Как обеспечить защиту персональных данных в компании

      Комментарии к записи Как обеспечить защиту персональных данных в компании отключены

Как обеспечить защиту персональных данных в компании

Игорь Шпиндлер Начальник проекта, Москва

Трансформации в законодательстве обнажили территорию риска, которую бизнес фактически не учитывал. Игорь Шпиндлер разбирает ситуацию и варианты действий.

Защита персональных данных (ПДн) – весьма актуальная тема. Особенно востребованной для русских подразделений зарубежных компаний она стала в связи с добавление части 5 статьи 18 в 152-ФЗ «О персональных данных»: «…оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных россиян с применением баз данных, находящихся на территории РФ». В законе имеется последовательность исключений, но согласитесь, на случай проверки регулятором хочется располагать козырями понадежнее, чем «а нас это не касается».

Наказания для нарушителей очень важные. Онлайн-магазины, соцсети, информационные сайты, другие бизнесы, которые связаны с интернетом при претензий со стороны надзорных органов смогут быть практически закрыты. Быть может, при первой проверке регулятором будет дано время на устранение недочетов, но срок в большинстве случаев ограниченный. В случае если неприятность не будет решена весьма скоро (что без предварительной подготовки сделать затруднительно), убытки никак уже не компенсировать.

Блокировка сайтов приводит не только к паузе в продажах, это указывает утрату рыночной доли.

Появление в «тёмном перечне» нарушителей закона о ПДн для офлайн-компаний проходит менее драматично. Но это влечет за собой репутационные риски, что для зарубежных компаний есть значительным причиной. Помимо этого, на данный момент практически не осталось видов деятельности, которых по большому счету не касается защита персональных данных.

Банки, торговля, кроме того производство – все ведут клиентские базы, соответственно, попадают под воздействие соответствующих законов.

Тут необходимо понимать, что в компаний вопрос также нельзя рассматривать изолированно. Защиту ПДн не окажется сократить установкой сертифицированных средств защиты на серверах и запиранием бумажных карточек в сейфы. У персональных данных большое количество точек входа в компанию – отделы продаж, HR, работы обслуживания клиентов, время от времени кроме этого учебные центры, другие подразделения и закупочные комиссии.

Управление защитой ПДн – комплексный процесс, что затрагивает IT, документооборот, регламенты, юридическое оформление.

Давайте разглядим, что потребуется для обслуживания и запуска для того чтобы процесса.

Какие конкретно эти считаются персональными

Строго говоря, каждая информация, которая относится прямо либо косвенно к определенному физическому лицу – это его персональные эти. Увидьте, речь заходит о людях, не о юридических лицах. Получается, достаточно указать ФИО и адрес проживания, дабы инициировать защиту этих (и связанных с ними) данных. Однако, получение Email с чьими-либо персональными данными в виде телефонного номера и подписи еще не предлог их защищать. Главный термин: «Понятие сбора персональных данных».

Для прояснения контекста пара статей Закона «О персональных разрешённых» хочу выделить очень.

Статья 5. Правила обработки персональных данных. направляться иметь четкие цели, из которых светло направляться, для чего эта информация планирует. В противном случае кроме того при полном соблюдении всех правил и остальных норм возможны санкции.

Статья 10. Особые категории персональных данных. К примеру, кадровая работа может фиксировать ограничения для командировок, а также беременность сотрудниц. Очевидно, такие дополнительные сведения кроме этого подлежат защите.

Это очень сильно расширяет познание ПДн, и перечень информационных хранилищ и отделов компании, в которых необходимо уделять внимание защите.

Статья 12. Трансграничная передача персональных данных. В случае если информационная совокупность с данными о гражданах РФ находится на территории страны, которая не ратифицировала Конвенцию о защите персональных данных (к примеру, в Израиле), направляться придерживаться положений русского законодательства.

Статья 22. Уведомление об обработке персональных данных. Необходимое условие чтобы не завлекать излишнее внимание регулятора.

