Многие уже в курсе, что 1 июля окончательно вступили в силу положения закона ФЗ-152 «О персональных данных». Федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных, претерпел значительные изменения, которые могут сильно подпортить бизнес большинству компаний.
Согласно новым требованиям, компании, в которых на компьютерах обрабатывается или используется персональная информация физического лица, обязаны поддерживать высокую защищенность этих данных, используя сертифицированные средства защиты.
В связи с тем, что на данный момент менее 5% компаний готовы соблюдать эти требования, на рынке появилось множество системных интеграторов и специалистов в области информационной безопасности, готовых помочь компании продолжить работать в штатном режиме за N-ую сумму (от 10 000 рублей до unlim рублей).
На Хабре мелькали статьи, в которых авторы призывали системных администраторов и IT-менеджеров готовиться к «судному дню».
Ну что же, «судный день» настал, и я хочу поделиться собранной информацией по этой теме. Надеюсь, эта информация поможет многим сэкономить десятки, а то и сотни тысяч рублей.
По описанию до ката напрашивается вопрос: если заранее было известно, что изменения будут, почему компании не подготовились? Все потому, что неоднократно переносились сроки полного вступления в силу всех требований закона и многие думали, что с 1 июля все перенесут на 20, с 20 на 30 и так далее. В результате же ничего переносить не стали и 95% компаний оказались в луже.
Теперь для попадания в реестр операторов персональных данных необходимо привести свои информационные системы в соответствие с новыми требованиями. Могут потребоваться месяцы, чтобы разработать всю документацию, подготовить регламенты и внедрить выбранные средства защиты.
Отсутствие желания платить большие деньги интеграторам и специалистам заставило поискать в сети информацию о том, как самостоятельно добиться соблюдения нормативных требований по обработке персональных данных.
Информации уже достаточно и найти ее не сложно.
Например:
Если говорить о каком-то структурированном, пошаговогом алгоритме с четкими рекомендациями, то стоит упомянуть сайт http://zpdn-day.ru. Информация там, насколько я понимаю, предоставляется бесплатно. На сайте есть инструкции, шаблоны документов, плюс ребята организуют бесплатные вебинары, посвященные проблемам, связанным с ФЗ-152 и ЗПДн.
Более полный список ссылок на ресурсы по теме можно найти тут.
Однако понятно, что теория может очень сильно отличаться от практики, поэтому давайте делиться опытом, если у кого-то такой уже имеется. В принципе, интересна будет любая информация.
Ну и список вопросов для обсуждения:
1) Кто-нибудь уже заполнял уведомление об обработке ПДн на сайте Роскомнадзора?
2) Что лучше выбрать — только сертифицированное ПО, 50 на 50 или вообще не покупать софт с сертификатами?
3) Какие средства защиты для локалки с ПДн? Рекомендуем и делимся опытом.
4) Кто-нибудь уже сталкивался с проверками? Если да, то сколько времени дают на устранение неполадок?
Заранее спасибо за ответы.
Согласно новым требованиям, компании, в которых на компьютерах обрабатывается или используется персональная информация физического лица, обязаны поддерживать высокую защищенность этих данных, используя сертифицированные средства защиты.
В связи с тем, что на данный момент менее 5% компаний готовы соблюдать эти требования, на рынке появилось множество системных интеграторов и специалистов в области информационной безопасности, готовых помочь компании продолжить работать в штатном режиме за N-ую сумму (от 10 000 рублей до unlim рублей).
На Хабре мелькали статьи, в которых авторы призывали системных администраторов и IT-менеджеров готовиться к «судному дню».
Ну что же, «судный день» настал, и я хочу поделиться собранной информацией по этой теме. Надеюсь, эта информация поможет многим сэкономить десятки, а то и сотни тысяч рублей.
По описанию до ката напрашивается вопрос: если заранее было известно, что изменения будут, почему компании не подготовились? Все потому, что неоднократно переносились сроки полного вступления в силу всех требований закона и многие думали, что с 1 июля все перенесут на 20, с 20 на 30 и так далее. В результате же ничего переносить не стали и 95% компаний оказались в луже.
Теперь для попадания в реестр операторов персональных данных необходимо привести свои информационные системы в соответствие с новыми требованиями. Могут потребоваться месяцы, чтобы разработать всю документацию, подготовить регламенты и внедрить выбранные средства защиты.
Отсутствие желания платить большие деньги интеграторам и специалистам заставило поискать в сети информацию о том, как самостоятельно добиться соблюдения нормативных требований по обработке персональных данных.
Информации уже достаточно и найти ее не сложно.
Например:
- ispdn.ru — открытая площадка для обсуждения вопросов в области защиты персональных данных, проектирования и использования информационных систем персональных данных, на которой присутствует перечень всех сертифицированных решений, краткие отчеты о проверках операторов, обзор судебной практики, оживленный форум и типовые решения по защите информации в ИСПДн.
- www.itsec.ru/forum.php — форум журнала «Информационная безопасность», на который нередко заглядывают представители регулирующих органов.
- anvolkov.blogspot.com — блог «Безопасность для понимающих и не очень», с альтернативным взглядом на процессы «улучшения» законодательства в области персональных данных.
- pd.rsoc.ru/inter-services/forum — официальный портал персональных данных, на котором есть практически всё от мониторинга изменений законодательства, до обзора судебной практики, только это «всё» ищется через раз, а систематизация раздела «Вопросы операторов персональных данных» привязана исключительно к дате появления вопроса на портале, независимо был ли ответ полуофициальным, просто полезным и совсем бессмысленным, в общем поплутать на этом портале придется не слабо.
Если говорить о каком-то структурированном, пошаговогом алгоритме с четкими рекомендациями, то стоит упомянуть сайт http://zpdn-day.ru. Информация там, насколько я понимаю, предоставляется бесплатно. На сайте есть инструкции, шаблоны документов, плюс ребята организуют бесплатные вебинары, посвященные проблемам, связанным с ФЗ-152 и ЗПДн.
Более полный список ссылок на ресурсы по теме можно найти тут.
Однако понятно, что теория может очень сильно отличаться от практики, поэтому давайте делиться опытом, если у кого-то такой уже имеется. В принципе, интересна будет любая информация.
Ну и список вопросов для обсуждения:
1) Кто-нибудь уже заполнял уведомление об обработке ПДн на сайте Роскомнадзора?
2) Что лучше выбрать — только сертифицированное ПО, 50 на 50 или вообще не покупать софт с сертификатами?
3) Какие средства защиты для локалки с ПДн? Рекомендуем и делимся опытом.
4) Кто-нибудь уже сталкивался с проверками? Если да, то сколько времени дают на устранение неполадок?
Заранее спасибо за ответы.