Функции

Система «Privacy-SPS» выполняет следующие основные функции:

1. Управление процессами обработки ПДн, включая:
1.1. учет технологических процессов обработки ПДн, включая процессы взаимодействия с контрагентами, а также иерархии процессов,
1.2. учет нормативных, договорных и других оснований для обработки ПДн, необходимости получения согласий субъектов ПДн по каждому основанию,
1.3. учет возможности трансграничной передачи ПДн по каждому процессу с указанием стран, в которые осуществляется такая передача,
1.4. учет по каждому процессу источников получения ПДн (от субъектов ПДн лично, от третьих лиц),
1.5. учет владельцев процессов – отдельных лиц и/или структурных подразделений,
1.6. учет объема, категорий (абоненты, посетители и т.п.) лиц, данные которых обрабатываются в каждом процессе, категорий ПДн (ФИО, номер телефона, адрес и т.п.) по каждой категории лиц обрабатываемых ПДн, способов обработки ПДн (использование, передача в третьи страны, поручение на обработку и т.п.) с привязкой к целям обработки ПДн,
1.7. учет по каждому процессу информационных потоков между различными видами участников информационного процесса (субъектами ПДн, структурными подразделениями, активами, информационными массивами и т.п.),
1.8. визуальное представление модели информационных потоков,
 1.9. ввод ограничений накладываемых целями обработки на обрабатываемые ПДн и контроль их выполнения в информационных массивах содержащих ПДн,
1.10. редактирование модели информационных потоков в визуальной форме,
1.11. визуальное представление модели процессов обработки ПДн,
1.12. обеспечение возможности фильтрации процессов по множеству задаваемых параметров и экспорта произвольных данных по ним,
1.13. ввод несовместимых целей обработки ПДн,
1.14. учет и нормирование (приведение к типовым) целей обработки ПДн,
1.15. автоматический контроль соответствия целей обработки ПДн, целям заранее заявленным,
1.16. обеспечение возможности согласования процесса ответственными лицами с отслеживанием версий процесса, простановкой электронной подписи.
2. Управление зданиями и помещениями, включая:
2.1. учет состава помещений, в которых производится обработка ПДн (как автоматизированная, так и неавтоматизированная),
2.2. учет помещений, в которых производится хранение съемных машинных носителей ПДн,
2.3. автоматическое определение помещений, в которых находятся СКЗИ,
2.4. учет выполнения требований по защите помещений, в которых производится обработка ПДн, находятся машинные носители ПДн (наличие замков, решеток на окнах, надежных хранилищ для бумажных носителей ПДн при их неавтоматизированной обработке),
2.5. автоматический контроль необходимости обеспечения защиты помещений, в которых производится обработка ПДн,
2.6. учет структурных подразделений – владельцев помещений,
2.7. обеспечение возможности фильтрации зданий и помещений по множеству задаваемых параметров и экспорта произвольных данных по ним.
3. Организация пропускного режима в помещения, включая:
3.1. учет лиц допущенных в помещения,
3.2. генерация приказа о допуске лиц в помещения,
3.3. автоматический контроль актуальности перечня лиц допущенных в помещения.
4. Учет информационных массивов, включая:
4.1. учет информационных массивов ПДн (баз данных, файлов, бумажных документов, сервисов и т.п.), категорий лиц и состава обрабатываемых ПДн в информационных массивах ПДн, состава информационных потоков между массивами, характеристик режима обработки и разграничения доступа в массиве, других значимых характеристик,
4.2. автоматический контроль информационных массивов на наличие несовместимых целей обработки,
4.3. учет общедоступных источников ПДн,
4.4. обеспечение возможности фильтрации информационных массивов по множеству задаваемых параметров и экспорта произвольных данных по информационным массивам.
