Пошаговая инструкция: защита персональных данных в 2022 году
В 2022 году исполнится 16 лет с момента принятия Закона «О персональных данных» и 13 лет с момента его вступления в силу. Думается, за это время персональные данные должны были защитить все, кто обязан это делать по закону. Но реальность такова, что по-прежнему остается большой процент предприятий и организаций, которые либо не выполнили требования, либо выполнили их лишь частично. Об этом свидетельствует выявление множества нарушений в ходе проверок со стороны регулирующих органов.
Кому нужно защищать персональные данные
Любой бизнес или организация для своей работы взаимодействует как минимум с бухгалтерией и персоналом, а также ведет клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону обязаны защищать персональные данные.
Защита персональных данных необходима, как минимум, для обеспечения соблюдения требований регуляторов, чтобы в результате проверок они не были наказаны за отклонения от требований. Но помимо этого мотива необходимо помнить, что количество киберугроз и выявленных инцидентов растет год от года, и это несмотря на то, что практически все компании и организации переводят многие бизнес-процессы в онлайн. Защита персональных данных — отличный повод создать эффективную систему защиты вашего бизнеса от кибератак.
Основные этапы защиты ПДн
Мы разделили процесс на 9 этапов, о которых подробнее поговорим ниже:
разработка технического задания;
проектирование системы защиты;
реализация технической части системы защиты;
осуществление организационных мероприятий;
оценка эффективности принимаемых мер;
поддерживать необходимый уровень защиты в процессе эксплуатации.
Назовем нулевой этап осознания необходимости защиты персональных данных. Определите, в каких системах в вашей организации обрабатываются ПД.
При принятии решения о начале деятельности по обеспечению конфиденциальности руководствуйтесь информацией Роскомнадзора о результатах проверок. Максимально возможный штраф в случае нарушения может составлять 8 млн рублей, также возможно приостановление деятельности юридического лица до устранения несоответствий.
Защита персональных данных: пошаговый план
Шаг 1. Детальное изучение бизнес-процессов компании для определения, в каких из них и как обрабатываются персональные данные. Необходимо идентифицировать все информационные системы с персональными данными: от стандартной бухгалтерии и кадров до заказа визиток и корпоративной оплаты спортзала. Результатом этого этапа должен стать аналитический отчет, указывающий на несоответствие законодательству.
Шаг 2. Моделирование угроз. Модель угроз является основой для построения системы защиты конфиденциальности. Чтобы защитить свои информационные системы от угроз, необходимо понимать, какие из них актуальны. Для этого существует методика определения актуальности угроз. Вместе с моделированием угроз обычно оценивают уровень безопасности персональных данных, подробнее об этом можно прочитать в нашей статье Модель угроз. О моделировании угроз скоро будет рассказано в отдельной статье, где мы рассмотрим обновления законодательства и требований к бизнесу в 2022 году.
Шаг 3. Развитие комиссии. Источником требований к персональной информационной системе являются модель угроз (ТМ) и уровень безопасности персональной информационной системы (ПД). Система предназначена для нейтрализации угроз, которые будут описаны в вашем МУ, а базовый набор защитных мер определяется Приказом 21 ФСТЭК и зависит от СК.
Шаг 4. Разработайте систему защиты персональных данных. Согласно технического задания разрабатывается технический проект на создание СЗПД (система защиты персональных данных). В техническом задании должны быть определены программные и программно-аппаратные средства защиты информации, которые могут включать:
средства защиты от несанкционированного доступа, в том числе средства надежной загрузки;
средства антивирусной защиты;
инструменты анализа безопасности;
система обнаружения вторжений;
Шаг 5. Внедрение или развертывание системы защиты персональных данных. Техническое задание содержит спецификацию средств защиты информации, которые необходимо приобрести или получить в качестве услуги.
Обработка персональных данных 152-ФЗ: что важно знать в 2022 году
Шаг 6. Осуществление организационных мероприятий. Разрабатываются организационно-распорядительные документы, проводится обучение сотрудников и т д. На этом этапе вся необходимая информация будет готова для уведомления Роскомнадзора, ее необходимо заполнить и отправить в РКН.
Шаг 7. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится после создания системы защиты ПДн и до ее использования. Созданная система тестируется на соответствие эталонным условиям, для чего необходимо разработать программу и методики испытаний. Испытания состоят из 3 последовательных этапов: исходные испытания, опытная эксплуатация и приемочные испытания. По результатам каждого шага составляются протоколы и законы. Тесты можно проводить в виде услуги, точнее система безопасности как услуга уже будет поставляться в виде тестируемой системы.
Шаг 8. Сертификация. Форма аттестации обязательна для государственных органов, коммерческие предприятия могут проводить ее по своему усмотрению.
Шаг 9. Операция. Техническая поддержка системы информационной безопасности – важная часть работы, о которой нельзя забывать.
После выполнения всех действий необходимо поддерживать личную информационную систему в актуальном состоянии. Для этого проводятся периодические проверки состояния безопасности информационных систем ПДн. Периодичность проверок определяется регламентом наблюдения за состоянием безопасности и устанавливается каждым предприятием самостоятельно, но обычно колеблется от одного раза в неделю до одного раза в месяц в зависимости от вида проверки.
Например, на действующем сайте появилась форма обратной связи с предложением ввести ПД. Необходимо проанализировать возможные угрозы, возникающие в связи с этим, и понять, будет ли достаточно простого электронного согласия на передачу персональных данных или необходимо вводить дополнительные средства защиты информации.
Итак, подведем итоги. Если в вашей компании есть хотя бы одна система, такая как бухгалтерская, кадровая или CRM, вы обязаны защищать личные данные. Для того чтобы соблюсти требования законодательства, необходимо разработать положения, методические указания, приказы, положения, журналы, инструкции и так далее, подписать их, внедрить средства защиты информации и проверить, что все это работает эффективно. Альтернативой может быть передача всех этих вопросов на аутсорсинг. Самый простой способ сделать это — разместить систему в защищенном облаке, используя инфраструктуру, программное обеспечение и информационную безопасность поставщика услуг. Вы также можете отдать на аутсорсинг и подготовить все организационные мероприятия. Но компания, оказывающая такие услуги, должна иметь лицензии ФСТЭК и ФСБ и располагать именно теми средствами защиты информации, которые позволяют соблюдать требования законодательства.