Pull to refresh

Приключения персональных данных в России

Information SecuritySystem administration1C

Пришел ко мне хороший приятель с просьбой помочь разобраться с защитой персональных данных, так как недавно к нему заглянули ответственные товарищи и напугали огромной ответственностью – типа штрафы выросли за прошлый год в 6000 раз. Я в этой теме поковырялся и обнаружил, что многие валят в одну кучу и требования к защите персональных данных в соответствии со 152 ФЗ и уровнями защищенности от 4-го до 1-го, и требования по 242 ФЗ в части локализации обработки персональных данных граждан РФ.
Уровни указаны в порядке возрастания ответственности:
4-й - самый низкий, на усмотрение оператора персональных данных
1-й – ответственность самая высокая, требуется очень редко, но почему-то многие с него начинают на себя ответственность примерять :)
Дисклеймер:
В 90% случаев нужен 3-й уровень. Вот его повально все нарушают, даже не подозревая об этом!

Так что же обнаружил, делюсь выводами и практикой

1. Да штрафы за нарушение в части локализации обработки персональных данных выросли очень-очень сильно (и это ох как сильно напрягло моего товарища CIO): за повторное нарушение для должностного лица до 800 000 руб, а для юридического - 18 000 000 руб! Facebook, если помните уже заплатил в прошлом году в РФ первый штраф, Twitter сейчас в очень опасном положении…, если, конечно, наша территория для него что-то значит, а Linkedin уже давно заблокирован.
Немного подробней об этой части закона:
«Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса»

2. Требуемый уровень защищенности зависит от категории персональных данных, количества обрабатываемых субъектов, субъектов обработчиков и типа угроз. Например, при большом количестве - более 100 000 «специальных» субъектов при 3-м типе угроз требуется 2-й уровень защищенности, а менее 100 000 субъектов – 3-й уровень, т.е. в нашем случае получилось, что для маленькой стоматологии требуется 3-й уровень защищенности. И при переносе данных из Azure в РФ, где они обрабатывались у моего товарища, все угрозы штрафа в 18 000 000 руб быстро рассосались.

Мало того, забегая вперед, скажу, что достаточно было просто организовать редактирование персональных данных и хранение копии в локальном облаке. Мы просто до конца не разобрались в процессах обработки и перестраховались.

3. Почему в облаке? Оказалось, что организовать защиту в офисе нам бы стоило в 10-15 раз дороже – от 1 000 000 руб. А в облаке – 12 000 руб в месяц. Даже за 3 года выплат получится в 3 раза дешевле!

4. Да, практически все персональные данные в наших бухгалтериях, CRM-ках, ERP-шках, управленческих учетах, адресных книгах, 1С-ках и других информационных системах, если они содержат полные данные ФИО и адреса жительства, ИНН или еще какие-либо атрибуты, которые явно указывают на конкретную личность, являются персональными данными, которые надо защищать. Есть простенькая таблица, легко гуглится, могу выслать, если надо.

Или немного в другом ракурсе:

НО! Оказалось, что «самолечение» точно не всегда решает проблемы эффективно. Нам совершенно бесплатно все объяснили и помогли определить необходимый уровень. Можете обратиться к любому отечественному облачному поставщику, который предоставляет услуги по защите перс.данных, – они делают этот консалтинг БЕСПЛАТНО!

Специально для тех, кто любит залезать под капот и все проверять самостоятельно:

5. Оказалось, что есть еще скрытые затраты – надо обязательно делать пакет организационно-распорядительной документации (ОРД). Можно сделать его самому, но тогда проверяющие будут придираться к каждой запятой. Если отдать немного денежек или взять у облачников в составе услуги, ОРД делают лицензированные подрядчики, и их подписи и печати магическим образом отпугивают шершн… проверяющих.

6. Оказалось, что, как всегда, есть защита от реальных угроз и от проверяющих. В 99% случаев нужна 2-я защита.

7. И самое важное, что обнаружил – в 90% случаев требуется соответствовать 152 ФЗ УЗ 3 (3-й уровень защищенности), а далее самое потрясающее – 99% компаний нарушают эти требования. Поэтому и решил всех предупредить: предупрежден, значит вооружен значит задумайтесь и спросите экспертов, как проще вам защититься от этих 2-х типов угроз.

Tags:защита данныхперсональные данные 2020защита персональных данных152-фз152 фз
Hubs: Information Security System administration 1C
Total votes 15: ↑11 and ↓4 +7
Views6.7K

Popular right now