Ведете предпринимательскую деятельность, связанную с ПДн – сообщите об этом сами, не ждя испытаний.

Само собой разумеется, нужно прочесть целый текст Закона, и максимально пристально.

Где смогут пребывать персональные эти

Технически ПДн смогут пребывать где угодно, начиная с печатных носителей (бумажные картотеки) до машинных носителей (твёрдые диски, флэшки, компакт-диски и другое). Другими словами в фокусе внимания каждые хранилища данных, попадающие под определение ИСПДн (информационные совокупности персональных данных).

География размещения – отдельный громадный вопрос. С одной стороны, персональные эти россиян (физических лиц, являющихся гражданами РФ) должны храниться на территории РФ. Иначе, на данный момент это скорее вектор развития обстановки, чем свершившийся факт.

Многие интернациональные и экспортные компании, разные холдинги, совместные фирмы исторически имеют распределенную инфраструктуру – и в одночасье это не изменится. В отличие от защиты и методов хранения ПДн, каковые должны быть скорректированы фактически на данный момент, сходу.

Минимальный перечень отделов, участвующих в записи, систематизации, накоплении, хранении, уточнении (обновлении, трансформации), извлечении ПДн:

  • Кадровая работа.
  • IT.
  • Отдел продаж.
  • Юридический отдел.

Потому, что редко где царит совершенный порядок, в действительности к этому «ожидаемому» перечню довольно часто смогут добавляться самые непредсказуемые подразделения. К примеру, на складе смогут быть записаны персонифицированные сведения о поставщиках, либо работа охраны может вести личный подробный учет всех входящих на территорию. Так, кстати, состав ПДн для сотрудников возможно дополнен данными по клиентам, партнерам, подрядчикам, и случайным а также чужим визитёрам – ПДн которых становятся «криминалом» при фотографировании на пропуск, сканировании удостоверения личности и в некоторых вторых случаях.

СКУД (управления и системы контроля доступом) свободно смогут послужить источником неприятностей в контексте защиты ПДн. Исходя из этого ответ на вопрос «Где?» с позиций соблюдения Закона звучит так: везде на подотчетной территории. Правильнее возможно ответить, лишь совершив соответствующий аудит.

Это первый этап проекта по защите персональных данных. Полный перечень его главных фаз:

1) Аудит текущей обстановке в компании.

2) Проектирование технического ответа.

3) Подготовка процесса по защите персональных данных.

4) Проверка процесса и технического решения по защите ПДн на соответствие законодательству РФ и регламентам компании.

5) Внедрение технического ответа.

6) Запуск процесса по защите персональных данных.

1. Аудит текущей обстановке в компании

В первую очередь, уточните в кадровой работе и в других подразделениях, применяющих бумажные носители с персональными данными:

  • Имеется ли формы согласия на обработку персональных данных? Они заполнены и подписаны?
  • Соблюдается ли «Положение об изюминках обработки персональных данных, осуществляемой без применения средств автоматизации» от 15 сентября 2008 года № 687?

Потом, затребуйте в IT-отделе список всех информационных совокупностей, содержащих персональные эти, и все Excel-файлы с ПДн и доменные контроллеры Active Directory.

Выясните расположение ИСПДн:

  • В каких государствах они находятся?
  • На каком основании?
  • Имеется ли контракты на их применение?
  • Какая технологическая защита используется для предотвращения утечки ПДн?
  • Какие конкретно организационные меры принимаются для защиты ПДн?

В совершенстве, информационная совокупность с ПДн россиян обязана соответствовать всем требованиям закона 152-ФЗ «О персональных данных», кроме того в случае если находится за рубежом.