5. Контроль уничтожения ПДн при достижении целей обработки ПДн, включая:
5.1. ведение базы данных субъектов ПДн с заданием их ФИО, паспортных данных, принадлежности к тем или иным информационным массивам,
5.2. учет произвольных характерных дат (дат, при наступлении которых начинается отсчет до конкретной даты уничтожения ПДн) по каждому субъекту ПДн позволяющих отслеживать сроки уничтожения ПДн,
5.3. автоматическое определение состава характерных дат, значимых для субъекта ПДн, посредством анализа процессов обработки ПДн, в которых участвуют ПДн данного субъекта ПДн,
5.4. задание сроков наступления характерных дат по каждому субъекту ПДн,
5.5. автоматический контроль своевременности уничтожения ПДн по каждому субъекту ПДн при окончании всех дат, которые заведены на данного субъекта ПДн.
6. Контроль наличия и генерация согласий на обработку ПДн, включая:
6.1. автоматическое определение необходимости получения согласий субъектов ПДн на обработку ПДн по участию информационных массивов, в которых содержатся данные субъектов в процессах обработки ПДн требующих сбора согласий,
6.2. учет наличия согласий конкретных субъектов ПДн на обработку ПДн,
6.3. автоматический контроль необходимости получения согласий на обработку ПДн от конкретных субъектов ПДн,
6.4. генерация формы согласия на обработку ПДн с автоматическим включением в нее всех необходимых данных в зависимости от процессов обработки ПДн, в которых участвуют ПДн данного субъекта ПДн,
6.5. автоматический контроль наличия согласий на обработку ПДн от конкретных субъектов ПДн.
7. Категорирование ПДн, включая:
7.1. задание произвольных правил определения категории ПДн по категориям отдельных составов ПДн в целях автоматического определения категории ПДн обрабатываемых в информационных массивах,
7.2. задание категории обрабатываемых ПДн в информационных массивах вручную, на основе собственных аналитических предположений,
8. Управление помещениями, в которых осуществляется неавтоматизированная обработка ПДн:
8.1. автоматическое определение категории ПДн неавтоматизированных информационных массивов находящихся в помещении по набору правил определения категории ПДн,
8.2. генерация приказа с автоматическим указанием состава помещений, в которых осуществляется неавтоматизированная обработка ПДн, их категорий,
8.3. автоматический контроль наличия помещений, на которые отсутствует соответствующий приказ.
9. Управление общедоступными ПДн, включая:
9.1. учет заявлений на исключение ПДн из общедоступных источников,
9.2. автоматический контроль необходимости исключения ПДн из общедоступных источников (информационных массивов, в которых содержатся общедоступные категории ПДн),
10. Управление контрагентами, включая:
10.1. учет контрагентов, их адресов, ИНН, договоров контрагентов,
10.2. учет контрагентов, которым поручена обработка ПДн,
10.3. учет наличия поручений на обработку ПДн,
10.4. учет дат получения и истечения срока поручений на обработку по каждому договору контрагента,
10.5. автоматический контроль истечения срока поручения до окончания срока действия договора,
10.6. автоматический контроль наличия поручений на обработку ПДн,
11. Учет доступа физических лиц к информационным массивам, включая:
11.1. учет лиц или пар «должность» - «структурное подразделение», которым предоставляется доступ к ПДн по каждому заданному информационному массиву (системе, базе данных, каталогу и т.п.),
11.2. учет дополнительных объектов доступа (таблиц, записей, функций, процедур и т.п.), к которым назначены права доступа в рамках информационных массивов,
11.3. учет конкретных прав доступа назначенных пользователю в отношении информационных массивов и/или дополнительных объектов доступа,
11.4. генерация формы приказа на допуск лиц к ПДн,
11.5. генерация формы приказа на исключение допуска лиц к ПДн,
12. Учет активов, включая:
12.1. учет активов используемых для обработки ПДн, а также их характеристик, включая: обрабатываемые категории информации (персональные данные, коммерческая тайна и т.п.), место их размещения, содержащиеся на них информационные массивы и массивы, к которым производится обращение, режимы обработки и т.п.
12.2. визуальное представление модели информационной системы,
12.3. редактирование состава активов, их характеристик, связей между ними в визуальной форме,
12.4. учет владельцев активов,
12.5. обеспечение возможности фильтрации активов по множеству задаваемых параметров и экспорта произвольных данных по ним.
