Потребность в защите

Федеральный закон «О персональных данных» обязывает организации, обрабатывающие персональную информацию, внедрить системы защиты персональных данных до 31 декабря 2010 года. По оценкам экспертов, в Удмуртии 99% коммерческих организаций до сих пор этого не сделали и подвергаются риску —ответственность за нарушение — от внушительных штрафов до уголовного наказания руководителя. СД выяснил, кому необходима система защиты персональных данных, что она собой представляет и где ее взять.

Касается каждого

Федеральный закон «О персональных данных» касается всех организаций, которые обрабатывают любую информацию о физических лицах — ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др. Формальным поводом для его принятия стали многочисленные кражи баз персональных данных в государственных и коммерческих структурах и их повсеместная продажа. Соответственно, по своему духу закон имеет первостепенное значение для организаций, которые в рамках основной деятельности регулярно обрабатывают информацию большого количества частных лиц: управляющих компаний в ЖКХ, больниц, поликлиник, финансовых учреждений, операторов сотовой связи, СМИ, школ, детских садов, вузов и т.п. Однако буква закона требует внедрения систем защиты персональных данных от всех без исключения государственных и муниципальных организаций, юридических лиц и даже индивидуальных предпринимателей, имеющих в штате хотя бы одного сотрудника — ведь любая из этих структур обрабатывает персональные данные как минимум своих работников.

На государственном уровне исполнение закона контролируют три надзорных органа: ФСБ России, Федеральная служба по техническому и экспортному контролю России (ФСТЭК) и Роскомнадзор. Они могут проверить любую организацию на предмет защиты персональных данных в плановом или внеплановом порядке. Причем для внеплановой проверки достаточно жалобы частного лица с указанием на нарушение закона о защите персональных данных, и эксперты не исключают, что в роли жалобщиков могут выступить и клиенты, недовольные обслуживанием, и сотрудники, которым не нравится зарплата, и недобросовестные конкуренты — словом, недоброжелатели, которые могут найтись у каждой организации.

В чем бы ни заключалась истинная причина жалобы, контролирующие органы обязаны отреагировать в сжатые сроки. И если система защиты персональных данных в организации отсутствует или не в полной мере удовлетворяет требованиям закона, последствия проверки могут быть весьма серьезными. В зависимости от выявленных нарушений, организации и ее должностным лицам закон предусматривает самые суровые наказания. В их числе: штрафы до 500 тысяч рублей; приостановление деятельности организации на срок до 3 месяцев; увольнение, дисквалификация должностного лица и лишение его права занимать должность на срок до 5 лет; исправительные работы на срок до 2 лет; лишение свободы на срок до 5 лет; возмещение ущерба, причиненного третьим лицам в связи с незаконным распространением персональных данных. Поэтому, как отмечают эксперты, выполнить требования закона и внедрить систему защиты персональных данных экономически выгоднее, чем подвергать организацию таким финансовым и репутационным рискам.

Слагаемые системы защиты

Многие считают, что основой системы защиты персональных данных являются технические и программные средства, предотвращающие несанкционированный доступ к личной информации. Однако это лишь одна из составляющих системы. На самом деле она представляет собой совокупность управленческих, организационных и технических решений. По сути, защита персональных данных — это бизнес-процесс, в организации которого специалисты выделяют три основных этапа.

На первом этапе необходимо провести аудит действующего порядка обработки персональных данных на предмет его соответствия требованиям закона и составить план устранения несоответствий.

Следующий шаг — разработка пакета внутренних нормативных документов организации, который включает в себя перечень персональных данных, регламенты их защиты и обработки, а также алгоритм для разграничения допуска и доступа сотрудников к персональной информации. По словам экспертов, руководящим органам требуется составить и утвердить порядка 15-20 положений, инструкций и приказов. Эта работа — самая трудоемкая часть процесса и в то же время самая важная, поскольку именно нормативные документы составляют порядка 80% системы защиты персональных данных, и именно на них в первую очередь обращают внимание надзорные органы при проведении проверок.

