разобрались. Процесс занял несколько недель и оказался поучительным.

Шаг первый - инвентаризация ИСПДн

Первое, с чего начинается любой нормальный аудит - это понять, где вообще хранятся и обрабатываются персональные данные. Казалось бы, задача тривиальная: спроси у IT-директора, он скажет. Практика показывает другое.

У клиента нашлись:

  • 1C: Торговля и Склад - тут всё очевидно, данные покупателей и сотрудников.
  • CRM на базе самописного PHP-приложения - разработчик ушёл два года назад, документации нет, база MySQL с адресами, телефонами и историей покупок.
  • Система лояльности (внешний подрядчик) - данные карт и покупок уходят на сторону, договор с подрядчиком есть, но поручения на обработку ПДн в нём не было.
  • Кадровое ПО - стандартно, паспортные данные, СНИЛС, ИНН сотрудников.
  • Электронная почта - HR гоняет анкеты кандидатов через обычный корпоративный ящик без какой-либо защиты.
  • Разрозненные Excel-файлы - и вот это самое неприятное: несколько менеджеров держали локальные базы клиентов на ноутбуках, синхронизированные через сетевую папку без разграничения доступа.

На последнем пункте клиент немного завис. С их точки зрения это были «просто рабочие файлы», а не информационная система. Пришлось объяснить, что с точки зрения регулятора любая совокупность ПДн, обрабатываемая с помощью средств автоматизации - это ИСПДн, неважно, Excel это или промышленная СУБД.

Классификация по старому приказу

Требования к защите ИСПДн определяются по совместному приказу ФСТЭК, ФСБ и Мининформсвязи №55/86/20 от 2008 года. Методика не самая простая, но логика понятна: смотришь на категорию данных, объём субъектов, тип угроз - и получаешь класс от К4 (самый мягкий) до К1 (максимальные требования).

По результатам классификации картина у клиента вышла такая:

  • CRM и система лояльности - К3, данные о покупательском поведении без специальных категорий, объём от тысяч субъектов.
  • Кадровое ПО - К2, тут уже есть персональные данные сотрудников включая паспортные, плюс данные о состоянии здоровья попадают под специальные категории для части сотрудников с медкнижками.
  • Excel-файлы на ноутбуках - формально тоже К3, но с точки зрения фактической защиты - это дыра: шифрования нет, доступ не логируется, ноутбуки иногда уходят домой.
  • Почтовый сервер - не классифицировали как отдельную ИСПДн, но зафиксировали как канал передачи ПДн, требующий контроля.

Интересный момент с системой лояльности у подрядчика: поскольку данные уходят третьей стороне, технически там возникает ещё одна ИСПДн - уже на стороне подрядчика. Без поручения на обработку это юридически неоформленная передача ПДн, что само по себе нарушение.

Организационная документация

Параллельно с технической частью разбирались с документами. Их у клиента не было вообще - только уведомление в Роскомнадзоре, поданное когда-то давно и уже устаревшее.

Пакет, который надо было подготовить:

  • Политика обработки ПДн - публичный документ, описывает цели, категории субъектов, сроки хранения.
  • Приказ о назначении ответственного за организацию обработки ПДн - без него всё остальное висит в воздухе.
  • Перечень ИСПДн - то, что мы составили по итогам инвентаризации, теперь в официальном формате.
  • Частные модели угроз на каждую классифицированную систему - самая трудоёмкая часть, методика ФСТЭК 2008 года объёмная.
  • Инструкции для пользователей - отдельно для администраторов ИСПДн, отдельно для обычных сотрудников.
  • Форма согласия на обработку ПДн - клиент до сих пор брал согласие через условия программы лояльности на сайте, формулировки не соответствовали требованиям закона.
  • Договор-поручение с подрядчиком по системе лояльности - без этого передача данных незаконна.

На момент написания этого поста работа не завершена: модели угроз в процессе согласования с клиентом, часть организационных мер ещё не внедрена. Техническая защита для систем К2 и К3 - следующий этап, там будет отдельный разговор про сертифицированные СЗИ.

Что оказалось самым неожиданным

Не Excel-файлы и не самописная CRM. Самым неожиданным оказалось, что у клиента де-факто не было человека, который понимал бы, что такое «оператор ПДн» и какие это несёт обязанности. IT-директор знал про уведомление в РКН - и считал, что этого достаточно. Юрист знал про закон - но не знал про технические требования. В итоге никто не держал картину целиком.

Это, пожалуй, главное наблюдение: аудит информационной безопасности в части ПДн - это не просто технический осмотр. Половина работы - это организационный слой, который обычно не находится в зоне ответственности ни IT, ни юристов по отдельности.

Про технические меры защиты для К2/К3 - в следующий раз, когда будет что показать.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.