Пять шагов к системе. Персональные данные на рынке СМБ::Журнал СА 12.2010
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6143
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6855
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4139
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2976
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6282
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3433
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12335
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13966
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9098
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7052
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5361
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4593
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3400
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3127
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3378
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2999
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Пять шагов к системе. Персональные данные на рынке СМБ

Архив номеров / 2010 / Выпуск №12 (97) / Пять шагов к системе. Персональные данные на рынке СМБ

Рубрика: БИТ. Бизнес & Информационные технологии /  Закон есть закон

Виктор Минин ВИКТОР МИНИН, сопредседатель комитета по информационной безопасности Российского союза ИТ-директоров

Пять шагов к системе
Персональные данные на рынке СМБ

ФЗ №152 вступил в силу еще 26 января 2007 года и распространяется на всех юридических и физических лиц, деятельность которых связана с обработкой персональных данных, как с использованием средств автоматизации, так и без использования таких средств, за исключением случаев, оговоренных в п. 2 ст. 1 Закона

Есть ли персональные данные в среднем и малом бизнесе?

Да есть, и особенно у тех компаний, которые ведут бизнес, ориентированный на физических лиц.

Напомню, что все существующие информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2011 года. А вновь создаваемые информационные системы сразу должны строиться в соответствии с уже действующими требованиями.

Что же делать собственнику бизнеса, работающему на рынке СМБ?

Рекомендуется самостоятельно выполнить эту работу, если нет лишних финансов (а их, как правило, в этом секторе всегда не хватает).

Второй подход – привлечь внешних консультантов, выбрав консалтинговую компанию.

Итак, с чего начать? С главной истины, заложенной в законе. Основой организации работ с персональными данными является внутренняя нормативная документация, определяющая и регламентирующая все виды деятельности по обработке персональных данных в компании независимо от того, ведется ли обработка персональных данных с использованием средств автоматизации или без них.

Операторы персональных данных должны задуматься об организации своей деятельности в соответствии с существующим законодательством и провести комплекс определенных мероприятий.

Первый шаг

Начинать надо отнюдь не с уведомления, упоминаемого в Законе, и не с выбора мер и средств защиты информационной системы, в которой обрабатываются персональные данные. Начинать надо с четкого определения трех позиций, от которых в основном и будет зависеть соблюдение требований ФЗ (кстати, и величина затрат на защиту персональных данных). Это категории обрабатываемых персональных данных, их объем и цели обработки.

В результате в организациях должен появиться новый, достаточно объемный пласт взаимосвязанной документации, регулирующей все вопросы обработки персональных данных.

Основным должно стать «Положение об обработке персональных данных компании-оператора», т.е. документ, аккумулирующий информацию о персональных данных, обрабатываемых оператором.

Практика его создания уже существует: статья 88 КЗОТ РФ определяет, что «передача персональных данных работника должна осуществляться в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись».

Впрочем, такой документ полезно иметь всем операторам, а не только тем, кто обрабатывает данные лишь своих сотрудников.

Ведь даже для подачи уведомления в уполномоченный орган оператор должен:

  • сформулировать правовые основания, цель и способы обработки персональных данных;
  • определить категории обрабатываемых персональных данных и субъектов, чьи данные обрабатываются;
  • составить перечень действий с персональными данными;
  • изложить меры, которые оператор осуществляет в целях обеспечения безопасности;
  • зафиксировать дату начала обработки, срок или условие ее прекращения.

Кстати, в связи с тем, что эти критерии изменяемы с течением времени, такой документ в организации должен поддерживаться в актуальном состоянии.

Помимо этого, настоятельно рекомендуется включить в Положение информацию об основаниях и порядке уничтожения персональных данных, а в качестве приложения добавить форму согласия субъекта персональных данных на обработку таких данных, разработанную с учетом требований ФЗ №152.

Второй шаг

Далее нужно закрепить порядок обработки, т.е. описать все бизнес-процессы компании, связанные с обработкой персональных данных, с указанием конкретных должностных лиц, персональных данных и используемых мер и средств защиты.

Поскольку нормативная правовая база упоминает два способа – с использованием средств автоматизации и без них, то целесообразно на основании анализа деятельности компании разработать две Инструкции о порядке обработки персональных данных. В компании могут применяться оба документа одновременно.

Третий шаг

Обязательно необходим блок административно-распорядительных документов компании. Что в него войдет?

Для начала издайте приказ о назначении должностного лица, ответственного за организацию работы с персональными данными в комплексе, включая организационно-правовые действия и направление технической защиты информации. Именно этот сотрудник будет нести ответственность за осуществление компанией деятельности в качестве оператора персональных данных.

Еще одним приказом настоятельно рекомендуем назначить лиц, ответственных как за автоматизированную обработку персональных данных, так и за обработку без использования средств автоматизации.

Они могут быть из разных областей: специалист по информационной безопасности, юрист или лицо, отвечающее за работу с персоналом.

В этом же приказе можно определить и те должности, при занятии которых сотрудник непосредственно участвует в обработке персональных данных.

Как только эти позиции будут закреплены в приказе по компании, в должностные инструкции каждого специалиста должны быть внесены дополнения, касающиеся работы с персональными данными.

Одновременно с этим компании-оператору необходимо заключить соглашения с работниками о неразглашении персональных данных клиентов компании.

Четвертый шаг

Практика показывает, что только тогда, когда компания смогла сформулировать и принять эти документы, уведомление в Роскомнадзор будет содержать фактическую и осознанную самим оператором информацию о действительном положении дел в компании.

Это позволит избежать жалоб и судебных тяжб с субъектами персональных данных, чьи права могут быть нарушены, а также недоразумений при общении с уполномоченными органами и при проведении контрольных мероприятий. При отправке уведомления не забудьте оставить у себя в деле копию с отметкой о его получении уполномоченным органом.

Безусловно, перечень вышеназванных документов далеко не полон, но в целом отражает структуру организации работы с персональными данными оператора персональных данных. В некотором смысле это типовое решение. Для каждой организации такая система должна учитывать особенности сферы деятельности, бизнес-процессов и структуру компании. При этом следует помнить, что все типовые документы, которые вы сможете отыскать на бескрайнем информационном пространстве Интернета, не выдерживают критики.

Полагаю, что следует начинать с методических пособий, размещенных на существующих легитимных источниках. К примеру, учебно-методическое пособие по курсу повышения квалификации «Обеспечение безопасности персональных данных» издательского дома «Афина» на ресурсах www.shop.inside-zi.ru и www.i-security24.ru.

Пятый шаг

Когда выполнены все шаги, то, как правило, приходит понимание сложившейся картины не только с персональными данными, но и со всей информационной системой, что позволяет руководителю оптимизировать процессы обработки информации в целом и выстроить после этого процессы защиты информации комплексно, а не только персональных данных.

Операторам персональных данных предлагается следующая схема организации защиты персональных данных: при наличии единого управленческого звена в организации необходимо создать техническое направление по формированию обеспечения защиты персональных данных и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки. Это может быть, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами персональных данных). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.

В тех случаях, когда компания немногочисленна, как правило, вся ответственность возлагается на руководителя компании, но это не означает, что документацию нет смысла делать.

***

В русском языке много емких и красочных пословиц: «пока гром не грянет…», «работа – не волк…». Но призываю вспомнить не их, а уместную в данной ситуации народную мудрость: «не откладывай на завтра то, что можно сделать сегодня». Только на «первые шаги» с помощью экспертной организации уйдет в среднем три-четыре месяца. Самостоятельно справиться с задачей можно за полгода.

Ответственность при невыполнении требований Закона достаточно серьезна. Кодекс об административных правонарушениях РФ предусматривает за нарушение требований по защите персональных данных административный штраф на должностных и юридических лиц в среднем от 5000 до 500 000 рублей вплоть до приостановления деятельности компании до 90 суток.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru