Персональные данные и информационная безопасность: с чего начать?

 Существенные изменения, которые были внесены в 152-ой ФЗ «О персональных данных», даже для тех, кто успел формально подготовиться к проверке надзорных органов, значительно актуализировали проблему. К сожалению, многие руководители организаций не поняли главного. Того, что наштампованные под копирку приказы проблему не решают. Но несоблюдение требований информационной безопасности может привести не только к административной, но и к уголовной ответственности. Как быть? Решать проблему. Акцентируем внимание именно на том, с чего начать. 

 Как это ни печально, придется осознать факт, что законодатель настоятельно требует от бизнеса и госорганов изменить отношение к использованию информационных технологий. И перейти от инфантильного «авось» к полноценной регламентации деятельности. Ведь автомобиль никто не использует так же, как самокат. А компьютер, если он используется в реальных бизнес-процессах, не является игрушкой. Другими словами, придется смириться с тем, что сотрудники в области информационной безопасности становятся таким же необходимым атрибутом организации, как бухгалтер. 

 Распространённым заблуждением является представление об информационной безопасности как сфере информационных технологий (ИТ). На самом деле, это верно лишь отчасти. Информационная безопасность — это контроль и надзор. Знание ИТ необходимо лишь для того, чтобы понимать — что же именно ты контролируешь.  

 Совмещение должностей системного администратора и специалиста по информационной безопасности такой же нонсенс, как бухгалтер и аудитор в одном лице. 

 Кем должен быть специалист по информационной безопасности? Очевидно, что он должен подчиняться руководителю, и только ему, и иметь возможность контролировать деятельность всех сотрудников организации. Крайне желательно наличие у него технического образования или, как минимум, хороших познаний в области информационных технологий. Вместе с тем, это не «компьютерщик», а исключительно, администратор. Если ваш сотрудник по обеспечению безопасности не имеет специального образования в области защиты информации, то нужно направить его на курсы повышения квалификации. 

 Для того, чтобы эффективно контролировать результаты его деятельности, необходимо и самому иметь общие представления о желаемых результатах. Можно, конечно, нанять специализированную фирму для разработки необходимых документов. Но важно помнить, что ответственность всё равно будете нести вы, а не эта фирма. Ведь внутренние проверки соблюдения безопасности персональных данных в организации являются такими же обязательными мероприятиями, как и инвентаризация материальных ценностей. 

 Основные обязанности организаций изложены в главе 4 Закона «О персональных данных». Хорошим подспорьем для вас может стать Постановление Правительства РФ от 21 марта 2012 года № 212, которое устанавливает исчерпывающий перечень мер для госорганов. Для бизнеса данный документ не более, чем рекомендация, но надзорные органы вряд ли будут разрабатывать отдельный регламент проверки для частных структур.  

 Кроме 152-го ФЗ, к обработке персональных данных сотрудников вашей организации есть специфические требования в Трудовом кодексе. 

 Основной вопрос для бизнеса: сколько стоит? Расходы на приобретение технических средств защиты существенно зависят от применяемой в организации схемы ИТ. И варьируются от 10 тыс. рублей за компьютер до бесконечности. Важно, что данные расходы можно снизить исключительно жёсткими организационными решениями. Которые, естественно, будут восприняты вашими работниками без энтузиазма. 

 Конкретные рекомендации: 

 

  1. определите сотрудника, который будет обеспечивать безопасность персональных данных, и, при необходимости, отправьте его на курсы повышения квалификации;

  2. возложите на него приказом персональную ответственность за организацию информационной безопасности и дайте ему необходимые полномочия;

  3. с целью минимизации расходов на защиту информации обсудите с ним схему использования ИТ и необходимые организационно-технические меры защиты информации;

  4. проконтролируйте, чтобы был подготовлен полный пакет документов в области защиты информации;

  5. не реже раза в год сотрудник должен предоставлять вам отчёт о выполненных мероприятиях в области защиты информации с обязательной оценкой соответствия их требованиям действующего законодательства, а также акт внутренней плановой проверки соблюдения установленных требований.