13. Учет, контроль и генерация Уведомления о характере процессов обработки ПДн, включая:
13.1. учет обращений субъектов ПДн на ознакомление с характером процессов обработки их ПДн с поддержкой электронной подписи,
13.2. автоматический контроль сроков подготовки уведомлений субъектов ПДн об обработке их ПДн,
13.3. учет нормативных или иных оснований для отказа в предоставлении информации о характере обрабатываемых ПДн по конкретным информационным массивам,
13.4. генерация уведомления субъекта ПДн о характере процессов обработки его ПДн с автоматическим определением состава уведомления по составу процессов обработки ПДн в которых участвуют ПДн данного субъекта,
13.5. учет отправки субъектам ПДн уведомлений о характере процессов обработки их ПДн,
13.6. генерация формы уведомления субъекта ПДн, содержащего мотивированный отказ на запрос о предоставлении информации о характере обрабатываемых ПДн.
14. Учет, контроль и генерация разъяснений порядка принятия решений при исключительно автоматизированной обработке, включая:
14.1. учет юридических последствий, которые может повлечь за собой обработка ПДн в ИСПДн в целях генерации разъяснения порядка принятия решений при исключительно автоматизированной обработке,
14.2. учет порядка защиты субъектом ПДн своих прав и законных интересов и порядка принятия решения при исключительно автоматизированной обработке,
14.3. автоматическое определение субъектов ПДн, которым надо разъяснить порядок принятия решений,
14.4. учет отправленных разъяснений порядка принятия решений,
14.5. генерация разъяснения порядка принятия решений и порядка защиты субъектом ПДн своих прав и законных интересов,
15. Учет, контроль и генерация возражений на принятие решений, включая:
15.1. учет получения возражений на принятие решений несущих юридические последствия на основании исключительно автоматизированной обработки,
15.2. контроль сроков подготовки уведомления о результатах рассмотрения такого возражения,
15.3. учет отправки Уведомлений по результатам рассмотрения возражений,
15.4. генерация Уведомления субъекта ПДн о результатах рассмотрения возражения,
16. Учет, контроль и генерация Уведомлений о предполагаемой обработке ПДн, включая:
16.1. автоматическое определение состава субъектов ПДн, для которых надо генерировать Уведомление о предполагаемой обработке их ПДн,
16.2. учет отправки Уведомлений о предполагаемой обработке ПДн субъектам ПДн,
16.3. генерация формы уведомления субъекта ПДн о предполагаемой обработке его ПДн,
16.4. автоматический контроль уведомления субъекта ПДн до начала обработки его ПДн, посредством анализа наличия уже отправленного уведомления.
17. Управление запросами на уточнение, изменение ПДн, неправомерные действия, включая:
17.1. учет получения запросов на уточнение, изменение и т.п. ПДн, которые являются неполными, устаревшими, недостоверными и т.п., а также о неправомерных действиях оператора с ПДн,
17.2. учет даты устранения нарушений в области обработки ПДн указанных в запросах субъектов ПДн, или уничтожения ПДн субъектов ПДн с целью контроля сроков отправки соответствующих ответов,
17.3. генерация формы уведомления об устранении нарушений в области обработки ПДн или уничтожении ПДн по результатам проверки,
17.4. ввод даты, с которой информация о неправомерных действиях с ПДн получила подтверждение с целью контроля сроков отведенных на устранение нарушений,
17.5. контроль сроков отведенных на устранение нарушений в области обработки ПДн,
17.6. учет отправки субъектам ПДн Уведомлений о внесенных изменениях в ПДн и предпринятых мерах по устранению нарушений указанных в обращениях субъектов ПДн,
17.7. автоматический контроль необходимости отправки уведомлений субъектам ПДн о внесенных изменениях в ПДн и предпринятых мерах по устранению нарушений указанных в обращениях субъектов ПДн,
18. Управление отзывами согласий на обработку ПДн, включая:
18.1. учет получения от субъектов ПДн отзывов согласий на обработку ПДн,
18.2. автоматический контроль уничтожения ПДн в срок при отзыве согласий субъектов ПДн и отсутствии других нормативных оснований для обработки ПДн,
19. Учет ИСПДн, включая:
19.1. задание наименований ИСПДн,
19.2. описание общих характеристик ИСПДн (степень автоматизированности обработки, объем обрабатываемых ПДн, осуществляемые операции с ПДн),
20. Управление Уведомлением об обработке ПДн подаваемым в Роскомнадзор, включая:
20.1. ввод условий прекращения обработки ПДн организацией в виде даты или описания, например, ликвидация юридического лица,
20.2. учет сведений о филиальной структуре организации, адресах, ответственном за организацию обработки ПДн,
20.3. генерация формы Уведомления об обработке ПДн подаваемого в Роскомнадзор,
20.4. фиксация данных указанных в текущем Уведомлении об обработке ПДн,
20.5. автоматический контроль необходимости внесения изменений в Уведомление об обработке ПДн,
20.6. автоматический контроль сроков внесения изменений в Уведомление об обработке ПДн с даты обнаружения несоответствия.
