Pull to refresh

Защита персональных данных — как быть и что делать?

Reading time 3 min
Views 21K
Многие уже в курсе, что 1 июля окончательно вступили в силу положения закона ФЗ-152 «О персональных данных». Федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных, претерпел значительные изменения, которые могут сильно подпортить бизнес большинству компаний.

Согласно новым требованиям, компании, в которых на компьютерах обрабатывается или используется персональная информация физического лица, обязаны поддерживать высокую защищенность этих данных, используя сертифицированные средства защиты.

В связи с тем, что на данный момент менее 5% компаний готовы соблюдать эти требования, на рынке появилось множество системных интеграторов и специалистов в области информационной безопасности, готовых помочь компании продолжить работать в штатном режиме за N-ую сумму (от 10 000 рублей до unlim рублей).

На Хабре мелькали статьи, в которых авторы призывали системных администраторов и IT-менеджеров готовиться к «судному дню».

Ну что же, «судный день» настал, и я хочу поделиться собранной информацией по этой теме. Надеюсь, эта информация поможет многим сэкономить десятки, а то и сотни тысяч рублей.

По описанию до ката напрашивается вопрос: если заранее было известно, что изменения будут, почему компании не подготовились? Все потому, что неоднократно переносились сроки полного вступления в силу всех требований закона и многие думали, что с 1 июля все перенесут на 20, с 20 на 30 и так далее. В результате же ничего переносить не стали и 95% компаний оказались в луже.

Теперь для попадания в реестр операторов персональных данных необходимо привести свои информационные системы в соответствие с новыми требованиями. Могут потребоваться месяцы, чтобы разработать всю документацию, подготовить регламенты и внедрить выбранные средства защиты.

Отсутствие желания платить большие деньги интеграторам и специалистам заставило поискать в сети информацию о том, как самостоятельно добиться соблюдения нормативных требований по обработке персональных данных.

Информации уже достаточно и найти ее не сложно.

Например:
  • ispdn.ru — открытая площадка для обсуждения вопросов в области защиты персональных данных, проектирования и использования информационных систем персональных данных, на которой присутствует перечень всех сертифицированных решений, краткие отчеты о проверках операторов, обзор судебной практики, оживленный форум и типовые решения по защите информации в ИСПДн.
  • www.itsec.ru/forum.php — форум журнала «Информационная безопасность», на который нередко заглядывают представители регулирующих органов.
  • anvolkov.blogspot.com — блог «Безопасность для понимающих и не очень», с альтернативным взглядом на процессы «улучшения» законодательства в области персональных данных.
  • pd.rsoc.ru/inter-services/forum — официальный портал персональных данных, на котором есть практически всё от мониторинга изменений законодательства, до обзора судебной практики, только это «всё» ищется через раз, а систематизация раздела «Вопросы операторов персональных данных» привязана исключительно к дате появления вопроса на портале, независимо был ли ответ полуофициальным, просто полезным и совсем бессмысленным, в общем поплутать на этом портале придется не слабо.


Если говорить о каком-то структурированном, пошаговогом алгоритме с четкими рекомендациями, то стоит упомянуть сайт http://zpdn-day.ru. Информация там, насколько я понимаю, предоставляется бесплатно. На сайте есть инструкции, шаблоны документов, плюс ребята организуют бесплатные вебинары, посвященные проблемам, связанным с ФЗ-152 и ЗПДн.

Более полный список ссылок на ресурсы по теме можно найти тут.

Однако понятно, что теория может очень сильно отличаться от практики, поэтому давайте делиться опытом, если у кого-то такой уже имеется. В принципе, интересна будет любая информация.

Ну и список вопросов для обсуждения:

1) Кто-нибудь уже заполнял уведомление об обработке ПДн на сайте Роскомнадзора?
2) Что лучше выбрать — только сертифицированное ПО, 50 на 50 или вообще не покупать софт с сертификатами?
3) Какие средства защиты для локалки с ПДн? Рекомендуем и делимся опытом.
4) Кто-нибудь уже сталкивался с проверками? Если да, то сколько времени дают на устранение неполадок?

Заранее спасибо за ответы.
Tags:
Hubs:
+39
Comments 61
Comments Comments 61

Articles