Советы практиков: как поэтапно построить защиту персональных данных?

Интервью с Константином Совалиным, коммерческим директором компании ReignVox

- Константин, к Вам вопрос как к представителю компании - опытного профессионала на рынке защиты персональных данных (ПД): какие меры должны предпринять операторы ПД, чтобы соответствовать законодательству?

- Практически каждый оператор ПД в соответствии с требованиями закона должен провести комплекс организационных и технических мероприятий. К организационным мероприятиям можно отнести:

• оформление правового основания обработки персональных данных;
• направление в уполномоченный орган (Роскомнадзор) уведомления о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
• получение письменного согласия субъектов ПД (физических лиц) на обработку ПД в случаях, когда этого требует законодательство;
• пересмотр договора с субъектами ПД в части обработки ПД (например, в договор может быть включено согласие субъекта на обработку и передачу его ПД);
• установка сроков обработки ПД и процедуры их уничтожения по окончании срока обработки;
• ограничение доступа работников к ПД (сотрудники наделяются минимальными полномочиями доступа, необходимыми для выполнения ими своих обязанностей, например, могут иметь права только на просмотр ПД);
• документальное регламентирование работы с ПД (разработка положения по обработке персональных данных, регламенты, положения по защите персональных данных и т.д.);
• организация повышения квалификации сотрудников в области защиты персональных данных;
• получение лицензии на техническую защиту конфиденциальной информации (в случае необходимости);
• создание системы защиты информационной системы персональных данных.

Что же касается технических мер по защите ПД, то они выполняются в соответствии с нормативно-методическими документами регуляторов. При этом отдельные виды работ по технической защите конфиденциальной информации могут осуществляться только при наличии соответствующих лицензий.

Комплекс мероприятий по технической защите ПД включает в себя:

• инвентаризацию информационных ресурсов с целью выявления присутствия и обработки в них ПД;
• классификацию информационных систем персональных данных (ИСПД);
• выявление угроз безопасности и разработку моделей угроз и нарушителя в случае необходимости;
• создание системы защиты персональных данных (СЗПД), в том числе выполнение требований по инженерно-технической защите помещений (пожарная безопасность, охрана, электропитание и заземление, санитарные и экологические требования) в соответствии с требованиями регуляторов;
• аттестацию (сертификацию) СЗПД или декларирование соответствия по требованиям безопасности ПД в случаях, когда это необходимо;
• развертывание и ввод в эксплуатацию СЗПД в ИСПД;
• эксплуатацию ИСПД и контроль безопасности ПД.

Официальным подтверждением того, что СЗПД соответствует требованиям по защите ПД, является Аттестат соответствия требованиям по безопасности информации.

То есть обеспечение безопасности ПД оказывается для оператора сложной, трудоемкой, затратной работой, вследствие чего становится актуальным решение вопроса о передаче данных работ на аутсорсинг. Для этого необходимо уже сейчас детально продумать перечень работ для передачи внешнему исполнителю, специализирующемуся в сфере защиты конфиденциальной информации.

- Константин, можете ли Вы сказать, сколько стоит защита персональных данных в компании, а также сколько времени уходит на вышеперечисленные мероприятия?

- Для приведения своих систем в соответствие требованиям законодательства операторы вынуждены модернизировать свои системы защиты данных, что связано с определенными финансовыми затратами. Стоимость модернизации определяется для каждого оператора индивидуально и зависит от того, насколько высокий текущий уровень защищенности имеют его информационные системы. Дело в том, что те компании, которые всегда уделяли должное внимание вопросам обеспечения ИБ, смогут ограничиться лишь применением необходимых организационных мер по защите и разработке корпоративной документации. Однако затраты компаний, осуществляющих обработку большого объема ПД граждан и до сих пор не предпринявших никаких мер по обеспечению ИБ, могут составлять миллионы рублей.

Все работы по проектированию и вводу в эксплуатацию СЗПД для информационных систем, созданных до дня вступления в силу Федерального закона О персональных данных, должны быть завершены не позднее 1 января 2010 г. При этом все ИСПД, вводимые в эксплуатацию после дня вступления в силу Федерального закона о персональных данных, уже должны соответствовать требованиям вышеуказанного закона.

Наша практика показывает, что разработка необходимой документации и требований по защите ПД занимает от трех до шести месяцев.