|
Окт
06
|
Логичным продолжением 1-го дня будет следующий день марафона, который называется – Создание карты персональных данных.
Этот документ, или вернее, пакет документов, должен стать основой для всей последующей работы.
Такой термин, как карта персональных данных вы не найдете в законе или в документах регуляторов. Дело в том, что в нескольких дискуссиях, в том числе и с представителями Роскомнадзра, я говорил о необходимости составления «карты» персональных данных, и всегда встречал 100%-е понимание этого термина собеседником. Поэтому считаю возможным использовать этот термин и в 7-девном марафоне.
Задача данного этапа – получить полное понимание того, Где? Как? и Какие? персональные данные обрабатываются, Откуда оператор получает персональные данные? и Куда передает? Очевидно, что наиболее действенный способ получить такого рода сведения – это интервьюирование представителей структурных подразделений. Во многом, именно для написания карты необходимо привлечение сотрудников подразделений, в дальнейших работах их участие будет минимальным.
Не лишним будет напомнить, что обработка персональных данных включает в себя:
• сбор,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• использование,
• распространение (в том числе передачу),
• обезличивание,
• блокирование,
• уничтожение.
По большому счету любое действие с персональными данными будет считаться обработкой. Потому даже если кто-то видит персональные данные на экране монитора, или использует их для ведения служебных переговоров – все это обработка.
Описывайте в карте обработку максимально подробно. На основе полученных данных вы будете проводить все последующие работы и, естественно, параллельно вносить изменения в карту.
Карта персональных данных – это ваш внутренний пакет документов и в первую очередь он должен быть понятным, поэтому подобную карту можно составлять в виде перечней, таблиц, а для наглядности можно использовать схемы, графики и т.д.
Работа по написанию карты может занять несколько месяцев, но по факту ее составления вы можете открыть бутылку шампанского и отпраздновать завершение, по меньшей мере, трети всего дела.
10037 . 3504
октября 6, 2009 at 1:31
«Работа по написанию карты может занять несколько месяцев, но по факту ее составления вы можете открыть бутылку шампанского и отпраздновать завершение, по меньшей мере, трети всего дела»
Если пакет документов, входящих в карту, включает и документы, в которых описываются все процессы, в которых участвуют ПДн, то я соглашусь с данным утверждением.
[Ответить]
октября 6, 2009 at 9:20
Тут, вообще говоря, очень смешная вилка:
- операторы того уровня, для которых схема информационных потоков несколько месяцев рисуется, в подобных советах не нуждаются примерно с 29 января 2007 года (забавно, кстати, было посетить тут пару тематических конференций по ПДн и еще раз посмотреть как они ухахатываются над “квалификацией” вендоров в вопросах, отличных от настройки цисок и установки аккордов);
- операторы, которым еще на пользу такие хинты, не нуждаются в отрисовке схемы информационных потоков, ибо она из двух-трех стрелочек.
Но есть, наверно, маленькая прослойка между.
[Ответить]
октября 6, 2009 at 9:57
Женя, надо было поставить пива правильным пацанам и они (мы
) за душевной беседой бы тебе объяснили как на практике делается то, что ты называешь “карта персональных данных”. Уже давно есть проработанные практикой подходы, а ты все о теории, да о теории…
[Ответить]
октября 6, 2009 at 10:14
Nuke: Да ну! Что-то мне подсказывает, что ваши Перечни ПДн, перечни ИСПДн и т.п. я уже видел.
Хотя могу ошибаться, пиши в почту.
[Ответить]
октября 6, 2009 at 11:56
Женя, есть такая штука, как описание технологических процессов обработки ПДн, вот как раз из которого формируется все, что ты перечислил.
[Ответить]
октября 6, 2009 at 13:16
Nuke:
Если мне “скрелоз не изменяет”, такой документ появляется в ГОСТ 34.201. А название марафона “Система защиты персональных данных не по ГОСТу”, так что ты эти страшные слова брось 
[Ответить]
октября 6, 2009 at 13:35
Описание технологических процессов обработки ПДн не коррелирует с описанием технологических процессов работы АСУ точно так же, как, например, не коррелируют рецепты вареной курицы и утки “по-пекински”.
В нашем подходе описание технологических процессов обработки ПДн является базовой составляющий, агрегирующее все составляющие твоей “карты персональных данных” и многое другое, необходимое для дальнейшего составления комплексного описания ИСПДн и всего того, что в ИСПДн не вошло каким-либо причинам.
