Целью закона «О персональных данных» от 26.07.2006 г. №152-ФЗ (далее – Закон) является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональные данные обрабатываются всеми юридическими, а также физическими лицами без исключения. И во многих случаях характер обработки ПД подпадает под требования Закона. Субъектами персональных данных могут быть работники, клиенты, обучающиеся, руководители организации, акционеры. В отношении каждого из них можно идентифицировать десятки правовых ситуаций, требующих правильного решения.
Обработка персональных данных немыслима без автоматизации. Сегодня многие используют распределенные базы данных, облачные технологии, получают доступ к ПД с мобильных устройств. Закон и принятые в соответствии нормативные документы (ПП РФ №1119, Приказ ФСТЭК №21, Приказ ФСБ №378 и др.), требуют от Операторов обеспечения многих мер. Среди них не только размещение БД для сбора данных на территории РФ, но и физическая защита серверов, ПК, идентификация и контроль доступа пользователей, учет действий пользователей, учет машинных носителей информации, антивирусы, защита каналов связи, периметра ИС и сегментов ЛВС, регулярный контроль, реагирование на инциденты и другие.
Начать эту работу следует с обзора имеющихся условий и применимых мероприятий, а также формирования модели угроз безопасности персональных данных. Специалисты АСПЕКТ СПб имеют опыт реализации десятков проектов по защите персональных данных и готовы помочь заказчикам в выполнении этой работы.
Защита прав субъектов персональных данных
Приведение в порядок процессов обработки персональных данных является для организаций с одной стороны важной задачей, а с другой — она представляет собой большой вопрос «что делать?» Вопрос этот к текущему моменту был продиктован как неопределенностью законодательно-нормативных требований, так и недоступностью обычным операторам практик организации обработки персональных данных.
Вертикаль требований в нормативно-правовой сфере уже утвердилась и предлагает довольно стройный комплекс. Однако в части практик так и остаётся проблема.
Известно, что нормативные документы устанавливают лишь требования, однако они не говорят, что и как делать в конкретных случаях. И каждая организация — неповторимый случай. Индивидуальность эта проявляется во всём: в отраслевой специфике, в конкретном распределении полномочий, в характере отдельных руководителей, в подходе к документированию процедур, в наличии внешних требований, в целях руководства в отношении данной темы, в полномочиях лица, назначенного ответственным.
Поэтому в АСПЕКТ СПб разработан комплекс методов и собственный подход к консультированию Заказчиков по вопросам персональных данных и информационной безопасности.
Этот комплекс включает следующие решения:
- Проведение мастер-классов для ответственных за организацию обработки персональных данных.
- Аудиты соответствия выполняемых операторами мероприятий текущему нормативно-правовому регулированию.
- Консультирование по вопросам обработки персональных данных.
- Выполнение проектов по защите информационных систем персональных данных.
Проекты по защите информационных систем персональных данных
Проект по защите информации является следствием всех выполненных организацией мер по организации обработки персональных данных. Технические меры, включаемые в проект должны соответствовать особенностям конкретной информационной системы, конкретной экономической и эргономической модели, которая является оптимальной для организации.Современные требования по персональным данным в РФ дают исчерпывающий набор возможностей для формирования систем защиты, а также учитывать современные и новые информационные технологии. Поэтому у организаций появляется возможность реализовать меры как можно более близко к своим требованиям и особенностям, что делает каждый проект уникальным.
Примеры выполненных проектов:
- аудит информационной безопасности ИСПДн;
- проектирование системы защиты информации ИСПДн учебного заведения;
- аттестация информационной системы персональных данных;
- организация защищенной сети межведомственного взаимодействия уровня региона;
- приведение в соответствие процессов обработки ПДн оператора связи, контрольно-надзорного органа, учебного заведения, автосервиса
- и другие.
Аудиты соответствия и эффективности мероприятий по защите персональных данных
Многие организации организуют обработку персональных данных, однако нередко перед ними встает вопрос: «все ли мы сделали?»
Ответить на этот вопрос позволяет проведение аудита. Аудит может включать:
- обследование только организационных процессов;
- обследование также информационных систем персональных данных;
- аудиты ИТ-инфраструктуры по более широкому спектру требований.
Услуги аудита включают:
- Определение перечня процессов обработки персональных данных в организации.
- Изучение документов, имеющихся на объектах.
- Обследование объектов и выполняемых мероприятий на объектах (выборочное по типам объектов).
- Обследование ИСПДн (выборочное по типам объектов ИСПДн).
- Формирование отчета (акта) оценки условий обработки информации, включающего оценку эффективности и соответствия.
- Формирование перечня рекомендаций.
- Проведение презентации результатов заинтересованным лицам.
Документы, по которым АСПЕКТ-СЕТИ проводит аудиты и имеет опыт:
- ФЗ-152 «О персональных данных» от 27.07.2006 г.
- Постановление Правительства РФ №1119 от 01.11.2012 г.
- Постановление Правительства РФ №211 от 21.03.2012 г.
- Приказ ФСТЭК России №21 от 18.02.2013г (опубликован 22.05.2013).
- Типовые требования ФСБ по организации обработки персональных данных с использованием средств шифрования (если они используются).
- Базовая модель угроз ФСТЭК, Методика определения актуальных угроз ФСТЭК, Методические указания ФСБ.
- ISO 27001, ISO 27002.
Результатами аудита являются:
- квалифицированный ответ руководству о степени соответствия и необходимых дальнейших действиях, включая бюджетные оценки;
- повышение компетентности персонала;
- наличие документированного среза состояния ИТ-объектов заказчика;
- определение бюджета.
Консультирование по вопросам персональных данных
Нередко организациям становится интересным пройти весь путь по организации защиты прав субъектов персональных данных. Часто руководство этих организаций осознает проблему, заключающуюся в отсутствии ресурсов и компетентных кадров.
В этом случае выходом может быть привлечение консультанта.
В ходе консультирования может быть выполнен полный комплекс работ, включающий обследование процессов, документирование процессов и процедур обработки персональных данных, выполнение аудитов соответствия, проведение мастер-классов и обучения персонала.
Важным требованием к заказчикам в случае оказания услуг консультирования является их готовность воспринять рекомендации и предлагаемую модель и после завершения проекта обеспечивать её функционирование. Это является ключевым условием результативности любого проекта консультирования.
Результатами комплексного консультирования являются:
- готовая организационно-управленческая модель, разработанная под конкретную организацию;
- повышение компетентности руководителей и сотрудников;
- готовые к принятию в организации документы;
- осведомленность руководства о степени соответствия организации требованиям.
Мастер-классы по организации обработки персональных данных
В ходе многих проектов выявлено, что проведение учебных мероприятий для заказчиков является наиболее эффективной мерой по повышению уровня компетентности сотрудников в сравнении с любыми другими мерами. Обучение с фокусом на деятельности, а также на ключевых задачах, возникающих в связи с персональными данными, даёт мгновенный отклик и поддержку персонала.Опыт разработки документов, особенно касающихся процессов обработки персональных данных, показывает, что невозможно получить готовый документ за одну беседу с Заказчиком. Как правило количество итераций достигает 5-6 и на каждой из них объем сведений увеличивается на 5-30%. Связано это с тем, что практически в 90% организаций процессы не имеют формального описания процессов. Часто процессы, хотя и выделены в отделы, но представляют собой «облако» или «черный ящик».
Мастер-класс – учебное мероприятие длительностью не более 2 часов. Для мастер-класса необходимо определиться с прототипом процесса (АСПЕКТ-СЕТИ имеет в своей библиотеке десятки готовых процессов из различных отраслей) . Аудитория мастер-класса должна быть как можно более сфокусированной на конкретном процессе. Если не удается собрать такую аудиторию, то мастер-класс проводится для процесса «Управление персоналом». Данный процесс есть у каждой организации, а методика при этом единая для всех и позволяет сотрудникам увидеть всю логическую цепочку выработки полноценных решений.
Результатами мастер-класса являются:
- повышенная осведомленность персонала, вовлеченность в процесс и поддержка;
- готовое описание бизнес-процесса обработки персональных данных;
- готовая структура документов, которые нужно будет разработать.