Практика

Уровень 1 - Испытание духа

Итак, начнем и представим, что нам за минимальное время нужно пройти организационно-технический квест под названием "Защита персональных данных", чтобы на седьмом уровне оказаться в рядах благородных и законопослушных операторов персональных данных.

Наша цель - не просто попасть в реестр операторов, а стать оператором, обрабатывающим персональные данные без страха и упрека, настоящим рыцарем-защитником всех, кто когда-либо доверил нам свои приватные данные.

Для демонстрационного примера, за юридическое лицо, мы возьмем несуществующую компанию ООО "Наша компания". Сфера деятельности для нас большого значения не имеет. Все дело только в тех объемах персональных данных, которые мы обрабатываем. А если быть совсем точным, то все дело в нашей доброй воле, без нее ничего и не начнется.

Если юный сисадмин или умудренный опытом сетевой инженер не горит желанием заниматься новой головной болью, то можно расслабиться, по закону, вся ответственность за всё, что касается персональных данных, лежит на руководителе. Но если директор уже в курсе, что он вряд ли справится с такой задачей и есть договоренность о дополнительном вознаграждении ответственного специалиста, то в два счета можно получить самые широкие полномочия для дальнейших действий.

На этом этапе, конечно, требуется некоторая решимость и храбрость духа, потому что со стороны ФЗ-152 зачастую кажется исполинским драконом, справиться с которым в одиночку невозможно, даже в названии регулирующих документов есть что-то эпическое, например, "трехглавый приказ". Хотя для опасений не так много причин, появилось множество рекомендаций и разъяснений, сотни организаций уже прошли проверки регуляторов, и рано или поздно подобная проверка может показаться и на нашем горизонте, поэтому решительные действия зачастую лучше безучастного наблюдения.

Продолжаем готовиться к обряду посвящения в защитники персональных данных, тем более, что таким рыцарем-защитником может стать каждый, независимо от опыта и квалификации. На бланке организации, заверенном подписью и печатью, составляется приказ о назначении ответственного или создании комиссии по приведению нашей информационной системы персональных данных в соответствие с требованиями ФЗ-152. Таким или примерно таким образом поступили уже более 200 тысяч российских организаций и предприятий всех сфер собственности, вошедших в реестр операторов персональных данных.

Информационными системами персональных данных (ИСПДн) называются наши информационные системы, в которых обрабатываются персональные данные сотрудников, клиентов, партнеров – в общем физических лиц. Именно для этих данных потребуется обеспечение режима информационной безопасности.

Формируя приказ о назначении ответственного или создании комиссии, предстоит сделать выбор будет ли работа по сопровождению всех вопросов защиты ИСПДн вестись одним человеком или комиссией из нескольких специалистов разного профиля. Второй вариант лучше, потому что, помощь союзников нам непременно потребуется. Например, HR-менеджер сможет взять на себя все коммуникации с сотрудниками по сбору данных или подписаний инструкций, а юрист - полностью подготовить весь пакет внутренней документации. Хотя в некоторых случаях всю работу будет быстрее сделать одному – тому кто, назначен приказом ответственным за приведение в соответствие, например, системному администратору.

Системный подход к системам защиты

Итак, с появлением приказа, можно считать, что начало добрым делам положено. Заводим папку-регистратор, называем её "Комплект документации по приведению ИСПДн ООО "Наша компания" в соответствие с требованиями 152-ФЗ". Именно с этой папкой будут знакомиться представители регуляторов при проведении проверок. Подшиваем в дело первый документ — Приказ о комиссии (или об ответственном, если он будет в единственном числе). Вторым документом станет Положение о защите персональных данных.

Готовясь стать оператором ПДн, нужно понимать, что каждая легализация – это не просто слова "теперь мы работаем по белому", но и доблести и обязанности. Например, у нас, как оператора, появится обязанность реагировать на любые неанонимные запросы по тегу "персональные данные". И даже когда житель какой-нибудь Оклахомы пришлет нам имейл с вопросом: "А не обрабатываете ли вы у себя мои персональные данные?". Несмотря на некоторую абсурдность ситуации, мы просто обязаны будем в течение 10 дней данному физическому лицу направить официальный ответ с отрицанием (или подтверждением) данного факта.

Срок ответа по запросам регуляторов и того меньше – 7 календарных дней. Значит, подшиваем в папочку еще один документ с заголовком "Типовые шаблоны ответов по запросам субъектов персональных данных". Создав три указанных документа, у нас все готово для перехода на второй уровень, на котором мы приступим к классификации персональных данных и назначим классдля нашей ИСПДн.

На новый уровень! >>