Eng | Рус
Интервью Генерального директора компании CorpSoft24 для портала TAdviser

Интервью Генерального директора компании CorpSoft24 для портала TAdviser

Интервью Генерального директора компании CorpSoft24 для портала TAdviser 25.02.2016

С чего необходимо начать компании, чтобы соответствовать Федеральному закону о персональных данных №152?


Константин Рензяев: Давайте для начала определимся, что такое персональные данные: «Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе ФИО, место и дата рождения, адрес проживания, семейное и социальное положение, сведениях о доходах и другая информация»/

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ.
В первую очередь необходимо определить, какие персональные данные обрабатываются в информационных системах и далее определить уровень защищенности персональных данных. От 1 до 4.

Требованиями к защите ПДн при их обработке в информационных системах утверждены Постановлением Правительства № 1119 от 01.11.2012. Если у компании возникают затруднения в определении уровня защищенности, то наши специалисты помогут решить данную задачу.

На чём основаны требования по защите персональных данных?

Константин Рензяев: Кроме ФЗ №152 в последней редакции есть ещё десятки различных нормативных документов определяющих и уточняющих требования по защите персональных, включая Федеральные Законы, подзаконные акты, Постановления Правительства, методические документы ФСТЭК и ФСБ, а также целый ряд других документов. Самыми основными документами являются:

• Федерального закона РФ от 27 июля 2006г. №152-ФЗ «О персональных данных» с актуальными на данный момент изменениями и правками;
• Постановления Правительства Российской Федерации от 01 ноября 2012 № 1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»/

Определили уровень защищенности. Что дальше?

Константин Рензяев: После этого сразу обратиться к нам :)
Далее необходимо составить приказ на бланке организации, заверенном подписью и печатью о назначении ответственного или создании комиссии по приведению Вашей информационной системы персональных данных в соответствие с требованиями ФЗ-152..
 
После приведения инфраструктуры в соответствие с требованием Федерального закона необходимо уведомить Роскомнадзор о внесении Вашей организации в реестр операторов персональных данных. По сути, необходимо заполнить форму "Уведомление об обработке персональных данных" на сайте ведомства.

Уведомление об обработке персональных данных можно не подавать в Роскомнадзор, если:
• если персональные данные являются общедоступными;
• если персональные данные включают только ФИО;
• если персональные данные необходимы только для однократного пропуска физического лица на территорию организации или в аналогичных целях;
• если обработка персональных данных осуществляется без использования средств автоматизации в соответствии с законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.

В какой момент имеет смысл обратиться к Вам?

Константин Рензяев: Можно обращаться сразу после того, как в компании принято решение соответствовать требованиям закона о персональных данных.

Ок, что дальше?

Константин Рензяев: Далее необходимо разработать модель угроз, опираясь на Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 и Приказ ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

Это можно поручить Вашей компании?

Константин Рензяев: Конечно, сэкономите кучу времени и получите максимально актуальную модель угроз, которой сможете пользоваться в будущем.

Кто выполняет проверки?

Константин Рензяев: В области защиты персональных данных есть три регулятора:
• Роскомнадзор, проводит проверки выполнения требований по защите прав субъектов персональных данных.
• ФСБ проверяет выполнение требования в области криптографии (если используется).
• ФСТЭК России проверяет выполнение требований по защите информации от несанкционированного доступа и утечки по техническим каналам.

Как узнать, когда в организации или компании планируется проведение проверки?

Константин Рензяев: Планы проведения проверок Роскомнадзора, ФСТЭК и ФСБ на 2016-й год можно найти по следующим ссылкам:
• Роскомнадзор
• ФСТЭК
• ФСБ – на сайте Генпрокуратуры.
 
Также информацию о всех планируемых проверках можно найти на сайте Генпрокуратуры.

Теперь давайте поговорим о, наверное, самой затратной статье. Я имею ввиду обеспечение ИТ-безопасности, которая должна соответствовать требованиям ФЗ-152.

Константин Рензяев: Все верно, это наиболее затратная сторона вопроса.
В Вашей ИТ-инфраструктуре могут потребоваться следующие дорогостоящие программыне и аппаратно-программные средства защиты:
• межсетевые экраны;
• криптошлюзы;
• система предотвращения вторжений;
• антивирусное ПО;
• система анализа защищенности;
• средства защиты от несанкционированного доступа;
• средства защиты среды виртуализации;
• и ряд других средств защиты информации.

Но у нас есть хорошие новости для Вас. Необязательно нести большие затраты на обеспечение ИТ-безопасности Вашей инфраструктуры. Ее можно развернуть в облаке CorpSoft24, используя услугу «Облако ФЗ 152». Мы располагаем всеми необходимыми аттестатами, лицензиями ФСБ и ФСТЭК, а так же готовы предложить как аппаратные, программные, так и аппаратно-программные средства защиты для обеспечения соответствия всем требованиям ФЗ №152 и остальных регламентирующих документов в области защиты персональных данных.

Какие преимущества от использования услуги «Облако ФЗ 152»?

Константин Рензяев: Вы существенно уменьшаете затраты на создание системы защиты персональных данных и аттестацию, так как услуга «Облако ФЗ 152» уже включает в себя всё необходимое. Но, при этом, у Вас всё равно должны быть разработаны необходимые документы. Как было сказано ранее, мы предоставляем услуги и по подготовке необходимых документов тоже.

Какая ответственность предусмотрена в случае невыполнения требований?

Константин Рензяев: От минимум 3000 руб. до уголовной ответственности. Все зависит от вида нарушения и последствий, которые были вызваны отсутствием или недостаточным обеспечением ИТ-безопасности персональных данных.

Ссылка на источник: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%98%D0%BD%D1%82%D0%B5%D1%80...

Доступ запрещен.

Авторизация
Пожалуйста, авторизуйтесь:
Логин:
Пароль:

Забыли свой пароль?

Зарегистрироваться
Если вы впервые на сайте, заполните, пожалуйста, регистрационную форму.

Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов: