arrod-back new-mail arrow atom Ресурс 2 cod-modern comp connect data-cod detail email fingerprint home input-user iso justice lan libra lifebuoy people planet rub shield speedtimer stat storage tel timer

Бизнес-лайфхак по защите персональных данных

11 ноября 2019
Время прочтения - 5 минут
  • #security
  • #полезное

Ой, кажется, я оператор персональных данных…

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных своих клиентов и/или сотрудников.

Вы уже оператор, если у вас сайт, на котором:

  • форма обратной связи, заявки, подписки на email-рассылку;
  • анкеты для заполнения (не анонимные);
  • возможность разместить объявление;
  • формы заказа товара/услуги;
  • личный кабинет пользователя;
  • Яндекс.Метрика, Google Analytics и другие маркетинговые аналитические инструменты.

Тут же под статус оператора попадают интернет-магазины, турфирмы, сайты объявлений, сотовые операторы, интернет-банки...

Финансовые организации находятся в жестких рамках. Если раньше защита ПДн их клиентов была частным делом каждой организации, то уже сейчас проблема приобрела государственные масштабы, ведь для злоумышленников базы данных финансовых компаний – лакомый кусочек. Для удобства своих клиентов банки выпускают приложения с личными кабинетами. А хакеры пишут трояны, с помощью которых удаленно могут увести сначала данные клиентов, а затем – и электронные кошельки.

Каково это – быть оператором ПДн

Этот перечень «ритуалов» посвящения в операторы вы найдете практически в каждой второй статье. Но мы все же напомним, что предстоит пройти «оператору-новичку» в мире персональных данных:

  1. Для начала подайте уведомление о начале обработки ПДн в Роскомнадзор, – это первый государственный орган, который будет вас проверять;
  2. Далее подготовьте пакет организационно-распорядительной документации по информационной безопасности (положения, методички и т.д.);
  3. Определите уровень защищенности информационных систем персональных данных;
  4. Назначьте ответственных за обработку и безопасность ПДн. В вашей организации должно быть минимум три сотрудника, которые прошли повышение квалификации по защите персональных данных, согласованное с ФСТЭК и ФСБ;
  5. Установите на вашу систему средства защиты информации, прошедшие оценку соответствия требованиям и имеющие действующий сертификат ФСТЭК;
  6. Прежде, чем начать обрабатывать ПДн субъекта, запрашивайте и получайте его согласие документированным способом или посредством ЭЦП;
  7. Опубликуйте на сайте политику обеспечения защиты персональных данных, а также цель сбора и обработки;
  8. Размещайте серверы с ИСПДн строго на территории РФ;

 

Не стоит испытывать судьбу. Роскомнадзор может оштрафовать нарушителя закона и приостановить деятельность организации.

Организовать защиту данных самостоятельно – безусловно, смелое решение. Но есть и другой подход – воспользоваться помощью профессионалов. У двух подходов различаются средства, объем требуемых ресурсов и времени:

В первом случае вы самостоятельно пройдетесь по списку, указанному выше. А система по защите ПДн будет выстроена, в лучшем случае, через пару месяцев. Затем придется регулярно тратиться на ее администрирование.

Второй путь снимает с вас всю рутину, и надежная рабочая система у вас будет готова уже через несколько дней. Спросите, как?

Защита персональных данных в облаке.

  • Облачный провайдер обеспечивает размещение данных в защищенном контуре, имеющем официальное подтверждение о соответствии требованиям по защите персональных данных. СХД с данными располагаются в сертифицированном по требованиям Tier-III дата-центре, обеспечивающем высокую многоуровневую защиту данных. Несанкционированному доступу к базам данных препятствует вся сопроводительная инженерная система дата-центра, а также….
  • …сертифицированные средства защиты информации от несанкционированного доступа: антивирусы, межсетевые экраны и системы обнаружения и блокировки вторжений IPS/IDS, защищенные туннели VPN.
  • Кроме того, провайдер помогает разработать организационно-распорядительную документацию по защите ПДн, а также проконсультирует по вопросам информационной безопасности.
  • Отслеживает возможные инциденты ИБ в режиме реального времени и своевременно реагирует на них.

Когда вы отдаете хранение персональных данных облачному провайдеру, вы остаетесь оператором ПДн! Провайдер отвечает за функционал по защите персданных. Не забудьте подписать поручение - договор с провайдером, -  в котором будут четко описаны требования к нему.

Теперь вам не требуется закупать дополнительное оборудование, внедрять собственные системы защиты и тратить большие суммы на дорогостоящее обучение сотрудников службы безопасности. Вы будете готовы к проверке, а также вооружены пакетом необходимых документов. А данные ваших клиентов и сотрудников – под защитой в надежном ЦОДе.