-
- 1С
- Бизнес-решения
- Облачные решения
- Облачные продукты Облачные продукты
- Выделенные серверы Выделенные серверы
- Безопасность данных Безопасность данных
- Аутсорсинг
- Компания
Александр Башнин
Закон о защите персональных данных защищает данные от распространения. Сегодня практически любой бизнес, представленный в интернете, является оператором персональных данных (ПДн) – повсеместно используются различные формы заявок на услуги, формы обратной связи. Кроме того, компании оперируют персональными данными своих сотрудников. Компании и физлица, которые собирают, хранят и обрабатывают персональные данные — это операторы ПДн.С одной стороны, закон довольно суров и за преднамеренное распространение персональных данных грозит уголовная ответственность, но доказать наличие такого намерения весьма трудно. Непреднамеренная утечка не так страшна, тем не менее, она небезопасна и может привести к приостановке деятельности компании вследствие неисполнения Закона о защите персональных данных.
Следует отметить, что проверки выполнения положений Закона, возложенные на Роскомнадзор, выполняются не часто и в основном они касаются крупных предприятий. Однако проверка исполнения Закона не запрещена и другим органам государственной власти, прямо не связанными с контролем исполнения Закона о защите персональных данных. Таким образом, представители малого и среднего бизнеса сохраняют связанную с неисполнением ФЗ-152 уязвимость независимо от внимания Роскомнадзора. Государственные органы, выполняющие правоохранную функцию, могут обратить внимание на вашу компанию совсем по другому поводу, но попутно сделать вывод о признаках игнорирования Закона. Ярлык нарушителя Закона приведет к крайне нежелательным последствиям.
Важно отметить, что состояние технических средств защиты, скорее всего, останется за пределами проверки этими органами - им часто не хватает компетенции. Таких проверяющих волнуют правовые стороны обработки ПДн:
Закон о защите персональных данных прямо определяет: обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Иными словами, соблюдение требования закона – это в первую очередь формирование процессов, и лишь во вторую - использование адекватных технических средств.
Крупные компании фактически не имеют выбора, им приходится выстраивать серьезный контур защищенной инфраструктуры и рабочих мест. Средним и малым следует найти компромисс между высокими затратами и угрозой получить ярлык злостного нарушителя. Следует иметь аргументы, способные защитить вас без затрат на создание и поддержание подобного контура защищенной инфраструктуры.
Прежде всего следует убедиться в наличии у провайдера соответствующих лицензий, ресурсов и компетенций. Не стоит сравнивать облачных провайдеров только по опубликованным на сайте ценам на услуги. У компаний с опытом системного интегратора, облачного инфраструктурного провайдера как правило больше компетенции и ресурсов – не только для предоставления готовой инфраструктуры в аренду, но и для индивидуального подхода, качественного обслуживания арендуемой среды, оказания оперативной технической поддержки, готовности в решении нестандартных ситуаций. При схожей номенклатуре стоимость услуг может оказаться различной - у одних базовая услуга дает свободу, у других для этого потребуются дополнительные затраты, например, для оптимизации процессов. Большой плюс для компании — ее открытость. Проверьте практику облачного провайдера, доступны ли клиентам статистика отказов, аварий, графики плановых работ и прочая информация, предусматриваемая Соглашением об уровне услуг. Необходимо проанализировать наличие и количество сертификатов на инфраструктуру, на сотрудников, количество выполненных проектов, перечень клиентов. Можно поискать отзывы на сторонних площадках, оценить степень текучести кадров и зарплатную политику. Не стоит доверять провайдеру, демонстрирующему излишнюю экономность, скорее всего вакансии с низкой оплатой труда это индикатор низкой квалификации провайдера. Стоит обратить внимание, оператором каких ЦОД является провайдер услуг, как организовано обслуживание и техническая поддержка, есть ли опыт и ресурсы для организации резервного копирования. До подписания договора важно понять обязательства провайдера в реализации вашего плана аварийного восстановления.Из договора должна возникать полная ясность что и в какие сроки обязан сделать провайдер, какие услуги включены и что гарантирует сервис-провайдер, а что нет. Также нужно внимательно изучить договор на обслуживание или пользовательское соглашение и приложения к ним. Там должно быть прописано, что происходит в случае задержки оплаты сервиса: сколько времени даст сервис-провайдер на погашение задолженности, прежде чем отключить виртуальный сервер или удалить данные. Для этого стоит изучить сайт и техническую документацию, а после этого для надежности уточнить информацию непосредственно у сотрудников компании.