Ранее, в первой части статьи о защите персональных данных, мы рассматривали вопрос того, что такое персональные данные, их защита и какие штрафы предусмотрены, если не выполнять требования закона.

Сегодня мы хотели бы продолжить данную тему и проанализировать сколько времени и средств понадобится для того, чтобы защитить персональные данные ваших клиентов в соответствии с законодательством,  какие риски существуют для компании в связи с неисполнением и нарушением требований законодательства и кому доверить внедрение защиты персональных данных.

Неисполнение и нарушение требований Закона Украины «О защите персональных данных» влечет для компаний риски следующего характера:

Гражданские иски со стороны клиентов или работников.

• Приостановление или прекращение обработки персональных данных в компании.

• Привлечение компании и/или её руководителя к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности.

• Приостановление действия или аннулирование лицензий на основной вид деятельности компании.

• Репутационные риски.

• Риски недобросовестной конкуренции (приостановления деятельности организации с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных).

 

Для избежания рисковых ситуаций, следовало бы предпринять определенные шаги, которые устраняли или хотя бы минимизировали наступление неприятных последствий.

В зависимости от того какие цели вы преследуете, возможно выбрать «гипотетический», формальный или комплексный подходы для решения вопроса с защитой персональных данных.

 

Существует три принципиально разных варианта схемы временных и материальных затрат:

1. Не делать ничего.

В этом случае структура и объем финансирования данной схемы будут состоять из финансовых и временных затрат на покрытие расходов по наступившим рискам.

Для возможности бюджетирования необходимо провести оценку этих рисков и затем умножить на вероятность их наступления.

2. Сделать что-то, но лишь для прохождения проверки («только для проверяющих»).

Как правило, «джентльменский набор» может включать в себя группу до 30 документов. Это административно-организационные документы компании (положения, регламенты, инструкции, приказы), которые необходимо будет предоставить в Государственную службу по вопросам защиты персональных данных для прохождения документарной проверки.

Если ограничиться только документами, пройти выездную проверку все равно не удастся. Т.к. организация защиты персональных данных должна включать соответствующие реальные изменения в регламентах работы компании и в большинстве случаев включает необходимость применения технических средств защиты конфиденциальной информации и средства криптографической защиты информации.

Разработка базовых документов, включая экспресс-анализ состояния предприятия, занимает около 10-15 дней. При этом если все останется лишь на бумаге, то это решение не убережет вас от рисков.

3. Сделать должным образом, выполнив требования законодательства (на сегодня невозможно из-за отсутствия нормативно-правовых актов).

Это всегда проект, вне зависимости от размера компании. Проектом должен управлять менеджер проекта, у проекта должен быть устав, участники, бюджет, сроки, организационный совет и т.д.

Параметры проекта могут быть точно определены после аудита информационной системы и бизнес-процессов компании, затрагивающих обработку персональных данных.

Цена и сроки напрямую зависят от масштабов проекта. В состав затрат по проекту входят консалтинговые услуги и оборудование.

Результатами подобного проекта могут стать:

Минимизация и исключение наступления рисков.

• Надежная защита конфиденциальной информации в компании.

• Повышение уровня доверия со стороны деловых партнеров и лояльности сотрудников.

защита персональных данныхЧто же необходимо делать?

В первую очередь, руководителю компании необходимо ознакомиться с законодательством и провести консультации с юристами и представителями организаций, специализирующихся в области защиты информации.

Принять решение о начале проекта и назначить ответственных лиц.

Провести аудит (инвентаризацию информационных систем), который должен ответить на следующие вопросы:

Перечень информационных систем, обрабатывающих персональные данные на предприятии.

• Оценка законности обработки персональных данных и наличия согласий субъектов на такую обработку.

• Определение предельных сроков и условий прекращения обработки персональных данных.

Сформировать перечень персональных данных.

Провести классификацию информационных систем персональных данных.

Документально регламентировать работу с персональными данными.

Разработать организационно-распорядительные документы по защите персональных данных.

Получить согласие субъектов на обработку персональных данных и (при необходимости) заключить договора на обработку персональных данных с взаимодействующими организациями.

Определить актуальные угрозы безопасности персональным данным и сформировать модель угроз.

Уточнить класс специальных информационных систем персональных данных по результатам оценки актуальных угроз.

Привести систему защиты персональных данных в соответствие с требованиями нормативно-правовых актов и регулирующих органов.

Установить необходимые средства защиты информации (антивирусной защиты, шифрования, защиты от несанкционированного доступа, защиты при межсетевом взаимодействии, защиты от утечки конфиденциальной информации и т.д.).

Обучить лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

Лицензировать деятельность по технической защите конфиденциальной информации (при необходимости проведения работ силами компании).

Аттестовать информационную систему персональных данных по требованиям безопасности информации (для ИСПДн 1, 2 и 3 классов).

Уведомить уполномоченный орган по защите персональных данных об обработке персональных данных в установленных законодательством случаях.

Организовать эксплуатацию, мониторинг и реагирование на угрозы информационной системы персональных данных в соответствии с требованиями по информационной безопасности.

Кому доверить внедрение защиты персональных данных?

1. Самостоятельно (силами специалистов компании).

Этот вариант потребует наличия обученных и сертифицированных специалистов в области защиты персональных данных и получение лицензий.

Нужно также принять во внимание, что подобный проект Вы внедряете впервые, а это значит, что Вам придется столкнуться с несовершенством и противоречием законодательства в области защиты персональных данных и информационной безопасности, ознакомиться с массой регламентирующих документов разных ведомств.

Даже изучив эти документы и нормативно-правовые акты, отсутствие опыта проектирования и внедрения подобных систем усложняет задачу подбора всех элементов решения составляющих системы защиты информации. Это справедливо как в части выбора технических средств, так и в части подготовки системы защиты персональных данных к аттестации.

Этот путь выбирают крупные компании, хотя и привлекают в проект сторонних экспертов и консультантов, сохраняя за собой ответственность за результат.

При этом существует риск неправильно оценить и классифицировать угрозы безопасности, неправильно выбрать класс защиты и т.д., что, в свою очередь, может привести либо к завышению стоимости системы защиты, либо к выявлению нарушений со стороны регуляторов, которые потребуют их устранения и повышения класса защиты.

Серьёзная переделка проекта может оказаться существенно дороже построения системы «с нуля».

Среднему и малому бизнесу этот вариант не приемлем, т.к. потребует больших инвестиций на внедрение и последующее обслуживание ИСПДн, по сравнению со вторым способом.

2. С помощью сторонних специализированных компаний-консультантов.

Этот путь считается менее рискованным, т.к. ответственность за результат берет на себя другая сторона, отвечающая финансовой составляющей за достижение целей проекта.

Основная Ваша задача как заказчика – правильно выбрать партнера-исполнителя.

Критериями выбора должны быть:

• Положительный опыт в области построения систем информационной безопасности.

• Наличие лицензий на осуществление деятельности по защите персональных данных и обеспечения информационной безопасности.

• Наличие опытных квалифицированных специалистов, которых необходимо привлекать для участия в проекте.

• Адекватность параметров коммерческого предложения (цены, сроки, объем участия собственных специалистов и руководства в проекте).

• Правовое сопровождение квалифицированных юристов с опытом работы в области информационной безопасности и взаимодействия с силовыми структурами.

Несомненно существует множество компаний, которые могут попадать в «радиус» заданных критериев и необходимо более предметно рассматривать каждую. Но мы постарались очертить область требований, к подобного рода фирмам, за пределами которой не стоит расчитывать на квалифицированную и качественную поддержку.

По материалам uipdp.com