КОМАНДА, которой ДОВЕРЯЮТ 15 лет

(347) 252-52-08        252-52-17       252-38-98       252-34-36       252-50-67       298-10-40      252-55-50


Защита персональных данных по ФЗ 152

ВЕХИ ИСТОРИИ:

2006 год - федеральный закон ФЗ № 152 «О персональных данных» принят в первой редакции

5 февраля 2010 года – приказ ФСТЭК РФ № 58 об организационных и технических мерах по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) различных уровней защищенности – дает некоторую ясность в практике применения закона

1 июля 2011 года - федеральный закон ФЗ № 152 «О персональных данных» вступил в ПОЛНУЮ силу

1 ноября 2012 года - постановление Правительства РФ № 1119 определяет уровни защищенности ИСПДн

2 июня 2013 года - приказ ФСТЭК РФ № 21 об утверждении состава и содержания организационных и техническим мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных - отменяет приказ 58 (см выше), устанавливая состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) различных уровней защищенности, определенных в соответствии с постановлением Правительства РФ № 1119 от 01.11.12 г.

Ознакомиться с текстом нового приказа можно на сайте ФСТЭК

КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ в процессе обеспечения безопасности персональных данных, связанные с действием приказа № 21:

 1.   Окончательно отпала необходимость в старой схеме классификации ИСПДн. Классификация по классам К1-К4 не действительна. Изменились правила защиты ИСПДн, обрабатывающих общедоступные и обезличенные персональные данные.

 2.   Существенно изменился и расширился перечень мер защиты персональных данных. Выделено 15 групп мероприятий, в том числе по защите сред виртуализации и машинных носителей информации.

 3.   Изменился подход к выбору необходимых мер защиты. Итоговый перечень формируется на основе базовых, компенсирующих и дополнительных мер, что позволяет, при наличии достаточной квалификации в области информационной безопасности, построить достаточно гибкую систему защиты.

 4.   Определены новые организационные меры, требующие доработки имеющейся внутренней распорядительной документации. Например, появилось требование по регулярной оценке эффективности реализованных мер, а также требования по обработке инцидентов и управлению конфигурациями.

Поскольку с персональными данными - минимум своих сотрудников - работает практически любая компания, то действие закона ФЗ № 152 по приведению информационных систем персональных данных (ИСПДн) распространяется на самый широкий круг предприятий - и Ваше, скорее всего, в том числе.

И Вы – как оператор ПД - обязаны привести свои информационные системы в соответствие с требованиями закона.

«Динамичная» статистика проверок Роскомнадзора свидетельствует о наличии серьезных проблем в сфере защиты ИСПДн, вызванных - на наш взгляд - недоработками законодательства и отсутствием квалифицированных в этой области кадров.

Недоработки порождают разночтение и, как следствие, множество вопросов у юристов, кадровиков и сотрудников IT-отделов клиентов, не располагающих практическим опытом построения ИСПДн.

А если добавить к этому еще разное видение исполнения требований закона разными отделами Ваших компаний - то часто ситуация становится тупиковой, ибо на незнание и несовершенство закона налагается еще и человеческий фактор….

5 декабря 2013 года - решение Совета по защите информации при Президенте Республики Башкортостан о необходимости завершения формирования объектовых систем защиты информации государственных органов в срок до 30 сентября 2014 года.

Но - хватит минора - переходим к позитиву:

Как много дел считались невозможными, пока они не были осуществлены». (Плиний Старший)

Поэтому строим ПЛАН решения задачи - а в нем ВСЕГО 5 пунктов:

ПЕРВОЕ и главное - понять, что выполнять требования закона - несмотря на все его несовершенства и ПОСТОЯННЫЕ доработки и усовершенствования - НУЖНО.

Если в Вашей организации уже приняты меры по обеспечению безопасности персональных данных, то рекомендуем провести анализ их актуальности и достаточности с учетом последних изменений законодательства.

Если же Вы, по каким-то причинам, еще не занимались вопросом защиты персональных данных – советуем не откладывать его решение в долгий ящик – делать то все равно нужно.

Вторым шагом – проверяем сайты Прокуратуры и Роскомнадзора на текущий год – нет ли нас в списке плановых проверок.

Есть – сильно ускоряемся.

Нет – тоже двигаемся к решению задачи, ибо год – это немного, и его как раз хватит на решение вопроса.

Третье - осознаем, что для соответствия ИСПДн требованиям ФЗ № 152 должен быть реализован комплекс организационно-технических мер по обеспечению защиты персональных данных, который минимально включает:

- классификацию информационных систем персональных данных;

- анализ и построение моделей угроз безопасности персональных данных;

- формирование на основании выявленных угроз и руководящих документов (ФЗ 152, инструкции ФСТЭК и иных регуляторов) набора требований, предъявляемых именно к Вашей ИСПДн;

- разработку комплекта организационно-распорядительной документации, регламентирующей деятельность организации по защите персональных данных в организации;

- подбор, поставку и внедрение средств защиты информации, сертифицированных в системе ФСТЭК и ФСБ России.

Четвертое - выбираем для себя вариант решения данной задачи- из трех возможных:

  1. Делаем все сами - ибо кто лучше нас знает все про защиту ИСПДн (рекомендуется только при наличие в штате специалиста-практика, перешедшего на работу к Вам из организации, специализирующейся на защите информации. На наш взгляд, самый первоначально дешевый вариант, но… его длительность и полная зависимость от данного специалиста часто приводит к росту стоимости проекта)
  2. Делаем многое сами - на базе подготовленных для нас шаблонов и под контролем экспертов - призвав на помощь специалистов в области информационной безопасности для консультаций и экспертного контроля, которые проведут нас по всем этапам и разработают нужные документы 
    (рекомендуемый нами вариант - эксперты-исполнители знают правила и требования закона, а Вы прекрасно знаете свою организацию - итоговый симбиоз дает самые эффективные решения - на фоне существенной экономии Вашего бюджета)
  3. Целиком отдаем все работы на внешнее исполнение (самый быстрый вариант, из минусов - самый дорогой)

Обращаем Ваше внимание - мы ПРИЗЫВАЕМ игнорировать вариант «делаем сами, а нас проконсультирует дядя Ваня - он крутой специалист, и обойдется нам дешево….» -

обычно (из нашего опыта) такие проекты в итоге становятся ОЧЕНЬ дороги:

клиент, заплатив дяде Ване, и потеряв кучу времени, ничего не получает (не считая штрафов по итогам проверки) и вынужден платить второй раз за ИСПДн - уже специалистам

Пятое - начинаем и приводим ИСПДн в полное соответствие с ФЗ 152

Есть вопросы?

ПИШИТЕ и ЗВОНИТЕ

- мы поможем и Вам - подготовить ИСПДн и пройти проверку Роскомнадзора ВОВРЕМЯ и СПОКОЙНО.