Интервью с генеральным директором компании CorpSoft24 Константином Рензяевым
Генеральный директор компании CorpSoft24 Константин Рензяев в интервью TAdviser рассказал о том, какие действия необходимо предпринять компаниям, чтобы соответствовать требованиям Федерального закона о персональных данных №152, и как можно сэкономить на этом процессе.
С чего необходимо начать компании, чтобы соответствовать Федеральному закону о персональных данных №152?
Константин Рензяев: Давайте для начала определимся, что такое персональные данные: «Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе ФИО, место и дата рождения, адрес проживания, семейное и социальное положение, сведениях о доходах и другая информация»
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ.
В первую очередь необходимо определить, какие персональные данные обрабатываются в информационных системах и далее определить уровень защищенности персональных данных. От 1 до 4.
Требованиями к защите ПДн при их обработке в информационных системах утверждены Постановлением Правительства № 1119 от 01.11.2012. Если у компании возникают затруднения в определении уровня защищенности, то наши специалисты помогут решить данную задачу.
На чём основаны требования по защите персональных данных?
Константин Рензяев: Кроме ФЗ №152 в последней редакции есть ещё десятки различных нормативных документов определяющих и уточняющих требования по защите персональных, включая Федеральные Законы, подзаконные акты, Постановления Правительства, методические документы ФСТЭК и ФСБ, а также целый ряд других документов. Самыми основными документами являются:
- Федерального закона РФ от 27 июля 2006г. №152-ФЗ «О персональных данных» с актуальными на данный момент изменениями и правками;
- Постановления Правительства Российской Федерации от 01 ноября 2012 № 1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»;
Определили уровень защищенности. Что дальше?
Константин Рензяев: После этого сразу обратиться к нам :)
Далее необходимо составить приказ на бланке организации, заверенном подписью и печатью о назначении ответственного или создании комиссии по приведению Вашей информационной системы персональных данных в соответствие с требованиями ФЗ-152.TAdviser Security 100: Крупнейшие ИБ-компании в России
После приведения инфраструктуры в соответствие с требованием Федерального закона необходимо уведомить Роскомнадзор о внесении Вашей организации в реестр операторов персональных данных. По сути, необходимо заполнить форму "Уведомление об обработке персональных данных" на сайте ведомства.
Уведомление об обработке персональных данных можно не подавать в Роскомнадзор, если:
- если персональные данные являются общедоступными;
- если персональные данные включают только ФИО;
- если персональные данные необходимы только для однократного пропуска физического лица на территорию организации или в аналогичных целях;
- если обработка персональных данных осуществляется без использования средств автоматизации в соответствии с законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
В какой момент имеет смысл обратиться к Вам?
Константин Рензяев: Можно обращаться сразу после того, как в компании принято решение соответствовать требованиям закона о персональных данных.
Ок, что дальше?
Константин Рензяев: Далее необходимо разработать модель угроз, опираясь на Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 и Приказ ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.
Это можно поручить Вашей компании?
Константин Рензяев: Конечно, сэкономите кучу времени и получите максимально актуальную модель угроз, которой сможете пользоваться в будущем.
Кто выполняет проверки?
Константин Рензяев: В области защиты персональных данных есть три регулятора:
- Роскомнадзор, проводит проверки выполнения требований по защите прав субъектов персональных данных.
- ФСБ проверяет выполнение требования в области криптографии (если используется).
- ФСТЭК России проверяет выполнение требований по защите информации от несанкционированного доступа и утечки по техническим каналам.
Как узнать, когда в организации или компании планируется проведение проверки?
Константин Рензяев: Планы проведения проверок Роскомнадзора, ФСТЭК и ФСБ на 2016-й год можно найти по следующим ссылкам:
Также информацию о всех планируемых проверках можно найти на сайте Генпрокуратуры
Теперь давайте поговорим о, наверное, самой затратной статье. Я имею ввиду обеспечение ИТ-безопасности, которая должна соответствовать требованиям ФЗ-152.
Константин Рензяев: Все верно, это наиболее затратная сторона вопроса.
В Вашей ИТ-инфраструктуре могут потребоваться следующие дорогостоящие программыне и аппаратно-программные средства защиты:
- межсетевые экраны;
- криптошлюзы;
- система предотвращения вторжений;
- антивирусное ПО;
- система анализа защищенности;
- средства защиты от несанкционированного доступа;
- средства защиты среды виртуализации;
- и ряд других средств защиты информации.
Но у нас есть хорошие новости для Вас. Необязательно нести большие затраты на обеспечение ИТ-безопасности Вашей инфраструктуры. Ее можно развернуть в облаке CorpSoft24, используя услугу «Облако ФЗ 152». Мы располагаем всеми необходимыми аттестатами, лицензиями ФСБ и ФСТЭК, а так же готовы предложить как аппаратные, программные, так и аппаратно-программные средства защиты для обеспечения соответствия всем требованиям ФЗ №152 и остальных регламентирующих документов в области защиты персональных данных.
Какие преимущества от использования услуги «Облако ФЗ 152»?
Константин Рензяев: Вы существенно уменьшаете затраты на создание системы защиты персональных данных и аттестацию, так как услуга «Облако ФЗ 152» уже включает в себя всё необходимое. Но, при этом, у Вас всё равно должны быть разработаны необходимые документы. Как было сказано ранее, мы предоставляем услуги и по подготовке необходимых документов тоже.
Какая ответственность предусмотрена в случае невыполнения требований?
Константин Рензяев: От минимум 3000 руб. до уголовной ответственности. Все зависит от вида нарушения и последствий, которые были вызваны отсутствием или недостаточным обеспечением ИТ-безопасности персональных данных.