21. Управление документами в области ПДн, включая:
21.1. ввод состава утверждающих и согласующих лиц по каждому виду документов генерируемых с использованием комплекса с учетом сложного состава структурных подразделений, наличия филиалов,
21.2. обеспечения возможности согласования и утверждения документов в электронной форме с обеспечением механизмов электронной подписи,
21.3. учет эксплуатационной и технической документации к средствам защиты с сохранением их названий, номеров, самих документов,
21.4. обеспечение возможности редактирования шаблонов документов.
22. Управление средствами защиты, включая:
22.1. учет конкретных средств защиты, условий применения средств защиты для обеспечения безопасности активов, условий их использования, классов и уровней защиты, режимов обработки и разграничения доступа, на которые они рассчитаны,
22.2. учет партий средств защиты, в том числе прошедших процедуру оценки соответствия, дат получения и произвольных видов сертификатов соответствия,
22.3. учет фактических мест и времени установки средств защиты (ведение журнала истории установки средств защиты на конкретных активах),
22.4. автоматический контроль сроков проведения повторной процедуры оценки соответствия средств защиты на основании введенных данных по срокам действия сертификатов на конкретные средства защиты,
22.5. автоматический контроль наличия активов без установленных средств защиты, необходимых в соответствии с проектом системы защиты.
23. Управление актами определения уровня защищенности ИСПДн, включая:
23.1. генерация формы акта определения уровня защищенности ИСПДн посредством автоматического определений категорий ПДн, характеристик ИСПДн включаемых в акт,
23.2. фиксация данных указанных в текущем акте определения уровня защищенности ИСПДн,
23.3. автоматический контроль необходимости изменения акта определения уровня защищенности ИСПДн,
23.4. автоматический контроль необходимости генерации акта определения уровня защищенности на вновь созданные ИСПДн.
24. Управление резервными копиями ПДн, включая:
24.1. учет наличия резервных копий ПДн по информационным массивам,
24.2. автоматический контроль наличия резервных копий.
25. Управление контролем защищенности ПДн, включая:
25.1. учет проведенных контролей уровня защищенности ПДн и соблюдения условий использования средств защиты с указанием даты проведения контроля по каждой ИСПДн, активу, филиалу, информационному массиву,
25.2. автоматический контроль необходимости проведения контроля защищенности ПДн и соблюдения условий использования средств защиты,
25.3. генерация формы Акта на проведение контроля защищенности ПДн и соблюдения условий использования средств защиты для конкретных активов с автоматическим указанием функций, которые должны быть проконтролированы,
25.4. генерация формы приказа на проведение контроля защищенности ПДн и соблюдения условий использования средств защиты для конкретных активов.
26. Управление моделью угроз безопасности ПДн, включая:
26.1. учет данных по категориям лиц имеющих возможность влияния на компоненты ИСПДн (пользователи, обслуживающий персонал, администраторы и т.п.)
26.2. учет всех возможных угроз безопасности ПДн, их вероятностей, условий актуальности,
26.3. генерация формы модели угроз для конкретных ИСПДн,
26.4. фиксация текущего состава каждой сгенерированной модели угроз,
26.5. автоматический контроль необходимости внесения изменений в модель угроз,
26.6. автоматический контроль необходимости генерации модели угроз на вновь созданные ИСПДн.