Наконец, обратите внимание на внушительный перечень документов, что требуется при проверки (это еще не все, лишь главный список):

  • Уведомление об обработке ПДн.
  • Документ, определяющий важного за организацию обработки ПДн.
  • Список сотрудников, допущенных к обработке ПДн.
  • Документ, определяющий места хранения ПДн.
  • Справка об обработке особых и биометрических категорий ПДн.
  • Справка об осуществлении трансграничной передачи ПДн.
  • Типовые формы документов с ПДн.
  • Типовая форма согласия на обработку ПДн.
  • Порядок передачи ПДн третьим лицам.
  • Порядок учета обращений субъектов ПДн.
  • Список информационных совокупностей персональных данных (ИСПДн).
  • Документы, регламентирующие резервирование данных в ИСПДн.
  • Список применяемых средств защиты информации.
  • Порядок уничтожения ПДн.
  • Матрица доступа.
  • Модель угроз.
  • Издание учета машинных носителей ПДн.
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработки в информационных совокупностях персональных данных».

2. Проектирование технического ответа

Описание организационных и технических мер, каковые должны быть приняты для защиты ПДн, приводится в Главе 4. «Обязанности оператора» Закона 152-ФЗ «О персональных данных». Техническое ответ должно базироваться на положениях статьи 2 Закона 242-ФЗ от 21 июля 2014 года.

Но как соблюсти закон и обрабатывать ПДн россиян в России при, в то время, когда ИСПДн все же находится за рубежом? Тут имеется пара вариантов:

  • Физический перенос информационной совокупности и БД на территорию РФ. В случае если технически реализуемо – это будет несложнее всего.
  • Оставляем ИСПДн за рубежом, но в Российской Федерации создаем ее копию и налаживаем одностороннюю репликацию ПДн россиян из русского копии в зарубежную. Наряду с этим в зарубежной совокупности необходимо исключить возможность модификации ПДн россиян, все правки лишь через русского ИСПДн.
  • ИСПДн пара и все они за рубежом. Перенос возможно дорогостоящим, или по большому счету технически неосуществим (к примеру, нельзя выделить часть базы с ПДн россиян и вынести ее в Россию). В этом случае, ответом может стать создание новой ИСПДн на любой дешёвой платформе на сервере в Российской Федерации, откуда будет осуществляться односторонняя репликация в каждую зарубежную ИСПДн. Отмечу, что выбор платформы остается за компанией.

В случае если ИСПДн всецело и монопольно не перенесена в Россию, не забудьте в справке о трансграничной передаче разрешённых указать, кому и какой как раз комплект ПДн отсылается. В уведомлении об обработке необходимо указать цель передачи персональных данных. Повторюсь, эта цель должна быть законной и четко обоснованной.

3. Подготовка процесса по защите персональных данных

Процесс защиты персональных разрешённых должен определять как минимум следующие моменты:

  • Перечень важных за обработку персональных данных в компании.
  • Порядок предоставления доступа к ИСПДн. В совершенстве, это матрица доступа с уровнем доступа для каждой должности либо конкретного сотрудника (чтение/чтение-запись/модификация). Или список дешёвых ПДн для каждой должности. Тут все зависит от требований компании и реализации ИС.
  • Аудит доступа к персональным данным и анализ попыток доступа с нарушением уровней доступа.
  • Анализ обстоятельств недоступности персональных данных.
  • Порядок реагирования на запросы субъектов ПДн довольно собственных ПДн.
  • Пересмотр списка персональных данных, каковые передаются за пределы компании.
  • Пересмотр получателей персональных данных, а также за рубежом.
  • Периодический пересмотр модели угроз для ПДн, и смена уровня защищенности персональных данных в связи с трансформацией модели угроз.
  • Помощь документов компании в актуальном состоянии (перечень выше, и его можно-необходимо дополнять, при необходимости).

Тут возможно детализировать любой пункт, но особенное внимание желаю обратить на уровень защищенности. Он определяется на базе следующих документов (просматривать последовательно):

1. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных совокупностях персональных данных» (ФСТЭК РФ 14 февраля 2008 года).

2. Распоряжение Правительства РФ № 1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных совокупностях персональных данных».

