Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД
IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC Заявка в тех поддержку
Эксперты в подборе IT-оборудования

Как защищать персональные данные на предприятии

6 ноября 2019

Закону о защите персональных данных уже больше 13 лет, под его юрисдикцию подпадает множество компаний, а для многих руководителей и сисадминов тема формальной и реальной защиты персональных данных до сих пор остается тайной, покрытой мраком. В этой публикации мы кратко изложим суть ФЗ-152 и то, какие обязанности он накладывает на бизнес, чем грозит его неисполнение и как его правильно исполнять, чтобы избегать проблем.

Если сократить все до нескольких строк: ФЗ-152 касается всех без исключения, максимальное наказание – штраф 290 000 р., формальное соответствие закону обойдется вам в 20 000 р. – 30 000 р., реальное – потребует внесения изменений в IT-инфраструктуру компании.

Ниже – подробности и лайфхаки.


Можно ли соблюдать ФЗ-152 формально, но все-таки избежать проблем с законом?

Ни для кого не секрет, что при ведении дел часто приходится ориентироваться не столько на букву закона, сколько на наказание, предусмотренное за его нарушение: в случае с ФЗ-152 речь идет о КОАП 13.11. И, если навлечь на себя гнев Роскомнадзора, можно получить штраф до 290 000 р. по совокупности статей.

Хотя для небольшого бизнеса это наказание может оказаться крайне неприятным, следует помнить, что налагается оно лишь за несоблюдение общих процедур обработки персональных данных, а также за нарушение правил неавтоматической обработки. Иными словами, Роскомнадзор не интересует то, что вы храните свои или клиентские данные в свободном доступе в сети, важно лишь то, чтобы вы брали у владельцев этих данных формальное согласие на их обработку. Также необходимо иметь четко прописанные регламенты и процедуры обработки, а также хранить персональные данные на бумажных носителях (личные дела, трудовые книжки и т.д.) в сейфах.

Получается, что выполнение ряда общих требований и подготовка типовых приказов и распоряжений позволяет формально не нарушать ФЗ-152 и не опасаться проблем. В зависимости от бюджета вы можете скачать шаблоны всех необходимых документов в интернете или заказать юридической компании разработку полного комплекта за 20 000 р. – 30 000 р.

Есть и другой путь: экстремалы из маленьких фирм могут попытаться игнорировать ФЗ-152. Если вы работаете с персональными данными только своих работников, то, согласно закону, вам не требуется регистрироваться как обработчику персональных данных, и столкнуться с проверкой придется, лишь в случае чьей-то прямой жалобы в Роскомнадзор. Однако, даже избрав такой путь, лучше ознакомиться с текстом ФЗ-152 и постараться собрать согласие на обработку персональных данных хотя бы со своих сотрудников.

Если же такой подход кажется вам безответственным и вы хотите защитить персональные данные сотрудников и клиентов не только для проформы, помимо соблюдения формальных требований понадобится провести серию технических мероприятий.


Как соблюдать ФЗ-152, чтобы реально защищать персональные данные?

Полноценная защита персональных данных требует не только формального соответствия ФЗ-152 документов, упомянутых в предыдущем разделе, но и выполнения технических решений, подробно описанных в Постановлении РФ №1119 и приказе ФСТЭК №21.

Для небольших компаний, которые хранят и обрабатывают персональные данные лишь собственных сотрудников, нормативами предписывается соблюдение третьего и четвертого уровня защиты в соответствии с ФСТЭК №21. Эти уровни не подразумевают специальных способов криптозащиты и сертифицированных ФСТЭК устройств, а также участия сертифицированных ФСТЭК специалистов. Требования третьего и четвертого уровня защиты исчерпываются базовым набором правил защиты информации приведенном ниже.

  • Для получения доступа к IT-инфраструктуре каждый пользователь должен использовать индивидуальный логин-пароль;
  • Уровни доступа пользователей к информационным системам должны разделяться и контролироваться;
  • Пользователям и IT -специалистам в IT -инфраструктуре должны выдаваться минимально необходимые для работы права доступа к информационным системам;
  • Для удаленного доступа в корпоративную IT-инфраструктуру должно использоваться защищенное соединение;
  • Передача корпоративных данных с помощью мобильных устройств и технологий беспроводного доступа должна строго регламентироваться и контролироваться;
  • Все изменения в IT-инфраструктуре, связанные с безопасностью, должны регистрироваться и храниться;
  • IT-инфраструктура компании должна защищаться регулярно обновляемым антивирусным программным обеспечением;
  • К физическому оборудованию, на котором хранятся персональные данные, как с возможностью ввода-вывода, так и без, не должно быть возможности несанкционированного физического доступа;
  • Передача оборудования в ремонт или выведение его из эксплуатации должно сопровождаться стиранием с него или обезличиванием всех персональных данных;
  • IT-системы для работы с персональными данными должны быть задокументированы, изменения в их конфигурации должны осуществляться лишь по результатам планирования и согласования.

Важно отметить, что в соблюдении этих принципов нет ничего выходящего за рамки базовых требований для защиты любых мало-мальски ценных данных, и любой системный администратор должен стремиться выполнять их независимо от знания ФЗ-152 и ФСТЭК №21. Соблюдение этих принципов позволит в 99% случаев избежать небольшим компаниям проблем, связанных с защитой персональных данных.

 
Поделитесь статьей в соцсетях   
 
Вам также может быть интересно

Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Заявка в тех поддержку
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг