Автор: Алексей Залецкий
Зачем нужно защищать персональные данные
В 2022 году исполняется 16 лет с момента принятия закона «О персональных данных» и 13 лет со вступления его в силу. Казалось бы, за это время персональные данные должны были защитить все, кто обязан это сделать по закону. Но реальность такова, что до сих пор существует большой процент предприятий и организаций, которые либо не выполнили требования, либо выполнили только частично. Об этом свидетельствует нахождение множества нарушений во время проверок регуляторами.
Кому нужно защищать персональные данные
Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.
Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.
Основные этапы защиты ПДн
Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:
-
обследование;
-
моделирование угроз;
-
разработка технического задания;
-
проектирование системы защиты;
-
реализация технической части системы защиты;
-
реализация организационных мер;
-
оценка эффективности принятых мер;
-
аттестация;
-
поддержание необходимого уровня защиты в процессе эксплуатации.
Нулевым этапом назовём осознание необходимости защиты персональных данных. Определите, в каких системах ПДн обрабатываются в вашей организации.
Принимая решение о старте активности по защите персональных данных, ориентируйтесь на информацию от Роскомнадзора о результатах проверок. Максимально возможный штраф в случае нарушений может составлять 8 млн. рублей, также возможна приостановка деятельности юридического лица до устранения несоответствий.
Защита персональных данных: пошаговый план
Этап 1. Детальное обследование бизнес-процессов компании для определения, в каких из них и каким образом обрабатываются персональные данные. Нужно выявить все информационные системы персональных данных: от стандартных бухгалтерии и кадров до заказа визиток и корпоративной оплаты спортзала. Результатом этого этапа должен стать аналитический отчёт с указанием несоответствий закону.
Этап 2. Моделирование угроз. Модель угроз – это основа для построения системы защиты персональных данных. Чтобы защищать свои информационные системы от угроз, нужно понимать, какие из них актуальны. Для этого существует методика определения актуальности угроз. Вместе с моделированием угроз обычно производят оценку уровня защищённости персональных данных, более подробно об этом можно прочитать в нашей статье «Модель угроз». Про моделирование угроз вскоре выйдет отдельная статья, в которой мы рассмотрим обновления законодательства и требований к предприятиям в 2022 году.
Этап 3. Разработка технического задания. Источником требований к системе защиты персональных данных являются модель угроз (МУ) и уровень защищённости информационной системы персональных данных (УЗ). Система призвана нейтрализовать те угрозы, которые будут описаны в вашей МУ, а базовый набор мер защиты определяется 21 Приказом ФСТЭК и зависит от УЗ.
Этап 4. Проектирование системы защиты персональных данных. В соответствии с техническим заданием разрабатывается технический проект на создание СЗПДн (системы защиты персональных данных). В техническом проекте должны быть определены программные и программно-аппаратные средства защиты информации, к которым могут относиться:
-
средства защиты от несанкционированного доступа, включая средства доверенной загрузки;
-
средства антивирусной защиты;
-
средства анализа защищённости;
-
система обнаружения вторжений;
-
межсетевой экран;
-
ряд других СЗИ.
Этап 5. Внедрение или развёртывание системы защиты персональных данных. Технический проект содержит спецификацию средств защиты информации, которые необходимо закупить либо получить в виде услуги.
Этап 6. Реализация организационных мер. Разрабатываются организационно-распорядительные документы, проводится обучение сотрудников и т.д. На этом этапе будет готова вся необходимая информация для уведомления в Роскомнадзор, его необходимо заполнить и отправить в РКН.
Этап 7. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится после создания системы защиты ПДн и до её ввода в эксплуатацию. Выполняются испытания созданной системы на соответствие техническому заданию, для чего необходимо разработать программу и методики испытаний. Испытания состоят из 3 последовательных стадий: предварительных испытаний, опытной эксплуатации и приёмочных испытаний. По результатам каждого этапа оформляются протоколы и акты. Испытания могут быть проведены в формате услуги, точнее система безопасности как услуга будет предоставляться уже в виде испытанной системы.
Этап 8. Проведение аттестации. Форма аттестации обязательна для госорганов, коммерческие предприятия могут выполнять её по желанию.
Этап 9. Эксплуатация. Техническая поддержка СЗИ – важная часть работы, о которой не следует забывать.
После выполнения всех этапов требуется поддержание системы защиты персональных данных в актуальном состоянии. Для этого выполняются периодические проверки состояния защищённости информационных систем ПДн. Периодичность проверок определяется регламентом контроля за состоянием защищённости и задаётся каждым предприятием самостоятельно, но обычно составляет от раза в неделю до раза в месяц в зависимости от типа проверки.
Например, на существующем сайте появилась форма обратной связи, предполагающая введение ПДн. Нужно проанализировать возможные угрозы, которые возникают в связи с этим и понять, достаточно ли будет простого электронного согласия на передачу персональных данных или нужно будет внедрить дополнительные средства защиты информации.
Итак, подытожим. Если в вашей компании есть хотя бы одна система типа бухгалтерии, кадров или CRM, то вы обязаны защищать персональные данные. Для выполнения требований законодательства необходимо разработать регламенты, политики, приказы, положения, журналы, инструкции и т.д., подписать их, внедрить средства защиты информации и проверить, что всё это эффективно работает. Альтернативным вариантом может быть передача всех этих вопросов на аутсорсинг. Проще всего это сделать, разместив систему в защищённом в облаке, воспользовавшись инфраструктурой, ПО и средствами защиты информации поставщика услуг. Можно также отдать на аутсорсинг и подготовку всех организационных мер. Но компания, которая предоставляет такие услуги, должна обладать лицензиями ФСТЭК и ФСБ и иметь именно те средства защиты информации, которые позволяют выполнить требования закона.
