• Главная
  • Wiki
  • Статьи
  • Выполнение требований ФЗ-152. С чего начать?

Выполнение требований ФЗ-152. С чего начать?

Александр Башнин

Закон о защите персональных данных защищает данные от распространения. Сегодня практически любой бизнес, представленный в интернете, является оператором персональных данных (ПДн) – повсеместно используются различные формы заявок на услуги, формы обратной связи. Кроме того, компании оперируют персональными данными своих сотрудников. Компании и физлица, которые собирают, хранят и обрабатывают персональные данные — это операторы ПДн.

С одной стороны, закон довольно суров и за преднамеренное распространение персональных данных грозит уголовная ответственность, но доказать наличие такого намерения весьма трудно. Непреднамеренная утечка не так страшна, тем не менее, она небезопасна и может привести к приостановке деятельности компании вследствие неисполнения Закона о защите персональных данных.

Для разных компаний закон разный

Следует отметить, что проверки выполнения положений Закона, возложенные на Роскомнадзор, выполняются не часто и в основном они касаются крупных предприятий. Однако проверка исполнения Закона не запрещена и другим органам государственной власти, прямо не связанными с контролем исполнения Закона о защите персональных данных. Таким образом, представители малого и среднего бизнеса сохраняют связанную с неисполнением ФЗ-152 уязвимость независимо от внимания Роскомнадзора. Государственные органы, выполняющие правоохранную функцию, могут обратить внимание на вашу компанию совсем по другому поводу, но попутно сделать вывод о признаках игнорирования Закона. Ярлык нарушителя Закона приведет к крайне нежелательным последствиям.

Важно отметить, что состояние технических средств защиты, скорее всего, останется за пределами проверки этими органами - им часто не хватает компетенции. Таких проверяющих волнуют правовые стороны обработки ПДн:

  • с какой целью вы собираете персональные данные;  
  • не собираете ли вы их больше, чем нужно для ваших целей;
  • сколько храните персональные данные;
  • есть ли политика обработки персональных данных;
  • собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Закон о защите персональных данных прямо определяет: обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Иными словами, соблюдение требования закона – это в первую очередь формирование процессов, и лишь во вторую - использование адекватных технических средств.

Крупные компании фактически не имеют выбора, им приходится выстраивать серьезный контур защищенной инфраструктуры и рабочих мест. Средним и малым следует найти компромисс между высокими затратами и угрозой получить ярлык злостного нарушителя. Следует иметь аргументы, способные защитить вас без затрат на создание и поддержание подобного контура защищенной инфраструктуры.

Выбрать свой вариант снижения риска штрафов

Итак, ваша компания не имеет свободных средств для полноценного создания и обслуживания профессионального контура защиты персональных данных, но хочет избежать штрафов за нарушение Закона и рисков приостановления деятельности. Одновременно вы понимаете, что требования Закона о защите персональных данных не исчерпываются созданием профессионального контура защиты с правильно подключенными рабочими местами. Этот аспект составляет около 15% всего объема работ. Профессиональная защита персональных данных требует разработки административных регламентов. Качество регламентации может различаться, часто регламенты упускают соблюдение пользователем информационной гигиены. 
Вот примерный перечень документов, который нужно иметь оператору персональных данных:
  • Типовая форма согласия на обработку персональных данных 
  • Политика оператора в отношении обработки ПДн 
  • Приказ о назначении ответственного за организацию обработки ПДн 
  • Должностная инструкция ответственного за организацию обработки ПДн
  • Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона
  • Перечень информационных систем персональных данных (ИСПДн)
  • Регламент предоставления доступа субъекта к его ПДн
  • Регламент расследования инцидентов
  • Приказ о допуске работников к обработке ПДн
  • Регламент взаимодействия с регуляторами
  • Уведомление Роскомнадзора и проч.
  • Форма поручения обработки ПДн
  • Модель угроз ИСПДн.
Пользователи раздают свои данные «направо и налево», а потом удивляются, что сведения попали в публичный доступ. Мы потеряли счет, сколько раз их сливали, копировали, продавали. В модели конфиденциальности, за которую мы привыкли держаться, каждый несет личную ответственность за сохранение этой конфиденциальности. 
Начать следует с четкой формулировки задачи. Для этого сначала определяется уровень защищенности ИСПДн, набор соответствующих мер для обеспечения защиты (уровень защиты зависит от модели угроз конкретной компании и ее ИС), определяется набор технических СЗИ и организационные мероприятия, ввод соответствующих бизнес-процессов. Важно понять, нужна ли вам аттестация системы. Приказ ФСТЭК России №21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных» дает возможность оператору подтвердить выполнение требований вне рамок аттестации системы - тогда сертифицированные СЗИ для вас не обязательны. Однако вам придется все время сверять планы развития собственного бизнеса с требованиями 152-ФЗ. После этого определиться, какие услуги нужны вашей компании для исполнения требований Закона: первичный аудит и обследование, закупка и внедрение СЗИ, создание ИСПДн или адаптация текущей ИС, автоматизация соответствующих бизнес-процессов, аренда готовой аттестованной инфраструктуры в облаке, сопутствующие аудиторские и консультационные услуги профессиональных юристов. Поможет в этом консультация опытного провайдера облачных услуг – он проанализирует вашу ситуацию и подберет оптимальное по времени и бюджету решение.

Технические мероприятия по созданию системы защиты персональных данных в соответствии с классом как правило включают следующие работы:
  • проведение обследования с формированием требований в количестве и составе СЗИ, исходя из специфики компании и ИС;
  • поставка и внедрение технических средств защиты информации (сертифицированные межсетевые экраны, средства защиты каналов связи VPN, антивирусы, системы обнаружения и предотвращения вторжений, средства защиты среды виртуализации и др.); 
  • настройка средств и систем защиты информации в соответствии с требованиями;
  • обслуживание и техническая поддержка СЗИ.

Требования к провайдеру защищенной инфраструктуры

Прежде всего следует убедиться в наличии у провайдера соответствующих лицензий, ресурсов и компетенций. Не стоит сравнивать облачных провайдеров только по опубликованным на сайте ценам на услуги. У компаний с опытом системного интегратора, облачного инфраструктурного провайдера как правило больше компетенции и ресурсов – не только для предоставления готовой инфраструктуры в аренду, но и для индивидуального подхода, качественного обслуживания арендуемой среды, оказания оперативной технической поддержки, готовности в решении нестандартных ситуаций. При схожей номенклатуре стоимость услуг может оказаться различной - у одних базовая услуга дает свободу, у других для этого потребуются дополнительные затраты, например, для оптимизации процессов. Большой плюс для компании — ее открытость. Проверьте практику облачного провайдера, доступны ли клиентам статистика отказов, аварий, графики плановых работ и прочая информация, предусматриваемая Соглашением об уровне услуг. Необходимо проанализировать наличие и количество сертификатов на инфраструктуру, на сотрудников, количество выполненных проектов, перечень клиентов. Можно поискать отзывы на сторонних площадках, оценить степень текучести кадров и зарплатную политику. Не стоит доверять провайдеру, демонстрирующему излишнюю экономность, скорее всего вакансии с низкой оплатой труда это индикатор низкой квалификации провайдера. Стоит обратить внимание, оператором каких ЦОД является провайдер услуг, как организовано обслуживание и техническая поддержка, есть ли опыт и ресурсы для организации резервного копирования. До подписания договора важно понять обязательства провайдера в реализации вашего плана аварийного восстановления.Из договора должна возникать полная ясность что и в какие сроки обязан сделать провайдер, какие услуги включены и что гарантирует сервис-провайдер, а что нет. Также нужно внимательно изучить договор на обслуживание или пользовательское соглашение и приложения к ним. Там должно быть прописано, что происходит в случае задержки оплаты сервиса: сколько времени даст сервис-провайдер на погашение задолженности, прежде чем отключить виртуальный сервер или удалить данные. Для этого стоит изучить сайт и техническую документацию, а после этого для надежности уточнить информацию непосредственно у сотрудников компании. 

Аренда защищенной облачной инфраструктуры

Получается, что для малых и средних предприятий наиболее рациональный вариант — это аренда профессионально защищенной инфраструктуры, аттестованной по 152-ФЗ. Защищенное облако – это готовая инфраструктура для создания и размещения Информационной Системы Персональных Данных (ИСПДн), Государственных Информационных Систем (ГИС) в рамках выполнения требований закона «О персональных данных» №152-ФЗ от 26.07.2006г. Останется лишь корректно подключить к арендованной защищенной среде ваши рабочие места. Арендуемая защищенная среда, построенная с использованием сертифицированного программного и аппаратного обеспечения, отвечающего требованиям ФСТЭК и ФСБ, позволяет работать с данными физических лиц в 1С, почте или другой системе, при этом исполняя требования законодательства РФ.


top