27. Управление моделью нарушителя, включая:
27.1. генерация формы модели нарушителя для конкретных ИСПДн,
27.2. фиксация текущего состава каждой сгенерированной модели нарушителя,
27.3. автоматический контроль необходимости внесения изменений в модель нарушителя, посредством анализа изменений в данных, используемых для генерации модели, и их сравнения с данными указанными в текущей форме модели,
27.4. автоматический контроль необходимости генерации модели нарушителя на вновь созданные ИСПДн.
28. Задание проекта (области) системы защиты ПДн, включая:
28.1. задание варианта СЗПДн (состава средств защиты для выбранного множества активов с учетом модели угроз, заданных ранее характеристик данных активов, ранее заданных характеристик средств защиты),
28.2. учет зависимостей между функциями защиты и характеристиками ИСПДн (уровнями защищённости, распределенности, наличия выхода в сети общего пользования, использовании съемных носителей и т.п.)
28.3. автоматический контроль изменений в составе системы защиты ПДн, необходимости внесения изменений в систему защиты,
28.4. автоматический контроль необходимости генерации системы защиты на вновь созданные активы, которые не входят в ранее созданный проект.
29. Проверка эффективности системы защиты, включая:
29.1. учет проведенных проверок эффективности средств защиты с указанием даты проверки,
29.2. автоматический контроль необходимости проверки эффективности средств защиты, посредством анализа наличия средств защиты, для которых не указана отметка о проведенной проверке,
29.3. генерация формы акта о проверке эффективности средств защиты с указанием проверенных функций средств защиты, мест их установки.
30. Ввод средств защиты в эксплуатацию, включая:
30.1. учет введенных в эксплуатацию средств защиты с указанием даты ввода,
30.2. автоматический контроль необходимости ввода в эксплуатацию средств защиты посредством анализа наличия средств защиты не введенных в эксплуатацию,
30.3. генерация форм приказов на ввод в эксплуатацию средств защиты для средств защиты прошедших проверку эффективности.
31. Управление обучением в области ПДн, включая:
31.1. учет сотрудников, которые прошли обучение правилам обработки и защиты ПДн, а также тех, кто ознакомлен с требованиями по обработке ПДн,
31.2. автоматический контроль наличия сотрудников, которым надо пройти обучение,
31.3. учет ознакомления лиц, из числа допущенных к ПДн, с правилами обработки ПДн,
31.4. автоматический контроль ознакомления лиц, из числа допущенных к ПДн, с правилами обработки ПДн,
31.5. автоматический контроль ознакомления лиц, из числа допущенных к ПДн, с фактом обработки ими ПДн.
32. Учет машинных носителей ПДн, с указанием их номеров, ответственных, дат ввода в эксплуатацию.
33. Учет нештатных ситуаций, включая:
33.1. учет нештатных ситуаций, описания результатов их расследования, подверженных активов, ответственных за их расследование;
33.2. учет документов связанных с нештатной ситуацией.
34. Описание системы защиты ПДн, включая:
34.1. генерация формы описания системы защиты, включающего описание состава используемых средств защиты, их функций, условий эксплуатации,
34.2. учет наличия описания системы защиты,
34.3. автоматический контроль необходимости генерации описания системы защиты на варианты системы защиты, по которым такого описания нет.
35. Управление ответственными за обеспечение безопасности ПДн, включая:
35.1. учет подразделений или конкретных лиц, которые назначены ответственными за безопасность ИСПДн,
35.2. автоматический контроль необходимости назначения ответственных за безопасность ПДн в ИСПДн, по которым ответственные не назначены,
35.3. генерация формы приказа о назначении ответственных за безопасность ПДн в ИСПДн.
36. Управление актом о пропуске на территорию посетителей, включая:
36.1. ввод данных необходимых для генерации акта оператора о пропуске на территорию посетителей и ведении журнала (ответственных за ведение журнала, порядка пропуска субъекта ПДн на территорию, на которой находится оператор, без подтверждения подлинности ПДн сообщенных субъектом ПДн),
36.2. генерация формы акта оператора о пропуске на территорию посетителей и ведении журнала,
36.3. фиксация состава данных содержащихся в текущем акте оператора о пропуске на территорию посетителей,
36.4. автоматический контроль изменений в составе данных указываемых в акте.
