Утечки могут играючи повергнуть в панику. Но паниковать – не наш удел, ведь каждый час на счету. Итак, как обещали, в продолжение темы утечек делимся полезностями.
Рабочая группа
Решения нужно принимать быстро. Для этого следует выстроить процесс взаимодействия между подразделениями на случай утечки и распределить роли между стейкхолдерами. Спихнуть всю работу на ИБ / DPO = провалить реагирование. Грамотная работа с утечкой – результат слаженного взаимодействия менеджмента, ИБ, DPO, IT, юристов, владельцев процессов / систем и даже PR. «Базовый минимум» выглядит так:
ИБ – предотвращают выявляют и расследуют утечку, определяют, как устранить ее причины, документируя каждый этап;
IT – руки ИБ, за ними техническая реализация плана;
DPO – «держатель» процесса утечки, он/она/они координируют рабочую группу, принимают ключевые решения и несут за них ответственность, а также продумывают стратегию защиты в РКН и суде;
юристы – руки / консультанты DPO, а в части реализации правовой и судебной стратегии – ключевые акторы.
Владельцы процессов / систем
Утечка всегда касается конкретного бизнес-процесса и системы, поэтому следует:
подготовить RoPA, чтобы можно было оперативно связаться с их владельцами, запрашивать сведения об организации процесса, системе, утекших ПД;
определить и проинформировать ответственных лиц от каждого вовлеченного в инцидент подразделения;
проинструктировать их о правилах взаимодействия с РКН: что (не) следует говорить, как правильно показать систему и т. д.
Третьи лица
Список задействованных лиц не ограничивается работниками компании. Важно заранее определить контур контрагентов, которые могут попасть в периметр проверки. В первую очередь это обработчики. Должны быть определены ответственные за взаимодействие с ними, а в договорах необходимо прописать порядок и сроки предоставления ими информации в случае запросов РКН, их ответственность за нарушения процедур.
ИТ-системы
В рамках проверки / расследования инспектор РКН может запросить демо системы, скриншоты, выгрузки из БД, договоры на системы, их поддержку, ЦОДы и т. д. К таким смотринам тоже нужна подготовка:
зачистите системы от лишних ПД, «срок давности» которых уже истек;
проверьте места нахождения серверов и будьте готовы это доказать, включая запрос логов с таймстемпами загрузки;
убедитесь в наличии корректных договоров на поручение обработки ПД, использование систем, вычислительных мощностей и др.
Помещения
Инспектор также может осмотреть помещения, в которых происходит обработка ПД. Перед приходом инспектора – зачистить помещения, перенести бумаги, содержащие ПД в шкафы, запираемые на ключ, лишнее – уничтожить / перенести в архив.
Общая подготовка
Нужно иметь документы / сведения, которые запросит РКН в случае утечки, ведь подготовить их за день невозможно. И документы должны быть разработаны не для галочки, т. к. предоставление РКН порочных документов может повлечь для компании дополнительные риски, ухудшив и без того печальную ситуацию.
Еще важно привести в порядок ключевые зоны обработки ПД, например, «причесать» сайты и другие публичные ресурсы, наладить процесс уничтожения ПД и его фиксацию, включить в договоры с контрагентами корректные положения по ПД, привести в комплаенс правовые основания обработки, разграничить доступы к ПД, уничтожить ПД, которые обрабатывались «на всякий случай».
Нужно заранее подготовить пакет артефактов privacy-совестливости и провести с работниками тренинг-подготовку к визиту РКН.
Чтобы вам было проще все это сделать, мы подготовили:
training kit с RACI-матрицей реагирования на утечку и чек-листами для работников, чтобы проверка РКН прошла гладко, и процессной схемой эскалации утечки внутри компании;
Но куда интереснее и важнее, конечно, проработать все эти моменты на практике – лучше контролируемо в игровой форме. Приглашайте нас на стресс-тест, мы уже вжились в роль инспектора... и вообще любим ролевые игры 😎