Персональные данные: защищать, не защищать или защищаться?

Закон «О персональных данных», принятие которого неоднократно откладывалось, с 1 июля вступил в действие. То есть прошел уже месяц с тех пор как на всех предприятиях, имеющих дело с персональными данными – должны быть внедрены соответствующие требованиям закона системы защиты таких данных. Однако, по словам экспертов, большинство предпринимателей даже не слышали об этом законе, не говоря уже о том, чтобы исполнять его. Мы попробовали посчитать, во что обойдется среднестатистическому малому предприятию система защиты персональных данных – уже только по этой цифре можно будет понять, насколько закон будет исполняться.

Риски

По оценке представителей компаний, работающих в сфере разработки и внедрения систем защиты персональных данных (далее ПДн), соответствующие закону системы внедрены и работают лишь в крупных государственных  и частных предприятиях (в основном в финансово-кредитных учреждениях), имеющих собственные подразделения по информационной безопасности.

Однако, закон един для всех. Чтобы убедиться в этом, достаточно взглянуть на опубликованный Роскомнадзором план проведения проверок юридических лиц и индивидуальных предпринимателей на 2011 год. Из него следует, что проверяют не только крупные финансовые организации и министерства, но и представителей среднего и малого бизнеса.

Факт остается фактом: федеральный закон распространяется на любые организации и учреждения всех форм собственности,  в том числе на индивидуальных предпринимателей, имеющих в штате хотя бы одного работника. В первую очередь вопрос защиты ПДн должен быть проработан в организациях, обрабатывающих большие массивы данных частных лиц: управляющих компаниях в ЖКХ, медицинских и учебных учреждениях, кредитных и финансовых организациях,  у операторов услуг связи и т.п. Утечки сведений, обрабатываемых этими организациями, грозит значительными штрафами, приостановлением деятельности, а также уголовной ответственностью.

Казалось бы, риск плановой проверки не велик, однако  всегда существует риск внепланового визита проверяющих структур, связанный с недобросовестными конкурентами, обиженными сотрудниками и третьими лицами. Даже одна жалоба на несоблюдение требований закона по обработке ПДн может обернуться серьезными неприятностями.

Неприятности – проверки, выявляющие нарушения и влекущие за собой предписания и санкции. В зависимости от тяжести нарушений это может быть как административный штраф до 500 000 рублей и должностное взыскание, так и уголовная ответственность с лишением свободы сроком до 5 лет.

Как это делается?

По мнению специалистов, в самом алгоритме внедрения систем защиты персональных данных нет ничего сложного. Сложность заключается в том, чтобы найти компетентных людей, которые смогут этот алгоритм реализовать, а также достаточно времени и денег.

Судите сами: прежде всего, вам нужно сформировать рабочую группу из ключевых специалистов организации (бухгалтер, юрист, кадровик, системный администратор и т.д.). Ее задача —  разработать план мероприятия и назначить ответственного за внедрение режима защиты и обработку персональной информации.

В дальнейшем членам рабочей группы необходимо провести большой объем аналитической работы: определить перечень и носители ПДн, лиц, участвующих в их обработке, а так же принципы и средства обработки конфиденциальной информации, провести оценку соответствия существующей  информационной системы обработки информации требованиям законодательства и смоделировать актуальные угрозы безопасности ПДн. В результате проведенного аудита безопасности и анализа угроз должно быть составлено техническое задание на создание информационной системы ПДн в защищенном исполнении. Завершающим этапом работы является разработка объемного пакета нормативных документов, регламентирующих обработку и защиту  персональных данных.

Имея компетентных специалистов, организация может заняться постановкой режима защиты ПДн самостоятельно. В случае их отсутствия, нехватки времени или значительного объема работ, целесообразнее обратиться к организациям, предоставляющим услуги в области защиты информации.

Их стоимость зависит от различных факторов, и в первую очередь от глубины проработки мероприятий по защите ПДн. К примеру, стоимость необходимых типовых организационно-распорядительных и нормативных документов составляет 20-25 тысяч рублей. При этом вы будете самостоятельно адаптировать документы под вашу организацию, а также нести полную ответственность за  проектирование и постановку режима защиты персональных данных.

Организационная помощь, проведение аудита информационной безопасности, моделирование угроз, разработка мер по защите и внедрение организационных и нормативных документов будет стоить для среднего  предприятия от 45 до 60 тысяч рублей.