37. Управление СКЗИ и лицами, допущенными к СКЗИ, включая:
37.1. учет лиц, которых надо допустить к работе с криптосредствами, а также лиц, которые допущены к СКЗИ,
37.2. генерация формы приказа на допуск к работе с СКЗИ,
37.3. автоматический контроль наличия лиц, которых требуется допустить к работе с СКЗИ, но приказ для которых не сгенерирован,
37.4. учет лицевых счетов пользователей СКЗИ,
37.5. учет ключевых документов к СКЗИ,
37.6. учет проведения обучения по работе с СКЗИ.
38. Учет получения предписаний регулятора в области ПДн.
39. Управление Перечнем ПДн, включая:
39.1. генерация перечня персональных данных,
39.2. автоматический контроль необходимости актуализации перечня персональных данных.
40. Управление Перечнем процессов обработки ПДн, включая:
40.1. генерация перечня процессов обработки ПДн,
40.2. автоматический контроль необходимости актуализации перечня процессов обработки персональных данных.
41. Управление Перечнем ИСПДн, включая:
41.1. генерация приказа об утверждении перечня ИСПДн,
41.2. автоматический контроль актуальности перечня ИСПДн.
42. Генерация отчета о степени выполнения законодательных требований к процессам обработки и защиты ПДн.
43. Управление правами доступа, включая:
43.1. задание состава пользователей,
43.2. задание правил назначения и смены паролей доступа,
43.3. задание ролей пользователей, обеспечение ограничения доступа пользователей по филиалам, доступным пунктам меню,
43.4. ограничение возможностей пользователей по степени владения активами, процессами, информационными массивами.

 

Система в процессе своей работы обеспечивает возможность генерации следующих документов:

1) Акта классификации ИСПДн по требованиям ЦБ РФ
2) Акт определения уровня защищенности ИСПДн
3) Акта на проведение контроля защищенности ПДн и соблюдения условий использования средств защиты
4) Акта о проверке эффективности средств защиты
5) Акта оператора о пропуске на территорию посетителей и ведении журнала
6) Журнала учета применяемых средств защиты ПДн
7) Журнала учета установки и снятия средств защиты
8) Журнала учета эксплуатационной и технической документации
9) Журнала учета носителей ПДн
10) Журнала учета ключевых документов к СКЗИ
11) Модели угроз
12) Модели нарушителя
13) Описания системы защиты
14) Отчета о степени соответствия требованиям к процессам обработки и защиты ПДн
15) Перечня ПДн
16) Перечня процессов обработки ПДн
17) Перечня технических средств ИСПДн
18) Приказа на допуск к работе с СКЗИ
19) Приказа на ввод в эксплуатацию средств защиты
20) Приказа на проведение контроля защищенности ПДн и соблюдения условий использования средств защиты
21) Приказа о допуске лиц в помещения
22) Приказа о назначении ответственных за безопасность ПДн
23) Приказа о предоставлении доступа к персональным данным
24) Приказа об исключении доступа к персональным данным
25) Приказа об определении мест хранения различных категорий ПДн
26) Приказа об утверждении перечня ИСПДн
27) Согласия на обработку ПДн
28) Разъяснения порядка принятия решений при исключительно автоматизированной обработке и порядка защиты субъектом ПДн своих прав и законных интересов
29) Уведомления субъекта ПДн о характере процессов обработки его ПДн
30) Уведомления субъекта ПДн об отсутствии обрабатываемых ПДн
31) Уведомления, содержащего мотивированный отказ на запрос о предоставлении информации о характере обрабатываемых ПДн
32) Уведомления субъекта ПДн о результатах рассмотрения возражения на принятие решений несущих юридические последствия на основании исключительно автоматизированной обработки
33) Уведомления субъекта ПДн о предполагаемой обработке его ПДн
34) Уведомления об устранении нарушений или уничтожении ПДн по результатам проверки
35) Уведомления об обработке ПДн предоставляемого в Роскомнадзор
 

 

Авторизация

 

Регистрация