Закону о защите персональных данных уже 13 лет и закон этот распространяется на все без исключения компании. Однако, несмотря на это, для многих руководителей компаний и ИТ-директоров тема защиты персональных данных до сих пор овеяна ореолом тайны. В данной статье я постараюсь кратко и без воды донести какие обязанности накладывает ФЗ-152 на рядовой бизнес, чем грозит неисполнение закона и как «можно», а также как «нужно» исполнять требования данного федерального закона.
Для совсем ленивых нужно знать следующее: ФЗ-152 обязателен для всех компаний. Максимальное наказание – штрафы до 290К рублей. Соответствовать закону можно формально (потратив порядка 20-30К рублей), а можно реально (требует изменений в ИТ-инфраструктуре). Если хотите совета голосом, то наш телефон +7 495 649-60-96 и почта info@depit.ru.
Ниже научу вас плохому… да и хорошему тоже научу:
Что грозит за нарушение ФЗ-152 и как «можно» исполнять закон обычному бизнесу
Традиционно в России уровень того как «можно» вести дела определяется исходя не из буквы закона, а исходя из предусмотренного за его нарушение наказания. Наказания за нарушение ФЗ-152 определены в КОАП 13.11 и, если вы разозлите Роскомнадзор на полную, оштрафовать вас могут на сумму до 290 тысяч рублей по совокупности статей.
Несмотря на суровость предусмотренных наказаний, налагаются они исключительно за нарушение общих процедур обработки персональных данных, а также на нарушения правил НЕавтоматической обработки. То есть, с точки зрения карательной системы, всем плевать, что вы храните чьи-то персональные данные в открытом доступе в сети Интернет. Главное – это то, что вы берете согласие на обработку персональных данных, у вас прописаны регламенты и процедуры обработки, а также что персональные данные на бумажных носителях (трудовые книжки, личные дела и подобное) лежат в закрытом сейфе.
Таким образом, для «формального» соответствия требованиям ФЗ-152, вам достаточно обложиться типовым набором приказов и распоряжений, выполнять ряд общих требований и спать спокойно. Все эти документы уже давно пишутся под копирку, и вы можете как самостоятельно найти нужные шаблоны в Интернете, так и заказать разработку полного комплекта документов на рынке за 20-30 тысяч рублей. Компаний, оказывающих такие услуги, полно, а цены и результат везде практически одинаковые.
Существует еще один сценарий «выполнения» требований ФЗ-152 для экстремалов – игнорировать его. Если вы храните и обрабатываете персональные данные только своих собственных сотрудников, то по закону вы не обязаны регистрироваться в качестве обработчика персональных данных и проверка к вам придет только в случае, если кто-то на вас пожалуется. Однако, даже если у вас в компании круговая порука между сотрудниками, я все-равно рекомендовал бы вам хотя бы прочитать ФЗ-152 и, как минимум, собирать согласия на обработку персональных данных с ваших работников.
Однако если обозначенный выше подход вам претит и персональные данные клиентов и сотрудников вы хотите защищать не для галочки, а со всей ответственностью, то к формальным требованиям по защите информации добавятся еще и вполне конкретные технические мероприятия:
Технические требования по защите персональных данных в соответствии с ФЗ-152 для обычного бизнеса
Для полноценной защиты персональных данных в соответствии с ФЗ-152, помимо обозначенной в предыдущем разделе формальной стороны вопроса, необходимо применять еще и вполне конкретные технические решения. Какие это технические решения – расписано в Постановлении РФ №1119 и приказе ФСТЭК №21.
Если ваша компания – это обычный бизнес, который не собирает сторонних персональных данных, а хранят и обрабатывают персональные данные только своих собственных сотрудников, то защищать персональные данные ваша компания должна по третьему и четвертому уровню защиты в соответствии с ФСТЭК №21. Эти уровни не требуют применения специализированных средств криптозащиты и сертифицированных ФСТЭК устройств, а также привлечения сертифицированных ФСТЭК специалистов. Все требования третьего и четвертого уровня защиты сводятся к базовому набору требований по защите информации, как то:
- Доступ в ИТ-инфраструктуру должен осуществляться с использованием индивидуальных логинов и паролей пользователей;
- Полномочия пользователей и права доступа к информационным системам должны разделяться и управляться;
- Доступ к информационным системам в ИТ-инфраструктуре должен контролироваться;
- Пользователям и ИТ-специалистам в ИТ-инфраструктуре должны выдаваться минимально необходимые для работы права доступа к информационным системам;
- Удаленный доступ в корпоративную ИТ-инфраструктуру должен выполняться через защищенное соединение;
- Использование мобильных устройств и технологий беспроводного доступа должно регламентироваться и контролироваться;
- События безопасности должны собираться и храниться;
- В компании должна быть развернута антивирусная защита и она должна регулярно обновляться;
- В компании должны устанавливаться обновления безопасности, и их установка должна контролироваться;
- Размещение оборудования, на котором хранятся и выводятся персональные данные, должно исключать несанкционированный физический доступ;
- При выводе техники из работы или при передачи ее в ремонт с нее должны стираться или обезличиваться персональные данные;
- Информационные системы для работы с персональными данными должны быть задокументированы, изменения в конфигурации информационных систем должны проходить через процесс планирования и согласования.
Еще раз повторюсь, что в перечисленных выше требованиях нет ничего сверхъестественного – все требования являются базовыми для защиты любой мало-мальски ценной информации и профессиональные системные администраторы эти требования выполняют даже без знания ФЗ-152 и ФСТЭК №21.
Собственно, последние 7 лет все наши проекты по ИТ-инфраструктуре соответствуют третьему и четвертому уровню защиты в соответствии с ФСТЭК №21, а компании, заказавшие у нас услуги по построению (а также обслуживанию) ИТ-инфраструктуры защищают персональные данные своих клиентов и сотрудников не только на словах, но и на деле.
Хотите защищенное ИТ – обращайтесь к нам!