[Ответить]
октября 6, 2009 at 16:34
“Я рисую на асфальте синим мелом карту мира…”
[Ответить]
октября 6, 2009 at 17:06
Nuke: Не могу согласиться, что “Описание технологических процессов обработки ПДн не коррелирует с описанием технологических процессов работы АСУ”. Хотя сравнение с дичью мне очень понравилось
[Ответить]
октября 6, 2009 at 17:59
Аспектом описания технологических процессов ПДн являются сами ПДн и все действия, исполнители, места действий, способы действий, регламентирующие документы действий и т.д.. В свою очередь, аспектом описания технологических процессов АСУ являются данные, как цельное ядро, с которым можно осуществлять разные действия, описанные в процессе. То есть, другими словами: при разговоре о ПДн, мы смотрим на данные в ПДн и их перемещения и трансформации; при разговоре об АСУ – на способы работы с данными.
Назначение описаний разное, соответственно, аналитик, при сборе сведений смотрит “под другим углом”.
А вообще, почему мы все про АСУ, да про АСУ? Можно тогда уже и СМК и бизнес-анализ в разговор внести
Кстати, Жень, просто интересно, а у тебя есть карта персональных данных созданная, ну хотя бы, для некоего абстрактного предприятия?
[Ответить]
октября 6, 2009 at 20:00
Nuke: Правильно ты сказал в самом начале: Карта персональных данных – это выделение процессов обработки с последующим созданием всех необходимых документов в рамках обследования, поэтому ответ очевиден.
И еще, суть марафона, заключается в упрощении не самых простых (и к слову сказать, открытых) вещей.
[Ответить]
октября 7, 2009 at 12:05
@Царев Евгений:
ню-ню
[Ответить]
октября 7, 2009 at 23:25
Евгений, я Вам на почту послал файлик с mpp-файликом. Оцените, плиз. Не послал бы, если бы не встретил знакомого мне слова “карта”. Я в своих разработках этот объект так же называю.
Тема как раз пошаговое строительство СЗПДн своими силами.
[Ответить]
октября 8, 2009 at 14:50
@Ivan Klimenko:
Интерсное решение использовать для описания потоков данных – MS Project…o_O
[Ответить]
октября 8, 2009 at 18:34
@Nuke:
Ничего странного. Для описания процесса, которым является любой поток данных, MS Project отлично подходит.
Просто и наглядно, + можно создавать любую аналитику.
Лично знаю очень серьезных консультантов, которые используют MS Pr в таком качестве.
Иван, если не сложно, вышлите плз и мне файлик aka_shaman(at)mail(dot)ru
Заранее спасибо!
[Ответить]
feel Reply:
апреля 28, 2010 at 22:17
и мне файлик, если можно… как раз нахожусь в разгаре 2 дня….
[Ответить]
октября 11, 2009 at 22:53
@Nuke:
Иван, присоединяюсь к просьбе, вышлите мне сей дивный файл на super_tm(at)mail(dot)ru
Целью моей стоит защита дипломного проекта по одному из предприятий города Омска, поэтому начинаю внимательно почитывать блоги и форумы, пока в качестве наблюдателя …
[Ответить]
октября 12, 2009 at 10:45
@Shaman:
Как бизнес аналитик с серьезным стажем немаленьких проектов могу Вас заверить, что это крайне неудобно. Это все равно, что сливать пельмени через соковыжималку…. Вы когда-нибудь Aris, Rational Rose или, на худой конец, Business Studio юзали? Похоже, что нет…
[Ответить]
октября 12, 2009 at 12:14
@Nuke:
Если мы говорим об описании всех бизнес процессов компании – то тут с Вами согласен. В этом случае нам будет нужна мощь приведенных Вами систем.
Однако ответьте, пожалуйста, на вопрос – как много Вы встречали первых лиц, которые действительно понимали схемы в Aris, которые Вы им предлагали?
Системы Aris и т.п. нужны аналитикам и для аналитиков, чтобы представлять себе все картину бизнеса. Лица, принимающие решения, в 95% случаев не только не будут вникать в Ваши вложенные схемы, но и могут повести себя не совсем адекватно. С этим утверждением можете не спорить, это голая наука – психология управления.
Результируя: не умаляя достоинств приведенных Вами программных продуктов, хочу подчеркнуть, что в части проектирования одного или нескольких локальных процессов (наш случай), а также в части представления данных руководству, MS P отлично подходит.
[Ответить]
октября 12, 2009 at 14:17
@Shaman:
EPC диаграммы, используемые в системах ARIS являются общепризнанным стандартом описания любых процессов и связанных с ними потоков данных.
По поводу вникания первыми лицами – как раз Project’овские выкладки им неинтересны. А EPC – все очень наглядно показывает и, даже человек, не получивший образование в этой сфере сможет сразу и без особых усилий разобраться что к чему, не вникая в таблички и полоски.