3. Приказ ФСТЭК № 21 от 18 февраля 2013 года «Об утверждении содержания и состава организационных и технических мер по безопасности персональных данных при их обработке в информационных совокупностях персональных данных».

Кроме этого, не забудьте учесть необходимость наличия таких категорий затрат, как:

  • Организация проектной команды и управление проектом.
  • Разработчики для каждой из платформ ИСПДн.
  • Серверные мощности (личные, либо арендуемые в дата-центре).

К завершению второго и третьего этапов проекта вы должны иметь:

  • Расчет затрат.
  • Требования к качеству.
  • календарный план и Сроки проекта.
  • Технические и организационные риски проекта.

4. Проверка процесса и технического решения по защите ПДн на соответствие законодательству РФ и регламентам компании

Маленький по формулировке, но серьёзный этап, в рамках которого необходимо удостовериться в том, что все запланированные действия не противоречат законодательству РФ и правилам компании (к примеру, политикам безопасности). В случае если этого не сделать, в фундамент проекта будет установлена бомба, которая может «рвануть» в будущем, стёрши с лица земли пользу от результатов .

5. Внедрение технического ответа

Тут все более-менее разумеется. Конкретика зависит от решений и исходной ситуации. Но в общем случае обязана оказаться приблизительно следующая картина:

  • Выделены серверные мощности.
  • Сетевые инженеры предоставили достаточную пропускную свойство каналов между передатчиком и приёмником ПДн.
  • Разработчики наладили репликацию между базами данных ИСПДн.
  • Администраторы предотвратили трансформации в ИСПДн, находящихся за рубежом.

Важное лицо за защиту ПДн либо «обладатель процесса» смогут быть одним и тем же лицом либо различными. Сам факт, что «обладатель процесса» обязан подготовить всю документацию и организовать целый процесс защиты ПДн. Для этого должны быть уведомлены все заинтересованные лица, сотрудники проинструктированы, а IT-работа помогать внедрению технических мер по защите данных.

6. Запуск процесса по защите персональных данных

Это серьёзный этап, и в некоем смысле цель всего проекта – поставить контроль на поток. Кроме нормативной документации и технических решений тут критично серьёзна роль обладателя процесса. Он обязан отслеживать трансформации не только в законодательстве, вместе с тем в IT-инфраструктуре.

Значит, нужны компетенции и соответствующие навыки.

Помимо этого, что критично принципиально важно в условиях настоящей работы, обладателю процесса по защите ПДн необходимы все административная поддержка и необходимые полномочия управления компании. В противном случае он будет вечным «просителем», на которого никто не обращает внимания, и через некое время проект возможно будет перезапускать, опять начиная с аудита.

Нюансы

Пара моментов, каковые легко потерять из виду:

  • Если вы трудитесь с дата-центром, нужен контракт об оказании одолжений предоставления серверных мощностей, в соответствии с которому ваша компания хранит эти на легальных основаниях и осуществляет контроль их.
  • Необходимы лицензии на ПО, которое употребляется для сбора, обработки и хранения ПДн, или контракты об его аренде.
  • При размещения ИСПДн за рубежом нужен соглашение с компанией, обладающей в том месте совокупностью – для гарантии соблюдения законодательства РФ применительно к персональным данным россиян.
  • В случае если персональные эти передаются подрядчику вашей компании (к примеру, партнеру по IT-аутсорсингу), то при утечки ПДн от аутсорсера вы станете нести ответственность по претензиям. Со своей стороны, ваша компания может предъявить претензии аутсорсеру. Быть может, данный фактор может оказать влияние на сам факт передачи работ на аутсорс.

И еще раз самое основное – защиту персональных разрешённых нельзя взять и обеспечить. Это процесс. Постоянный итерационный процесс, что будет очень сильно зависеть от предстоящих трансформаций в законодательстве, и от строгости и формата применения этих норм на практике.

Вас тревожит вероятная утечка ваших персональных данных из баз? Loading…

Защита персональных данных от Softline


К прочтению:

самые интересные статьи, подобранные как раз для Вас: