Персональные данные: защищать, не защищать или защищаться?
Закон «О персональных данных», принятие которого неоднократно откладывалось, с 1 июля вступил в действие. То есть прошел уже месяц с тех пор как на всех предприятиях, имеющих дело с персональными данными – должны быть внедрены соответствующие требованиям закона системы защиты таких данных. Однако, по словам экспертов, большинство предпринимателей даже не слышали об этом законе, не говоря уже о том, чтобы исполнять его. Мы попробовали посчитать, во что обойдется среднестатистическому малому предприятию система защиты персональных данных – уже только по этой цифре можно будет понять, насколько закон будет исполняться.
Риски
По оценке представителей компаний, работающих в сфере разработки и внедрения систем защиты персональных данных (далее ПДн), соответствующие закону системы внедрены и работают лишь в крупных государственных и частных предприятиях (в основном в финансово-кредитных учреждениях), имеющих собственные подразделения по информационной безопасности.
Однако, закон един для всех. Чтобы убедиться в этом, достаточно взглянуть на опубликованный Роскомнадзором план проведения проверок юридических лиц и индивидуальных предпринимателей на 2011 год. Из него следует, что проверяют не только крупные финансовые организации и министерства, но и представителей среднего и малого бизнеса.
Факт остается фактом: федеральный закон распространяется на любые организации и учреждения всех форм собственности, в том числе на индивидуальных предпринимателей, имеющих в штате хотя бы одного работника. В первую очередь вопрос защиты ПДн должен быть проработан в организациях, обрабатывающих большие массивы данных частных лиц: управляющих компаниях в ЖКХ, медицинских и учебных учреждениях, кредитных и финансовых организациях, у операторов услуг связи и т.п. Утечки сведений, обрабатываемых этими организациями, грозит значительными штрафами, приостановлением деятельности, а также уголовной ответственностью.
Казалось бы, риск плановой проверки не велик, однако всегда существует риск внепланового визита проверяющих структур, связанный с недобросовестными конкурентами, обиженными сотрудниками и третьими лицами. Даже одна жалоба на несоблюдение требований закона по обработке ПДн может обернуться серьезными неприятностями.
Неприятности – проверки, выявляющие нарушения и влекущие за собой предписания и санкции. В зависимости от тяжести нарушений это может быть как административный штраф до 500 000 рублей и должностное взыскание, так и уголовная ответственность с лишением свободы сроком до 5 лет.
Как это делается?
По мнению специалистов, в самом алгоритме внедрения систем защиты персональных данных нет ничего сложного. Сложность заключается в том, чтобы найти компетентных людей, которые смогут этот алгоритм реализовать, а также достаточно времени и денег.
Судите сами: прежде всего, вам нужно сформировать рабочую группу из ключевых специалистов организации (бухгалтер, юрист, кадровик, системный администратор и т.д.). Ее задача – разработать план мероприятия и назначить ответственного за внедрение режима защиты и обработку персональной информации.
В дальнейшем членам рабочей группы необходимо провести большой объем аналитической работы: определить перечень и носители ПДн, лиц, участвующих в их обработке, а так же принципы и средства обработки конфиденциальной информации, провести оценку соответствия существующей информационной системы обработки информации требованиям законодательства и смоделировать актуальные угрозы безопасности ПДн. В результате проведенного аудита безопасности и анализа угроз должно быть составлено техническое задание на создание информационной системы ПДн в защищенном исполнении. Завершающим этапом работы является разработка объемного пакета нормативных документов, регламентирующих обработку и защиту персональных данных.
Имея компетентных специалистов, организация может заняться постановкой режима защиты ПДн самостоятельно. В случае их отсутствия, нехватки времени или значительного объема работ, целесообразнее обратиться к организациям, предоставляющим услуги в области защиты информации.
Их стоимость зависит от различных факторов, и в первую очередь от глубины проработки мероприятий по защите ПДн. К примеру, стоимость необходимых типовых организационно-распорядительных и нормативных документов составляет 20-25 тысяч рублей. При этом вы будете самостоятельно адаптировать документы под вашу организацию, а также нести полную ответственность за проектирование и постановку режима защиты персональных данных.
Организационная помощь, проведение аудита информационной безопасности, моделирование угроз, разработка мер по защите и внедрение организационных и нормативных документов будет стоить для среднего предприятия от 45 до 60 тысяч рублей.
