Защита персональных данных

До недавнего времени организации самостоятельно определяли перечень обрабатываемых персональных данных которые необходимо защищать. Многие организации уделяли недостаточное внимание этому вопросу и, как следствие, на "черных рынках" стали появляться базы данных с персональными данными граждан.

В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных. Правовое регулирование вопросов обработки персональных данных осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 года №152-ФЗ "О персональных данных" и принятых во исплнение его положений, нормативно-правовых актов и методических документов. Другими словами государство взяло на себя функцию контроля за обработкой персональных данных на себя. Защита персональных данных теперь является обязанностью практически каждой организации.

Многие организации на сегодняшний день уже неплохо осведомлены о положениях закона, требованиях руководящих документов, ответственности за неисполнение требований, предъявляемых к защите персональных данных. Кто-то уже приступил к реализации данных требований, кто-то планирует приступить в ближайшее время. Некоторые организации считают что проверки контролирующих органов обойдут их стороной, т.к. их бизнес малозаметен, и персональные данные, которые они обрабатывают, никакого интереса не представляют. Однако, если взглянуть на статистику проверок такого регулятора как Роскомнадзор, видно что проверкам подвергаются весь спектр организаций, от индивидуальных предпринимателей до государственных корпораций по всей территории нашей страны. Очень часто по результатам таких проверок выносяться предписания об устранении выявленных нарушений, предъявляются штрафные санкции, приостанавливается деятельность организаций, а в некоторых случаях, возбуждаются уголовные дела в отношении конкретных должностных лиц. Ведь нет никаких сомнений в том, что ответственность за неисполнение требований закона будет только ужесточаться. Нормативно правовоая основа для обеспечения защиты персональных данных создана; производители технических средств защиты информации сертифицируют свое оборудование по требованиям действующего законодательства; время, выделенное для реализации требований закона было достаточно.

"Как лучше поступить?"

Конечно, можно продолжать обрабатывать персональные данные как и прежде, все также надеясь на "авось". Только следует при этом помнить о рисках плановых и внеплановых проверок. Поводом для внеплановой проверки может послужить обращение гражданина, посчитавшего что его персональные данные обрабатываются с нарушением действующего законодательства, в контролирующую организацию. Инициатива, при этом, может исходить от клиентов, конкурентов, сотрудников организации и т.п.

Можно формально подойти к решению вопроса защиты персональных данных и приложить минимум усилий. "По-быстрому" разработать документы, регламентирующие процесс обработки персональных данных, и этим ограничиться. Создав таким образом видимость работ ваша организация, на некоторое время, избежит серьезных санкций со стороны контролирующей организации, но в кончном итоге пройти проверку вряд ли получится.

Только выполнив требования действующего законодательства решает все вопросы прохождения проверок, реально повышает безопасность персональных данных. Компанию ждет успех и процветание.

"Как защищать?"

Есть как минимум два ответа на данный вопрос. Это выполнить весь комплекс работ самостоятельно или привлечь стороннюю ораганизацию.

Если к вашим информационных систем персональных данных предъявляются минимальные требования по защите, то это можно сделать собственными силами и не прибегать к помощи сторонней организации. Если же ваши информационные системы относятся к более высокому классу то необходимо знать и уметь применять на практике требования, определеннные руководящими документами ФСТэК и ФСБ РФ. При неправльном понимании и неверном подходе к реализации таких требований появляются следующие риски:

  • избыточная защита персональных данных в результате завышения класса информационной системы персональных данных. В этом случае увеличивается срок реализации проекта и его стоимость;
  • недостаточная защита персональных данных в результате занижения класса информационной системы персональных данных, что создает риск непрохождения проверки регуляторами, выявление нарушений и, как следствие, наложение санкций.

Если привлечь стороннюю организацию для решения вопроса безопасности персональных данных, то при ее выборе необходимо обратить внимание на следующие критерии:

  • наличие лицензий и необходимых ресурсов, привлекаемых для участия в проекте;
  • привлекательность ценового предложения;
  • наличие успешно завершенных проектов (желательно).

Такой подход к выбору исполнителя позволит снизить риски при реализации проекта и "на выходе" получить качественный результат.