Заключительным этапом внедрения режима защиты является установка и настройка необходимых программно-технических средств по следующим направлениям защиты:

— Защита информации от несанкционированного доступа – пресечение попыток преднамеренного или случайного доступа к ПДн. Данное направление предполагает установку на каждый компьютер, за которым обрабатываются ПДн, специальных программных или технических устройств, исключающих любые несанкционированные действия как со стороны злоумышленников, так и со стороны сотрудников организации. Стоимость таких средств защиты варьируется от 4500 до 8000 тысяч рублей на один компьютер;

— Защита от вторжений при межсетевом взаимодействии – обнаружение и предотвращение сетевых атак. Стоимость программно-технических решений в этой области может составлять от 15 до 140 тысяч рублей, в зависимости от функционала и марки  программно-аппаратного комплекса;

— Тест-программа,  имитирующая попытки несанкционированного доступа  —  стоимость ее от  5700 рублей в год за 1 лицензию (не обязательно);

— Защита от вредоносных программ осуществляется с помощь антивирусного ПО.  Антивирусная программа должна быть установлена на каждый компьютер, участвующий в обработке персональных данных. Стоимость лицензионных антивирусных программ существенно варьируется и составляет в среднем от 500-900 рублей на  1 компьютер в зависимости от количества приобретаемых лицензий.

При выборе средств защиты информации важно обратить внимание на  наличие у них сертификата ФСТЭК, подтверждающего соответствие продукта требованиям по защите ПДн.

Итого: минимальный набор программных средств и документов, необходимых для внедрения (например, для защиты одного компьютера) обойдется малому предприятию в 40 тысяч рублей. Данные затраты для небольшого предприятия  могут быть обременительными.

Помимо денежных вложений, сам по себе процесс внедрения системы защиты персональных данных, начиная с организационных мероприятий и заканчивая проектированием системы защиты информации, является очень трудоемким, что тоже следует отнести к инвестициям.  Однако скупой платит дважды. Лучше вложить средства в защиту персональных данных сегодня, нежели заплатить штраф завтра.  Федеральный закон был принят 5 лет назад и его вступление в полную силу неоднократно откладывалось, но с 1 июля этого года все его требования обязательны для всех предприятий и организаций и отменять их никто не будет. Следовательно, вам рано или поздно предстоит установить режим защиты ПДн, вопрос лишь в том – какой ценой?

 

Мнение

Фадеев Юрий Иванович,   к.т.н., зам. директора по безопасности  ГК «Интерком»:

К защите персональных данных необходимо относиться со всей ответственностью, тщательно взвешивая возможные угрозы и их последствия. Если вероятность риска, умноженная на величину ущерба от неисполнения закона, значимы для вас и вашей организации, лучше вложить средства в постановку режима защиты персональных данных сегодня, не дожидаясь проверок со стороны органов-регуляторов и штрафных санкций, которые в совокупности лишь увеличит ваши расходы.

Но при этом важно объективно подходить к вопросу обеспечения информационной безопасности. Если вы хотя бы приступили к внедрению режима защиты персональных данных и выполнили более половины требований закона, то у проверяющих органов к вам будет  гораздо меньше вопросов и риск серьезных наказаний минимален.  Из опыта, могу сказать, что в первую очередь  ФСТЭК, ФСБ и Роскомнадзор обращают внимание на организационно-правовой блок – наличие комплекта документов, регламентирующих обработку и защиту персональных данных. Если необходимый пакет документов внедрен, персонал осведомлен о порядке обработки и защиты персональных данных, а технические средства защиты информации находятся на этапе внедрения, значит, вам уже не страшны ни жалобы конкурентов, ни доносы уволенного персонала, ни плановые проверки. Выполнение закона – самая лучшая  защита от возможных санкций.

Внедрение режима защиты персональных данных требует от руководителей не только финансовых затрат, но и наличия специалистов, способных провести все необходимые организационные и технические мероприятия с учетом требований закона. Если вы предпочитаете доверить столь серьезный вопрос квалифицированным специалистам, то лучше обратиться к услугам сторонней организации, имеющей опыт проведения аудита информационной безопасности, моделирования угроз, проектирования систем защиты и разработки нормативных документов. К примеру, компания «Интерком» предлагает организациям различные варианты оказания услуг в области защиты и обработки ПДн:   от предоставления  пакета шаблонов нормативно-правовых документов и консультаций до полного внедрения системы защиты, включая  подбор и установку средств защиты персональных данных. Вы сможете выбрать наиболее подходящий и доступный для вас вариант сотрудничества. Обезопасьте свой бизнес заблаговременно,  чтобы неприятности обошли вас стороной.

 

ГК «Интерком»
г. Ижевск, ул. В.Сивкова, 112
тел. (3412) 502-402
www.intercom18.ru

Добавить комментарий

Ваш e-mail не будет опубликован.