Персональные данные по-взрослому: защита начинается с модели обработки
Без карты потоков данных невозможно честно построить ни информационную безопасность, ни соответствие требованиям.
Когда компания начинает думать о защите персональных данных, первый инстинкт обычно - купить что-нибудь. DLP-систему, шифрование, антивирус с модулем контроля. Или нанять консультанта, который напишет политику конфиденциальности. Результат этого подхода я видел много раз: набор технических мер, которые защищают то, что видно, и совсем не касаются того, что является настоящим риском.
Проблема почти никогда не в отсутствии средств защиты. Проблема в том, что компания не знает, что именно защищает.
Что такое модель обработки и зачем она нужна
Модель обработки - это описание того, где в компании живут персональные данные, откуда они поступают, куда передаются, кто с ними работает и как долго они хранятся. Это не документ для регулятора - это инструмент понимания.
Без такой модели вопрос "насколько мы защищены" не имеет смысла. Защищены от чего? Где? Какие данные мы вообще обрабатываем?
Типичная картина: CRM хранит контакты клиентов, почтовый сервер - переписку с ними, 1С - финансовые данные физических лиц, служба поддержки - историю обращений. Отдел маркетинга экспортирует базу в Excel для рассылки. Excel потом оказывается на ноутбуке, который сотрудник берёт домой. Между этими точками есть ещё несколько промежуточных: интеграции, API сторонних сервисов, бэкапы.
Это не паранойя - это обычная картина среднего бизнеса. Пока она не нарисована явно, любые меры защиты будут закрывать случайные дыры, а не системные.
Как строить модель
Начинать надо не с технических систем, а с бизнес-процессов. Какие процессы в компании предполагают сбор данных о людях? Продажи, HR, поддержка, маркетинг, доставка. Для каждого процесса - откуда данные приходят, где хранятся, кто имеет доступ, куда могут уйти.
На выходе должна получиться карта. Не обязательно красивая - главное, полная. Каждая точка, где есть персональные данные, должна быть видна.
После этого становится возможным задать правильные вопросы: какие точки наиболее уязвимы? где концентрируется самый чувствительный массив? где есть передача данным третьим сторонам без явного основания?
Что это меняет в подходе к ИБ
Когда модель есть, меры защиты перестают быть случайными. Шифрование нужно не везде - только там, где данные хранятся или передаются с высоким риском. Контроль доступа настраивается по реальным ролям, а не по тому, кто громче попросил права. Аудит логов имеет смысл делать там, где есть реальный доступ к чувствительным данным.
Такой же подход работает для соответствия требованиям. Закон о персональных данных требует ряда организационных и технических мер - но их исполнение без понимания, что именно обрабатывается, превращается в бумажную работу, которая не снижает реальный риск.
Регулятор при проверке смотрит не только на наличие политики, но и на то, соответствует ли реальная практика тому, что в ней написано. Это можно проверить только если есть модель.
С чего начать
Несколько практических вопросов для первичной оценки:
- Можете ли вы прямо сейчас назвать все системы, в которых хранятся персональные данные ваших клиентов?
- Есть ли у вас список третьих сторон, которым передаются или могут передаваться эти данные?
- Знаете ли вы, что происходит с данными, когда сотрудник увольняется - доступы, копии, устройства?
- Есть ли процесс, по которому клиент может запросить удаление своих данных и вы реально можете его исполнить?
- Когда в последний раз кто-то смотрел на права доступа к базам с персональными данными?
Если на большинство вопросов нет чёткого ответа - проблема не в отсутствии средств защиты. Проблема в отсутствии модели. Именно с неё стоит начинать.