Пришел ко мне хороший приятель с просьбой помочь разобраться с защитой персональных данных, так как недавно к нему заглянули ответственные товарищи и напугали огромной ответственностью – типа штрафы выросли за прошлый год в 6000 раз. Я в этой теме поковырялся и обнаружил, что многие валят в одну кучу: требования к защите персональных данных в соответствии со 152 ФЗ и уровнями защищенности от 4-го до 1-го, и требования по 242 ФЗ в части локализации обработки персональных данных граждан РФ.
Уровни указаны в порядке возрастания ответственности:
4-й - самый низкий, на усмотрение оператора персональных данных
1-й – ответственность самая высокая, требуется очень редко, но почему-то многие с него начинают на себя ответственность примерять :)
Дисклеймер:
В 90% случаев нужен 3-й уровень. Вот его повально все нарушают, даже не подозревая об этом!
Так что же обнаружил, делюсь выводами и практикой
1. Да, штрафы за нарушение в части локализации обработки персональных данных выросли очень-очень сильно (и это ох как сильно напрягло моего товарища CIO): за повторное нарушение для должностного лица до 800 000 руб, а для юридического - 18 000 000 руб! Facebook, если помните уже заплатил в прошлом году в РФ первый штраф, Twitter сейчас в очень опасном положении…, если, конечно, наша территория для него что-то значит, а Linkedin уже давно заблокирован.
Немного подробней об этой части закона:
«Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса»
2. Требуемый уровень защищенности зависит от категории персональных данных, количества обрабатываемых субъектов, субъектов обработчиков и типа угроз. Например, при большом количестве - более 100 000 «специальных» субъектов при 3-м типе угроз требуется 2-й уровень защищенности, а менее 100 000 субъектов – 3-й уровень, т.е. в нашем случае получилось, что для маленькой стоматологии требуется 3-й уровень защищенности. И при переносе данных из Azure в РФ, где они обрабатывались у моего товарища, все угрозы штрафа в 18 000 000 руб быстро рассосались.
Мало того, забегая вперед, скажу, что достаточно было просто организовать редактирование персональных данных и хранение копии в локальном облаке. Мы просто до конца не разобрались в процессах обработки и перестраховались.
3. Почему в облаке? Оказалось, что организовать защиту в офисе нам бы стоило в 10-15 раз дороже – от 1 000 000 руб. А в облаке – 12 000 руб в месяц. Даже за 3 года выплат получится в 3 раза дешевле!
4. Да, практически все персональные данные в наших бухгалтериях, CRM-ках, ERP-шках, управленческих учетах, адресных книгах, 1С-ках и других информационных системах, если они содержат полные данные ФИО и адреса жительства, ИНН или еще какие-либо атрибуты, которые явно указывают на конкретную личность, являются персональными данными, которые надо защищать. Есть простенькая таблица, легко гуглится, могу выслать, если надо.
Или немного в другом ракурсе:
НО! Оказалось, что «самолечение» точно не всегда решает проблемы эффективно. Нам совершенно бесплатно все объяснили и помогли определить необходимый уровень. Можете обратиться к любому отечественному облачному поставщику, который предоставляет услуги по защите перс.данных, – они делают этот консалтинг БЕСПЛАТНО!
Специально для тех, кто любит залезать под капот и все проверять самостоятельно:
"БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ"
Оригинал здесь:
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год
5. Оказалось, что есть еще скрытые затраты – надо обязательно делать пакет организационно-распорядительной документации (ОРД). Можно сделать его самому, но тогда проверяющие будут придираться к каждой запятой. Если отдать немного денежек или взять у облачников в составе услуги, ОРД делают лицензированные подрядчики, и их подписи и печати магическим образом отпугивают шершн… проверяющих.
6. Оказалось, что, как всегда, есть защита от реальных угроз и от проверяющих. В 99% случаев нужна 2-я защита.
7. И самое важное, что обнаружил – в 90% случаев требуется соответствовать 152 ФЗ УЗ 3 (3-й уровень защищенности), а далее самое потрясающее – 99% компаний нарушают эти требования. Поэтому и решил всех предупредить: предупрежден, значит вооружен значит задумайтесь и спросите экспертов, как проще вам защититься от этих 2-х типов угроз.
