Безопасный переход на личности

Безопасный переход на личности Игорь ЛуканинФедеральный закон № 152-ФЗ «О персональных данных» не теряет своей актуальности. Однако говорить о серьёзных санкциях со стороны государства всё ещё рано. Гораздо активнее идет проверка компаний на выполнение требований закона рынком и конкурентами. О необходимых мерах защиты персональных данных рассказывает эксперт проекта «Контур-Безопасность» компании СКБ Контур, CISSP Игорь Луканин.

— Игорь, законодательство в области персональных данных стремительно меняется. Можно ли говорить об ужесточении требований со стороны государства?

— Наоборот, закон в этой сфере становится более человечным. Последние изменения позволяют бизнесу выполнить нормы закона с меньшими затратами. В частности, Постановление Правительства РФ от 01.11.2012 № 1119 позволяет организациям самостоятельно определять, какие угрозы информационной безопасности являются для них актуальными. Больше не требуется внедрять технические решения по защите информации, навязанные государством. Разрешено использовать несертифицированные средства защиты информации. В данной ситуации на первый план выходит квалификация и репутация специалистов, определяющих актуальные угрозы и проектирующих системы защиты. Есть риск переплатить за избыточную функциональность или получить некачественные средства защиты.

— У бизнеса не остаётся причин игнорировать требования законодательства в области персональных данных, однако санкции за невыполнение закона остались прежними.

— Эксперты проекта «Контур-Безопасность» прогнозируют существенное увеличение штрафов за нарушение нормативных требований. В прошлом году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) предлагала поднять штраф для юридических лиц до 700 000 рублей. Однако проект не прошел, так как предполагал исчисление штрафов с оборота компании. Скорее всего, в этом году будут внесены поправки и размеры штрафов за нарушения значительно возрастут.

— Пока штраф сопоставим со стоимостью внедрения средств защиты, стоит ли переживать? План проверок Роскомнадзора находится в открытом доступе, при необходимости можно подготовиться к проверке.

— Санкции контролирующих органов — лишь одна сторона медали. Гораздо опаснее действия недобросовестных конкурентов или недоброжелателей. Именно на основании жалоб частных лиц контролирующие органы проводят внеплановые проверки.

Управление Роскомнадзора по УрФО отмечает увеличение числа обращений граждан по вопросам, связанным с персональными данными. Это говорит не только о повышении информированности граждан о своих правах и способах их защиты, но также может свидетельствовать о возможном росте количества «юридических атак». Неподготовленность организации к оперативной реакции на обращения граждан может обернуться большими издержками. Потеря репутации вследствие утечки персональных данных также может подорвать стабильность бизнеса. Велика вероятность, что клиенты, партнеры и контрагенты не захотят сотрудничать с такой компанией.

— Как обезопасить компанию от штрафных санкций, финансовых и юридических рисков?

— Во-первых, следует понять, какие мероприятия по выполнению требований законодательства о персональных данных уже проводились в организации.

Во-вторых, необходимо определить минимальный объём изменений в организационных процессах и информационных системах, который позволит полноценно выполнить требования законодательства. Это всегда комплекс мероприятий: правовых, организационных, технических. Здесь важно учитывать размер, отраслевую принадлежность, сферу деятельности организации, уровень зрелости её процессов, характер вовлечённости информационных технологий в решение бизнес-задач.

В-третьих, следует реализовать необходимые изменения. Очевидно, что внедрение средств защиты, модернизация ИТ-систем и совершенствование процессов выполняются параллельно с текущей деятельностью организации. Поэтому во внимание принимается уровень компетенций работников, их участие в оперативной деятельности, необходимость сохранения непрерывности функционирования организации.

Наш опыт показывает, что успешный проект по защите персональных данных — это комплексный проект, который учитывает реальные цели и потребности бизнеса. В отличие от формальных мероприятий по покупке сертифицированных средств защиты для выполнения требований контролирующих органов результаты такого проекта приносят бизнесу реальную пользу. Выполняя требования законодательства в области персональных данных, предприятие демонстрирует клиентам, контрагентам и партнёрам свою добросовестность и надёжность. В итоге бизнес защищён не только от штрафов, но и от репутационных рисков.

Типичные нарушения, выявляемые Управлением Роскомнадзора по УрФО в ходе проверок:
— отсутствие регистрации в реестре компаний, ведущих обработку персональных данных;
— нарушение порядка передачи персональных данных третьим лицам;
— обработка персональных данных без правовых оснований для этого;
— нарушение сохранности носителей персональных данных;
— использование персональных данных после достижения цели их обработки.


Контур-Безопасность

www.kontur-security.ru

Материалы по теме

Иногда нужно изобрести велосипед

Сохраняйте спокойствие

Мелкий и мягкий

Ловцы сетью

Кульманы — в музеи

Чушь собачья