Методические материалы

Защита персональных данных является одной из важнейших задач системы обеспечения информационной безопасности в организации любого масштаба и любой организационно-правовой формы. Нарушение режима конфиденциальности имеющихся в организации данных клиентов, сотрудников, обслуживаемых граждан является само по себе серьѐзнейшим инцидентом информационной безопасности, создающим многочисленные риски.

 

Это и финансовые риски, связанные с необходимостью затрат на срочные меры реакции на инцидент (проведение расследования, организация «аварийных» PR-мероприятий), и имиджевые риски, и чисто коммерческие, связанные с утратой лояльности клиентов и их оттоком. Достаточно того резонанса, который обычно вызывают ставшие достоянием гласности случаи утечки массивов персональных данных. Например, базы данных, предлагаемые на «черном рынке».

 

Но если еще совсем недавно каждая организация, обрабатывающая персональные данные, заботилась об их защите исходя из собственных представлений, зафиксированных во внутренних политиках информационной безопасности, то теперь ситуация изменилась. Правила в этой игре отныне устанавливает государство. Каждая организация обязана обеспечить некоторый необходимый уровень защиты персональных данных, которыми оперируют еѐ сотрудники. Но, как это зачастую происходит, введение жѐсткого государственного контроля, независимо от области регулирования, связано с появлением неопределѐнности для лиц, попадающих в поле контроля. Особенно, если речь идѐт о регулировании отношений, сложившихся годами, зачастую пронизывающих все основные информационные процессы в организациях.

 

Всѐ работает, зачем нам что-то менять в обработке персональных данных? Именно этот вопрос был естественной реакцией многих руководителей на информацию о появлении закона «О персональных данных». Увы, достаточно было услышать их ответы на два-три вопроса, касающиеся организации защиты персональных данных, чтобы понять: существующая система защиты не соответствует множеству требований, установленных законодательством о защите персональных данных. Но, в силу сложившихся веками традиций отношения к законодательным нововведениям, с неизбежностью возникал следующий вопрос…

 

Может, меня это всѐ не коснется? Ведь закон затрагивает практически любого хозяйствующего субъекта, государственную или муниципальную организацию – очевидно, что регулирующему органу не хватит имеющихся ресурсов на объективную проверку даже 1% операторов персональных данных. Да и что с того: одним проверяющим больше, одним меньше… В целом оптимальной тактикой многим представлялось отсутствие какой-то деятельности. Стоит ли открывать проект, если законодательство может ещѐ не раз поменяться? Нужно ли подавать уведомление об обработке персональных данных, если это с неизбежностью приведѐт к попаданию в фокус контролирующего органа власти? Именно в таком состоянии застал нас 2009 год. Но надежда на то, что «авось пронесет», растаяла к концу года, когда всему сообществу стало ясно, что закон начинает работать, а сами требования к защите персональных данных, безусловно, важны и требуют самого серьѐзного к себе отношения. Регистрация десятков тысяч организаций в качестве операторов персональных данных, зарождение правоприменительной практики по требованиям закона, появления списка плановых проверок на сайте Роскомнадзора, выход массива руководящих документов ФСБ России и ФСТЭК России – всѐ это, судя по всему, окончательно убедило бизнес и ИТ-руководителей всех уровней, что тема требует самого внимательного отношения.

 

Более чем серьезным является отношение к данной тематике и Государственной Думы Российской Федерации, которое более чем ясно было выражено в докладах в рамках Парламентских слушаний. Безусловно, закон и подзаконные акты по данной тематике всѐ ещѐ несовершенны и должны быть доработаны, и ни у кого не возникает сомнений в необходимости существования нормально работающего законодательства о защите персональных данных. Таким образом, с пониманием того, что исполнение норм закона необходимо обеспечивать, мы подошли к другому вечному вопросу.

 

Что собственно делать? Как строить работу по проекту построения системы защиты персональных данных? И на этот вопрос ответить непросто по ряду причин, и вот лишь некоторые из них:

 

Тем не менее, в 2008-2009 годах сложилась практика ведения проектов по построению систем защиты персональных данных, которая позволяет сформулировать общую канву ведения проектов и разрешить большинство сложных актуальных вопросов.

Обобщив практику ведения ряда проектов в области защиты персональных данных, группа экспертов компании LETA попыталась свести воедино описание всех основных этапов такого проекта, представленного как последовательность отдельных шагов.

Для каждого шага приводится: цель шага, его назначение в общей канве проекта; основание и описание состава основных работ на данном шаге; основной результат, который достигается по результатам шага; некоторые важные особенности исполнения шага, на которые непременно следует обратить внимание; список основных нормативно-правовых актов, относящихся к данному шагу.

 

Таким образом, главная цель этого материала – донести общую картину реализации проекта по построению системы защиты персональных данных, без понимания которой практически невозможно сделать первый шаг в сторону исполнения требований закона и попробовать самостоятельно реализовать его требования. Имея ясное представление о назначении и содержании отдельных шагов в рамках проекта, специалистам будет существенно проще донести потребности компании в области защиты персональных данных до руководства и заручиться его поддержкой, реалистично оценить сроки и стоимость реализации проекта, выделить ряд аспектов, по которым придется принимать принципиальное решение, достойно подготовиться к встрече с проверяющими органами.

 

И хотя, на первый взгляд, работа эта может показаться огромной, как говорится, дорогу осилит идущий. И настоящий материал, безусловно, должен помочь в этом деле. Проект построения системы защиты персональных данных вполне реализуем, хотя и предполагает вовлечение в него существенных сил и ресурсов.

 

Содержание пособия:

1. Список терминов
2. Список сокращений
3. Общий порядок действий оператора по выполнению требований федерального закона № 152-ФЗ «О персональных данных» 
   • Шаг 1. Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн 
   • Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн 
   • Шаг 3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме 
   • Шаг 4. Определить порядок реагирования на запросы со стороны субъектов персональных данных 
   • Шаг 5. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление 
   • Шаг 6. Выделить и классифицировать ИСПДн
   • Шаг 7. Разработать модель угроз для ИСПДн
   • Шаг 8. Спроектировать и реализовать систему защиты персональных данных
   • Шаг 9. Провести аттестацию ИСПДн по требованиям безопасности или продекларировать соответствие 
   • Шаг 10. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации 
   • Шаг 11. Обеспечить постоянный контроль защищѐнности ПДн
4. Заключение
5. Список нормативно-правовых документов
6. Полезные ссылки
7. О LETA IT-company