Вопрос защиты персональных данных постепенно выходит на первый план. Увеличились штрафы, появилась уголовная ответственность — все это серьезно повлияло на бизнес и привело к поиску решений по защите информации. Насколько эта задача реальна и какие шаги следует предпринять по ее решению, рассказывает заместитель директора департамента по консалтингу и аудиту ARinteg ОЛЕГ НЕСТЕРОВСКИЙ.
— Защитить персональные данные (ПДн) вполне реально. Более того, это обязанность операторов ПДн, на которую прямо указывает Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ). Современная номенклатура средств защиты информации достаточно обширна и позволяет подобрать эффективные решения практически под любой бюджет. Тем более, что, например, для четвертого уровня защищенности информационных систем персональных данных (ИСПДн) большинство требований приказа ФСТЭК России от 18 февраля 2013 г. № 21 можно реализовать организационными мерами или встроенными средствами программного обеспечения.
Подходить к задаче защиты ПДн надо комплексно. И начать с проведения инвентаризации информационных ресурсов и определения целевых уровней защищенности ИСПДн в рамках аудита персональных данных. Его можно выполнить как самим, так и доверить эту работу организации, имеющей лицензию ФСТЭК России на ТЗКИ (техническая защита конфиденциальной информации). Естественно, сторонний аудит представит более объективную картину состояния защиты ПДн, поскольку независимые эксперты не будут «смягчать» реально полученные результаты оценки соответствия. Это позволит организации избежать административной ответственности, что особенно актуально в условиях повышения в 2025 году штрафных санкций.
Внешний независимый аудит ПДн на соответствие требованиям Федерального закона № 152-ФЗ и подзаконных актов в среднем занимает порядка 3–4 месяцев. За это время аудиторы определят число информационных систем персональных данных, дадут оценку текущей ситуации по соблюдению нормативных требований и рекомендации по защите, процессам обработки информации.