29.03.2017
В 2016 году Роскомнадзор увеличил количество плановых проверок на предмет соблюдения требований о защите персональных данных на 70%. Бизнес все чаще обращается к услугам сертифицированных компаний, однако организация может обеспечить соблюдение законодательства о персональных данных и без привлечения сторонних специалистов. Алексей Залецкий, начальник отдела информационной безопасности «Амтел-Сервис» рассказал читателям журнала «Генеральный директор» как обеспечить защиту персональных данных в компании и основных этапах проекта по защите персональных данных.
1. Аудит текущей ситуации.
Почти все бизнес-процессы в компании включают обработку персональных данных через отдел кадров, службу продаж, маркетинг, службу доставки и другие подразделения. Проанализируйте потоки движения и средства обработки персональных данных: от бумажных до компьютерных носителей. Выясните уровень защищенности информационной системы на предприятии, который зависит от категории обрабатываемых персональных данных, количества субъектов, а также типа информационных угроз. После этого разработайте модель угроз – документ, определяющий виды возможных нарушителей и возможные угрозы безопасности с расчетом их актуальности. Базовая модель угроз размещена на сайте ФСТЭК России. Также понадобится пакет организационно-распорядительных документов (приказы, регламенты, журналы, политики, положения и т. д.), перечень которых строго не регламентирован. В основной перечень входят документ о согласии на обработку персональных данных, порядок их передачи третьим лицам, список сотрудников, допущенных к их обработке, порядок их уничтожения и т. п.
2. Проектирование технического решения.
При хранении и обработке персональных данных в информационных системах ограничиться одним пакетом документов не получится. Нужен целый комплекс технических мер, обеспечивающий требуемый уровень защиты. Например, это подсистемы, реализующие следующие функции: ограничение программной среды, защита носителей информации, управление доступом, выявление инцидентов и др. Данную задачу следует поручить специалисту по информационной безопасности.
3. Подготовка процесса по защите персональных данных.
Составьте список ответственных за обработку персональных данных в компании, установите уровни доступа к ним. Сформируйте расчет затрат, требования к уровню защиты, календарный план проекта, определите технические и организационные риски.
4. Внедрение технического решения.
Внедрение системы безопасности включает покупку, установку и настройку необходимого оборудования и программного обеспечения, проведение пуско-наладочных работ и приемочных испытаний, разработку эксплуатационной документации. Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России.
5. Проведение аттестации.
Аттестация информационных систем на соответствие требованиям безопасности информации обязательна в случае отнесения персональных данных к государственному информационному ресурсу. Для частных компаний она добровольна. Проводить аттестацию уполномочены организации, обладающие лицензией ФСТЭК России на техническую защиту конфиденциальной информации.
6. Запуск процесса по защите персональных данных.
Этот этап – цель всего проекта. Защиту персональных данных нельзя обеспечить раз и навсегда. Это непрерывный процесс, который зависит от изменений в законодательстве, а также от изменений внутри самой организации. Так, если вы приобретаете новое оборудование, программы, расширяете бизнес, не забывайте вносить изменения в разработанный комплект документов, внедрять дополнительные средства защиты.
Специальное предложение! Проект по защите персональных данных: выгода от 150 тыс. рублей.