Заключительным этапом внедрения режима защиты является установка и настройка необходимых программно-технических средств по следующим направлениям защиты:
– Защита информации от несанкционированного доступа – пресечение попыток преднамеренного или случайного доступа к ПДн. Данное направление предполагает установку на каждый компьютер, за которым обрабатываются ПДн, специальных программных или технических устройств, исключающих любые несанкционированные действия как со стороны злоумышленников, так и со стороны сотрудников организации. Стоимость таких средств защиты варьируется от 4500 до 8000 тысяч рублей на один компьютер;
– Защита от вторжений при межсетевом взаимодействии – обнаружение и предотвращение сетевых атак. Стоимость программно-технических решений в этой области может составлять от 15 до 140 тысяч рублей, в зависимости от функционала и марки программно-аппаратного комплекса;
– Тест-программа, имитирующая попытки несанкционированного доступа – стоимость ее от 5700 рублей в год за 1 лицензию (не обязательно);
– Защита от вредоносных программ осуществляется с помощь антивирусного ПО. Антивирусная программа должна быть установлена на каждый компьютер, участвующий в обработке персональных данных. Стоимость лицензионных антивирусных программ существенно варьируется и составляет в среднем от 500-900 рублей на 1 компьютер в зависимости от количества приобретаемых лицензий.
При выборе средств защиты информации важно обратить внимание на наличие у них сертификата ФСТЭК, подтверждающего соответствие продукта требованиям по защите ПДн.
Итого: минимальный набор программных средств и документов, необходимых для внедрения (например, для защиты одного компьютера) обойдется малому предприятию в 40 тысяч рублей. Данные затраты для небольшого предприятия могут быть обременительными.
Помимо денежных вложений, сам по себе процесс внедрения системы защиты персональных данных, начиная с организационных мероприятий и заканчивая проектированием системы защиты информации, является очень трудоемким, что тоже следует отнести к инвестициям. Однако скупой платит дважды. Лучше вложить средства в защиту персональных данных сегодня, нежели заплатить штраф завтра. Федеральный закон был принят 5 лет назад и его вступление в полную силу неоднократно откладывалось, но с 1 июля этого года все его требования обязательны для всех предприятий и организаций и отменять их никто не будет. Следовательно, вам рано или поздно предстоит установить режим защиты ПДн, вопрос лишь в том – какой ценой?
Мнение
Фадеев Юрий Иванович, к.т.н., зам. директора по безопасности ГК «Интерком»:
К защите персональных данных необходимо относиться со всей ответственностью, тщательно взвешивая возможные угрозы и их последствия. Если вероятность риска, умноженная на величину ущерба от неисполнения закона, значимы для вас и вашей организации, лучше вложить средства в постановку режима защиты персональных данных сегодня, не дожидаясь проверок со стороны органов-регуляторов и штрафных санкций, которые в совокупности лишь увеличит ваши расходы.
Но при этом важно объективно подходить к вопросу обеспечения информационной безопасности. Если вы хотя бы приступили к внедрению режима защиты персональных данных и выполнили более половины требований закона, то у проверяющих органов к вам будет гораздо меньше вопросов и риск серьезных наказаний минимален. Из опыта, могу сказать, что в первую очередь ФСТЭК, ФСБ и Роскомнадзор обращают внимание на организационно-правовой блок – наличие комплекта документов, регламентирующих обработку и защиту персональных данных. Если необходимый пакет документов внедрен, персонал осведомлен о порядке обработки и защиты персональных данных, а технические средства защиты информации находятся на этапе внедрения, значит, вам уже не страшны ни жалобы конкурентов, ни доносы уволенного персонала, ни плановые проверки. Выполнение закона – самая лучшая защита от возможных санкций.
Внедрение режима защиты персональных данных требует от руководителей не только финансовых затрат, но и наличия специалистов, способных провести все необходимые организационные и технические мероприятия с учетом требований закона. Если вы предпочитаете доверить столь серьезный вопрос квалифицированным специалистам, то лучше обратиться к услугам сторонней организации, имеющей опыт проведения аудита информационной безопасности, моделирования угроз, проектирования систем защиты и разработки нормативных документов. К примеру, компания «Интерком» предлагает организациям различные варианты оказания услуг в области защиты и обработки ПДн: от предоставления пакета шаблонов нормативно-правовых документов и консультаций до полного внедрения системы защиты, включая подбор и установку средств защиты персональных данных. Вы сможете выбрать наиболее подходящий и доступный для вас вариант сотрудничества. Обезопасьте свой бизнес заблаговременно, чтобы неприятности обошли вас стороной.
ГК «Интерком»
г. Ижевск, ул. В.Сивкова, 112
тел. (3412) 502-402
www.intercom18.ru