Когда-то киберпреступность была узкой специализированной нишей, и компетентен в ней был ограниченный круг специалистов. Однако за последние 10 лет ситуация в корне изменилась, и киберпреступность стала одной из наиболее значимой стратегической угрозой, стоящих сегодня перед всем миром.

Цифровое мошенничество с каждым днем набирает обороты, атакуя информационные системы, похищая персональные данные пользователей, и не последнюю роль в его стремительном развитии сыграл технологический прогресс.

Накаляется обстановка и на мировой политической арене, заставляя представителей власти всех уровней укреплять систему информационной безопасности учреждений и стратегически важных объектах, непрерывно модернизировать защитную инфраструктуру.

Чтобы выиграть в этой цифровой войне и гарантировать высокий уровень защиты информационных активов, необходимо обеспечить комплексную защиту информации, включающую внедрение технических мер защиты, постоянный аудит информационной безопасности и актуализацию необходимой документации.

Со всем этим и многим другим справляется один продукт – DocShell. Но обо всем по порядку.

DocShell на защите персональных данных

Что объединяет большинство российских организаций? Общая проблема – персональные данные (далее – ПДн). Многие недооценивают их значение, и даже не подозревают о проблемах, связанных с ними. Наверняка каждый из нас хоть раз в жизни сталкивался с персональными данными – в отелях, поликлиниках, интернет-магазинах просят поставить заветную «галочку», соглашаясь на обработку ПДн и принимая политику конфиденциальности.

С этого момента начинается самый сложный и серьезный процесс. Согласно законодательству, любая организация, занимающаяся обработкой персональных данных, обязана обеспечить им надежную защиту, предприняв определенные технические меры и в итоге создав документ «Модель угроз». Его разработка – процесс рутинный, сложный. Ошибиться нельзя – ответственность слишком велика, а человеческий фактор никто не отменял.

Перед оператором по обработке персональных данных стоит непростая задача: создание пакета организационно-распорядительных документов, которые включают в себя множество приказов, инструкций и положений. В них нужно указать, чьи данные будут обработаны и для каких целей, чтобы надзорные органы определили степень правомерности сбора ПДн. Все нюансы должны быть отражены в документах, иначе выбор технических мер будет не обоснован.

Каждая организация должна уделять подготовке документов пристальное внимание – этого требует законодательство. А именно – Федеральный закон 152-ФЗ «О персональных данных». Он вступил в силу еще в июле 2006 года. В 2017 году закон был несколько изменен: ужесточили требования, повысили для организаций штрафы, которые достигают 300 тыс. рублей). Несмотря на достаточно жесткие штрафные санкции за нарушение 152-ФЗ, не все компании с ним знакомы, из-за чего часто в их деятельности возникает ряд проблем.

Но как обработать огромный объем информации, изучить закон и около 30 подзаконных актов и не допустить ошибки, потратив при этом немного времени и сил? А если вы возглавляете государственную организацию? Представили масштабы? Как их осилить?

Есть три варианта:

  • работать вручную. Нанять специалиста (если у организации есть филиалы, то в них тоже должен быть специалист по информационной безопасности) и возложить эти рутинные обязанности на него. Есть ли минусы у такого способа работы с документами? Есть, и больше, чем плюсов. Высока вероятность найма некомпетентного специалиста, поскольку высокой квалификацией обладают лишь единицы, а стоимость их услуг довольна высока;
  • обратиться в аутсорсинговую компанию, которая подготовит для Вас пакет требуемых документов. Выбирая этот способ, важно помнить следующее: пакет документов будет актуален на момент его получения, он будет отражать реальную ситуацию в моменте. Однако любые изменения в Вашей организации (даже самые незначительные) должны будут фиксироваться Вами в разработанном пакете документов. Таким образом, приобретенный пакет документов (к слову, за немаленькую сумму), может стать неактуальным уже через неделю;
  • автоматизировать процесс с помощью DocShell. Система позволяет разработать все необходимые документы согласно Федеральному закону 152-ФЗ «О персональных данных», отвечая на вопросы анкеты. Полученные от Вас данные система упорядочит и организует более 50 документов, за актуальностью которых следят специалисты DocShell. Вы также сможете автоматизировать ведение журналов. Главное – Ваши документы всегда будут актуальны. DocShell напомнит, когда нужно проверить документы, Вам же остается актуализировать анкетные данные.

Почему так важно соблюдать законодательство в области персональных данных?

Периодически надзорные службы приходят в организации с проверкой. К вам может нагрянуть Роскомнадзор, ФСБ или ФСТЭК. У каждого органа – свои компетенции. Например, ФСБ контролирует криптографическую защиту, а ФСТЭК – технические меры.

К чему нужно быть всегда готовым?

К внеплановым проверкам. Надзорные органы, как правило, проверяют непосредственно документацию и ее соответствие 152-ФЗ «О персональных данных» – то, с чем у многих организаций бывают проблемы. О проверке предупреждают за 24 часа. Поводов у проверки два: жалоба гражданина и мероприятия систематического контроля. Первый – наиболее «коварный» вариант.

Представим ситуацию. Вы уволили сотрудника, он посчитал Ваше решение несправедливым, и пишет заявление с просьбой прекратить обработку его персональных данных. Согласно закону «О персональных данных», это заявление Вы должны обработать и ответить в течение 30 дней, однако Вы этого можете не сделать, или ответить неправильно, если 152-ФЗ Вам не знаком.

Не получив ответ, бывший сотрудник пишет жалобу в Роскомнадзор, после чего начинается череда проверок, которые могут обернуться для организации штрафами и серьезными проблемами. Первое, что проверят надзорные органы – это пакет документов. И если их нет – Вы нарушили законодательство.

И в первом, и во втором варианте Вы должны иметь наготове пакет актуальных документов, созданных в соответствии с 152-ФЗ «О персональных данных». И лучший помощник в этом нелегком деле – DocShell. Подключитесь, и DocShell значительно облегчит Вашу работу.