Защита персональных данных по ФЗ 152
ВЕХИ ИСТОРИИ:
2006 год - федеральный закон ФЗ № 152 «О персональных данных» принят в первой редакции
5 февраля 2010 года – приказ ФСТЭК РФ № 58 об организационных и технических мерах по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) различных уровней защищенности – дает некоторую ясность в практике применения закона
1 июля 2011 года - федеральный закон ФЗ № 152 «О персональных данных» вступил в ПОЛНУЮ силу
1 ноября 2012 года - постановление Правительства РФ № 1119 определяет уровни защищенности ИСПДн
2 июня 2013 года - приказ ФСТЭК РФ № 21 об утверждении состава и содержания организационных и техническим мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных - отменяет приказ 58 (см выше), устанавливая состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) различных уровней защищенности, определенных в соответствии с постановлением Правительства РФ № 1119 от 01.11.12 г.
Ознакомиться с текстом нового приказа можно на сайте ФСТЭК
КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ в процессе обеспечения безопасности персональных данных, связанные с действием приказа № 21:
1. Окончательно отпала необходимость в старой схеме классификации ИСПДн. Классификация по классам К1-К4 не действительна. Изменились правила защиты ИСПДн, обрабатывающих общедоступные и обезличенные персональные данные.
2. Существенно изменился и расширился перечень мер защиты персональных данных. Выделено 15 групп мероприятий, в том числе по защите сред виртуализации и машинных носителей информации.
3. Изменился подход к выбору необходимых мер защиты. Итоговый перечень формируется на основе базовых, компенсирующих и дополнительных мер, что позволяет, при наличии достаточной квалификации в области информационной безопасности, построить достаточно гибкую систему защиты.
4. Определены новые организационные меры, требующие доработки имеющейся внутренней распорядительной документации. Например, появилось требование по регулярной оценке эффективности реализованных мер, а также требования по обработке инцидентов и управлению конфигурациями.
Поскольку с персональными данными - минимум своих сотрудников - работает практически любая компания, то действие закона ФЗ № 152 по приведению информационных систем персональных данных (ИСПДн) распространяется на самый широкий круг предприятий - и Ваше, скорее всего, в том числе.
И Вы – как оператор ПД - обязаны привести свои информационные системы в соответствие с требованиями закона.
«Динамичная» статистика проверок Роскомнадзора свидетельствует о наличии серьезных проблем в сфере защиты ИСПДн, вызванных - на наш взгляд - недоработками законодательства и отсутствием квалифицированных в этой области кадров.
Недоработки порождают разночтение и, как следствие, множество вопросов у юристов, кадровиков и сотрудников IT-отделов клиентов, не располагающих практическим опытом построения ИСПДн.
А если добавить к этому еще разное видение исполнения требований закона разными отделами Ваших компаний - то часто ситуация становится тупиковой, ибо на незнание и несовершенство закона налагается еще и человеческий фактор….
5 декабря 2013 года - решение Совета по защите информации при Президенте Республики Башкортостан о необходимости завершения формирования объектовых систем защиты информации государственных органов в срок до 30 сентября 2014 года.
Но - хватит минора - переходим к позитиву:
Как много дел считались невозможными, пока они не были осуществлены». (Плиний Старший)
Поэтому строим ПЛАН решения задачи - а в нем ВСЕГО 5 пунктов:
ПЕРВОЕ и главное - понять, что выполнять требования закона - несмотря на все его несовершенства и ПОСТОЯННЫЕ доработки и усовершенствования - НУЖНО.
Если в Вашей организации уже приняты меры по обеспечению безопасности персональных данных, то рекомендуем провести анализ их актуальности и достаточности с учетом последних изменений законодательства.
Если же Вы, по каким-то причинам, еще не занимались вопросом защиты персональных данных – советуем не откладывать его решение в долгий ящик – делать то все равно нужно.
Вторым шагом – проверяем сайты Прокуратуры и Роскомнадзора на текущий год – нет ли нас в списке плановых проверок.
Есть – сильно ускоряемся.
Нет – тоже двигаемся к решению задачи, ибо год – это немного, и его как раз хватит на решение вопроса.
Третье - осознаем, что для соответствия ИСПДн требованиям ФЗ № 152 должен быть реализован комплекс организационно-технических мер по обеспечению защиты персональных данных, который минимально включает:
- классификацию информационных систем персональных данных;
- анализ и построение моделей угроз безопасности персональных данных;
- формирование на основании выявленных угроз и руководящих документов (ФЗ 152, инструкции ФСТЭК и иных регуляторов) набора требований, предъявляемых именно к Вашей ИСПДн;
- разработку комплекта организационно-распорядительной документации, регламентирующей деятельность организации по защите персональных данных в организации;
- подбор, поставку и внедрение средств защиты информации, сертифицированных в системе ФСТЭК и ФСБ России.
Четвертое - выбираем для себя вариант решения данной задачи- из трех возможных:
- Делаем все сами - ибо кто лучше нас знает все про защиту ИСПДн (рекомендуется только при наличие в штате специалиста-практика, перешедшего на работу к Вам из организации, специализирующейся на защите информации. На наш взгляд, самый первоначально дешевый вариант, но… его длительность и полная зависимость от данного специалиста часто приводит к росту стоимости проекта)
- Делаем многое сами - на базе подготовленных для нас шаблонов и под контролем экспертов - призвав на помощь специалистов в области информационной безопасности для консультаций и экспертного контроля, которые проведут нас по всем этапам и разработают нужные документы
(рекомендуемый нами вариант - эксперты-исполнители знают правила и требования закона, а Вы прекрасно знаете свою организацию - итоговый симбиоз дает самые эффективные решения - на фоне существенной экономии Вашего бюджета) - Целиком отдаем все работы на внешнее исполнение (самый быстрый вариант, из минусов - самый дорогой)
Обращаем Ваше внимание - мы ПРИЗЫВАЕМ игнорировать вариант «делаем сами, а нас проконсультирует дядя Ваня - он крутой специалист, и обойдется нам дешево….» -
обычно (из нашего опыта) такие проекты в итоге становятся ОЧЕНЬ дороги:
клиент, заплатив дяде Ване, и потеряв кучу времени, ничего не получает (не считая штрафов по итогам проверки) и вынужден платить второй раз за ИСПДн - уже специалистам
Пятое - начинаем и приводим ИСПДн в полное соответствие с ФЗ 152
Есть вопросы?
- мы поможем и Вам - подготовить ИСПДн и пройти проверку Роскомнадзора ВОВРЕМЯ и СПОКОЙНО.