2016/02/25 10:21:47

Интервью с генеральным директором компании CorpSoft24 Константином Рензяевым

Генеральный директор компании CorpSoft24 Константин Рензяев в интервью TAdviser рассказал о том, какие действия необходимо предпринять компаниям, чтобы соответствовать требованиям Федерального закона о персональных данных №152, и как можно сэкономить на этом процессе.

Константин Рензяев: Услуга «Облако ФЗ 152» существенно уменьшает затраты на создание системы защиты персональных данных

С чего необходимо начать компании, чтобы соответствовать Федеральному закону о персональных данных №152?

Константин Рензяев: Давайте для начала определимся, что такое персональные данные: «Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе ФИО, место и дата рождения, адрес проживания, семейное и социальное положение, сведениях о доходах и другая информация»

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ.

В первую очередь необходимо определить, какие персональные данные обрабатываются в информационных системах и далее определить уровень защищенности персональных данных. От 1 до 4.

Image:pdn.png

Требованиями к защите ПДн при их обработке в информационных системах утверждены Постановлением Правительства № 1119 от 01.11.2012. Если у компании возникают затруднения в определении уровня защищенности, то наши специалисты помогут решить данную задачу.

На чём основаны требования по защите персональных данных?

Константин Рензяев: Кроме ФЗ №152 в последней редакции есть ещё десятки различных нормативных документов определяющих и уточняющих требования по защите персональных, включая Федеральные Законы, подзаконные акты, Постановления Правительства, методические документы ФСТЭК и ФСБ, а также целый ряд других документов. Самыми основными документами являются:

  • Федерального закона РФ от 27 июля 2006г. №152-ФЗ «О персональных данных» с актуальными на данный момент изменениями и правками;
  • Постановления Правительства Российской Федерации от 01 ноября 2012 № 1119«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»;

Определили уровень защищенности. Что дальше?

Константин Рензяев: После этого сразу обратиться к нам :)

Далее необходимо составить приказ на бланке организации, заверенном подписью и печатью о назначении ответственного или создании комиссии по приведению Вашей информационной системы персональных данных в соответствие с требованиями ФЗ-152.Банковская цифровизация: ускоренное импортозамещение и переход на инновации. Обзор и рейтинг TAdviser 13.2 т

После приведения инфраструктуры в соответствие с требованием Федерального закона необходимо уведомить Роскомнадзор о внесении Вашей организации в реестр операторов персональных данных. По сути, необходимо заполнить форму "Уведомление об обработке персональных данных" на сайте ведомства.

Уведомление об обработке персональных данных можно не подавать в Роскомнадзор, если:

  • если персональные данные являются общедоступными;
  • если персональные данные включают только ФИО;
  • если персональные данные необходимы только для однократного пропуска физического лица на территорию организации или в аналогичных целях;
  • если обработка персональных данных осуществляется без использования средств автоматизации в соответствии с законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.

В какой момент имеет смысл обратиться к Вам?

Константин Рензяев: Можно обращаться сразу после того, как в компании принято решение соответствовать требованиям закона о персональных данных.

Ок, что дальше?

Константин Рензяев: Далее необходимо разработать модель угроз, опираясь на Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 и Приказ ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

Это можно поручить Вашей компании?

Константин Рензяев: Конечно, сэкономите кучу времени и получите максимально актуальную модель угроз, которой сможете пользоваться в будущем.

Кто выполняет проверки?

Константин Рензяев: В области защиты персональных данных есть три регулятора:

  • Роскомнадзор, проводит проверки выполнения требований по защите прав субъектов персональных данных.
  • ФСБ проверяет выполнение требования в области криптографии (если используется).
  • ФСТЭК России проверяет выполнение требований по защите информации от несанкционированного доступа и утечки по техническим каналам.

Как узнать, когда в организации или компании планируется проведение проверки?

Константин Рензяев: Планы проведения проверок Роскомнадзора, ФСТЭК и ФСБ на 2016-й год можно найти по следующим ссылкам:

Также информацию о всех планируемых проверках можно найти на сайте Генпрокуратуры

Теперь давайте поговорим о, наверное, самой затратной статье. Я имею ввиду обеспечение ИТ-безопасности, которая должна соответствовать требованиям ФЗ-152.

Константин Рензяев: Все верно, это наиболее затратная сторона вопроса.

В Вашей ИТ-инфраструктуре могут потребоваться следующие дорогостоящие программыне и аппаратно-программные средства защиты:

Но у нас есть хорошие новости для Вас. Необязательно нести большие затраты на обеспечение ИТ-безопасности Вашей инфраструктуры. Ее можно развернуть в облаке CorpSoft24, используя услугу «Облако ФЗ 152». Мы располагаем всеми необходимыми аттестатами, лицензиями ФСБ и ФСТЭК, а так же готовы предложить как аппаратные, программные, так и аппаратно-программные средства защиты для обеспечения соответствия всем требованиям ФЗ №152 и остальных регламентирующих документов в области защиты персональных данных.

Какие преимущества от использования услуги «Облако ФЗ 152»?

Константин Рензяев: Вы существенно уменьшаете затраты на создание системы защиты персональных данных и аттестацию, так как услуга «Облако ФЗ 152» уже включает в себя всё необходимое. Но, при этом, у Вас всё равно должны быть разработаны необходимые документы. Как было сказано ранее, мы предоставляем услуги и по подготовке необходимых документов тоже.

Какая ответственность предусмотрена в случае невыполнения требований?

Константин Рензяев: От минимум 3000 руб. до уголовной ответственности. Все зависит от вида нарушения и последствий, которые были вызваны отсутствием или недостаточным обеспечением ИТ-безопасности персональных данных.