Например, Вы, собирая только что купленный кухонный гарнитур и читая 40 страничную инструкцию с табличками и ссылками на куски текста как собрать квадрант 4Г, в 3 часа ночи, матерясь и чертыхаясь, извлекаете из приложенного пакета картинку с моделью сборки вида “деталь1-стрелка-винт-стрелка-деталь2″ собираете все за 15 минут…..Ситуация понятна? Именно так же размышляет топ, т.к. у них нет времени вникать в сотни букАФ. Им проще глянуть на грамотно продуманную схему и сказать заветное “Да!”.
[Ответить]
октября 14, 2009 at 11:49
to Царёв Евгений
Спасибо за полезный совет.
to Shaman, Gugenot.
Выслал. Жду замечаний/исправлений/предложений.
to Nuke
Моделирование потоков является подзадачей и ессно не может быть выполнено при помощи указанного софта в необходимом объёме, хотя возможно выполнить через описание процесса последовательными этапами с затрачиваемыми ресурсами, а заодно провести оптимизацию и блаблабла, но всё равно как то коряво выйдет. Для этой цели например уместо использовать софт от DigitalSecurity или подобный. Я такой цели не ставил. Я указал на то что сам термин “карта” используется мной при разработке данной тематики независимо от прочитанного в этом блоге.
В файле речь не об этом. Файлик представляет собой некий типовой набор последовательных действий, описывающий весь комплекс мероприятий, включая генерацию т.н. “карты”. На мой взгляд, будет полезно посмотреть любой организации и взяв его за основу для доработки под свою ситуацию.
[Ответить]
октября 14, 2009 at 13:33
Иван, присоединяюсь к просьбе, вышлите мне ваш файл на fc2010(at)inbox(dot)ru
Очень интересно посмотреть! Спасибо
[Ответить]
октября 14, 2009 at 15:27
to Dan
Отправил. Аналогичная просьба по поводу замечаний/исправлений/предложений.
Интересно, а Евгений не против такого использования его площадки?) Если против, то отпишитесь)
[Ответить]
октября 14, 2009 at 19:59
Ivan Klimenko: Для того она и создавалась. Пользуйтесь.
[Ответить]
октября 15, 2009 at 6:01
@Ivan Klimenko:
Уважаемый Иван, вышлите пожалуйста и мне ваш файл, буду признателен.
Vldmr(at)inbox(dot)ru.
PS может стоит выложить его в свободный доступ?
Думаю сразу появятся конструктивные комментарии.
[Ответить]
октября 15, 2009 at 10:37
Очень актуальный блог.
Иван, вышлите мне ваш файл на ramzzaj(at)gmail(dot)com
Спасибо.
[Ответить]
октября 15, 2009 at 11:58
to Владимир Шевырёв, Ramzaj
Выслал
to Владимир Шевырёв
ну я этот документ “ДСП”шным в стиле ФСТЭКа сделал по сути случайно. Заводить свою площадку руки не доходили, а для подобного свободного обсуждения необходимо помимо того, чтобы выложить, ещё и форум поиметь. Вот и приходиться авторизовано)) рассылать. Можно, конечно с Евгением договорится о “выкладывании”, но мне кажется текущий формат блога не очень удобен в связи с наличием у записей ранжирования актуальности по дате внесения, что может привести достаточно не продолжительной дискуссии достаточно ограниченного количества людей. Что по сути мало чем отличается от того что есть сейчас.
А ведь помимо этого файлика у меня есть другие учебные материалы, их тоже надо обсуждать для повышения качества, в частности, методика построения “карты”, моделирования угроз и тп.
Я к тому, что проблема поширше будет, чем просто выложить где-то, нужна обратная связь. Возможно, в движке этого блога есть возможность вывести скажем некий раздел “несдвигаемых по времени” тем, тогда проблема решается сама собой.
Или, идимо, пора озаботься своим блогом, если нет других предложений))
[Ответить]
октября 19, 2009 at 20:35
@Ivan Klimenko: Иван, могли бы Вы со мной связаться? Адрес эл. почты можно найти на моем сайте.
Очень хотелось бы обсудить Ваши другие учебные материалы.
[Ответить]
мая 28, 2010 at 11:54
@Ivan Klimenko:
Можно мне тоже ваш файл,заранее благодарна.
svesdochka(at)list(dot)ru.
[Ответить]
мая 29, 2010 at 11:28
@Ivan Klimenko:
Можно напроситься на рассылку карты? адрес: deznata@mail.ru
[Ответить]