Еще одно применение системы R-Vision

Год назад в нашей стране вышел Закон Республики Беларусь «О защите персональных данных».

Одним из ключевых аспектов Закона является процесс обработки согласий субъектов персональных данных (ПДн) на обработку их ПДн.

При общении с заказчиками выяснилось, что обработка согласий – это стандартная и используемая во многих сервисах процедура. Таким образом, автоматизация этой процедуры существенно упростит жизнь многим заказчикам.

Мы давно и плодотворно используем систему R-Vision для автоматизации ключевых процессов управления информационной безопасностью (ИБ). Проанализировав возможности R-Vision применительно к задаче обработки согласий, мы еще раз убедились в том, насколько гибки и удобны механизмы, заложенные в архитектуру и функциональность этой системы.

R-Vision позволяет автоматизировать процесс управления согласиями на обработку ПДн следующими двумя способами.

Способ 1

Используем функционал R-Vision по управлению активами и задачами, а также ролевой модели доступа.

Предполагается, что в R-Vision создан пользовательский тип актива, в котором хранятся сведения о согласиях субъектов ПДн на обработку их ПДн. Эти сведения представлены в виде реестра (пример см. на рис.1) с необходимым и достаточным набором полей для эффективной работы сотрудников, в чьи функциональные обязанности входит:

• контроль и учет согласий на обработку ПДн субъектов ПДн (функциональные обязанности оператора ПДн);
• проверка наличия (активно/отозвано/отсутствует) согласий субъектов ПДн на обработку их ПДн (функциональные обязанности менеджера, работающего с прикладными сервисами, для которых важна информация о наличии согласия).

Рисунок 1 – пример реестра

Предполагается, что в R-Vision созданы роли для оператора(ов) ПДн (с правами на изменение реестра) и менеджера(ов) (с правами на чтение реестра).

Когда менеджеру требуется проверить наличие согласий субъектов ПДн на обработку их ПДн, он подключается через свой личный кабинет (далее – ЛК) к системе R-Vision, открывает реестр и находит субъекта ПДн по его Ф.И.О. либо иному идентификатору. В карточке субъекта ПДн отображается информация о наличии согласия субъекта ПДн на обработку его ПДн, статусе согласия, дате, когда согласие было получено и др.

В случае, если согласие субъекта ПДн отсутствует либо находится в статусе «отозвано», менеджер должен получить согласие субъекта ПДн и с помощью функционала задач поставить задачу оператору ПДн по актуализации реестра (создать либо обновить запись о субъекте ПДн).

Оператор ПДн получит задачу и актуализирует реестр.

В случае, когда субъект ПДн отозвал своё согласие на обработку ПДн, менеджер посредством постановки задачи должен уведомить об этом оператора ПДн. После получения задачи оператор ПДн меняет статус согласия субъекта ПДн на «отозвано».

Этот способ удобен и хорошо зарекомендовал себя на практике. Однако в ходе выполнения ряда проектов мы поняли, что некоторым организациям (как правило, территориально-распределенным) нужен более широкий функционал в части интеграции R-Vision с действующими программными сервисами заказчика, в которых уже обрабатываются согласия субъектов ПДн.

Эту задачу мы решили путем использования хорошо описанного API системы R-Vision. Данный способ сейчас находится в стадии тестирования.

Способ 2

Предполагается, что сервисы, в которых выполняется процедура получения/проверки наличия согласий субъектов ПДн на обработку их ПДн, интегрированы с R-Vision посредством API. Таким образом, все согласия из сервисов передаются в R-Vision, где ведется единый реестр о согласиях субъектов ПДн на обработку их ПДн.

Во всем остальном реализация практически полностью совпадает с первым способом – также используется ролевая модель доступа.

Когда менеджеру требуется проверить наличие согласий субъектов ПДн на обработку их ПДн, он заходит в сервис, интегрированный с R-Vision посредством API, и отправляет запрос в R-Vision. В ответ на этот запрос менеджеру будут автоматически представлены сведения о наличии согласия субъекта ПДн, статусе согласия, дате, когда согласие было получено и др.

В случае, если согласие субъекта ПДн отсутствует либо находится в статусе «отозвано», менеджер должен получить согласие субъекта ПДн в бумажном виде и посредством сервиса через API-запрос добавить сведения в реестр системы R-Vision.

В случае, когда субъект ПДн отозвал своё согласие на обработку ПДн, менеджер уведомляет об этом оператора ПДн, который должен сменить статус согласия субъекта ПДн на «отозвано».

Вот так с помощью системы R-Vision мы автоматизировали еще один процесс ИБ – обработку согласий субъектов ПДн на обработку их ПДн.

 

Для получения более подробной информации обращайтесь по эл. почте info@mte-cyber.by.