Разработка и внедрение программно-технических продуктов, направленных на предотвращение доступа к личным данным посторонних лиц и обеспечение их целостности и доступности для полномочных сотрудников организации, — это заключительный, третий, этап внедрения системы.

На первый взгляд, ничего сложного в этом нет. Но, как показывает практика, у многих руководителей затруднения возникают уже на первом этапе внедрения системы. Чтобы понять, насколько существующий порядок работы организации с персональными данными соответствует новому закону, требуются специальные знания в области законодательства. Дальше — больше: при разработке внутренних документов, которые лежат в основе системы, нужно учитывать требования, предъявляемые к ним надзорными органами, а значит, необходим определенный опыт работы в этой сфере. И, наконец, для внедрения программно-технического обеспечения системы нужны не только навыки в области IT, но и знание рынка такого рода продуктов. Поэтому, приступая к внедрению системы защиты персональных данных, большинству руководителей в первую очередь приходится решать вопрос подбора квалифицированных специалистов, которым можно доверить эту работу.

Способы внедрения

Первый, и самый очевидный способ внедрения системы защиты персональных данных — создать систему силами штатных сотрудников организации. В этом случае, по мнению экспертов, к решению задачи оптимально привлечь двух специалистов — юриста и представителя кадровой службы. Совместными усилиями они смогут подготовить базовые документы, необходимые для учета и обработки персональных данных сотрудников, но прежде им потребуется специальная подготовка.

Сегодня существуют различные семинары и курсы повышения квалификации по теме защиты персональных данных: одно- и трехдневные, а также рассчитанные на две недели занятий. Соответственно, отличается и уровень получаемых знаний, и стоимость обучения — она составляет примерно от 2 до 12 тыс. руб. Значит, на обучение двух сотрудников организация может потратить до 24 тысяч рублей. Однако теоретические знания — это еще не гарантия того, что на практике все будет сделано правильно и в полном объеме.

Наиболее адекватно провести аудит и описать информационную систему, а также предусмотреть программно-технические средства способны профессионалы, имеющие опыт работы в области защиты персональных данных и уже зарекомендовавшие себя на практике. Соответственно, второй способ внедрения системы защиты — принять в штат организации такого специалиста. Однако на республиканском рынке труда это большая редкость. За последние годы вузы Ижевска выпустили около 200 специалистов по направлению «Защита информации», которые могут разработать систему «под ключ». Но большинство из них сегодня уже работают на крупных предприятиях с коммерческой или государственной тайной или же являются сотрудниками специализированных организаций, оказывающих услуги по защите информации.

Обращение в организации, предлагающие консультационные, правовые и информационные услуги по защите персональных данных, — третий способ внедрения системы. Таких организаций в Ижевске — единицы, хотя этот вид деятельности не требует специальной сертификации и лицензирования. Стоимость их услуг достаточно высока, например, для организации из 10 человек, в которой установлено до 10 компьютеров, — от 30 000 рублей, причем в эту стоимость не входит приобретение программного и технического оснащения. Но специалисты называют эту цену оправданной, поскольку обращение к профессионалам гарантирует качество и относительно короткие сроки выполнения работ, а также экономию сил и времени штатных сотрудников. При этом специализированные организации могут в комплексе решать задачи по внедрению системы защиты персональных данных: как сформировать нормативно-организационную основу, так и подобрать программно-технические средства с учетом специфики личной информации и особенностей ее обработки заказчиком.

Можно выбрать и четвертый вариант — комбинированный, в котором часть мероприятий будет проведена силами штатных специалистов, а часть работ — обследование информационной системы, аудит уровня защищенности, анализ угроз — специализированной сторонней организацией.

Таким образом, каждое предприятие, в зависимости от размера, квалификации специалистов, уровня технической и информационной оснащенности, может подобрать оптимальный вариант внедрения системы защиты персональных данных. Но специалисты сходятся в одном: откладывать решение этой задачи не стоит, поскольку срок, отпущенный на это законом, истекает 31 декабря 2010 года.

Добавить комментарий

Ваш e-mail не будет опубликован.