Используя сайт DK.RU, Вы соглашаетесь с использованием файлов cookie, которые указаны в Политике обработки персональных данных
Используя сайт DK.RU, Вы соглашаетесь с использованием файлов cookie, которые указаны в Политике обработки персональных данных
Екатеринбург
Подписаться
Курс ЦБ на 11.02
77,20
91,94
Регион поиска:
Екатеринбург
  • Екатеринбург
  • Казань
  • Красноярск
  • Нижний Новгород
  • Новосибирск
  • Ростов-на-Дону
  • Санкт-Петербург
  • Тюмень
  • Челябинск
  • Вся РОССИЯ
Ваше местоположение Екатеринбург?
Выбрать другое

Персональные данные есть у любого бизнеса: как их правильно защищать, избегая штрафов

Антон Халиков, директор компании NetAngels
Антон Халиков, директор компании NetAngels. Автор фото: Сергей Васьков. Иллюстрация: NetAngels

Для многих процесс работы с данными сотрудников и клиентов превратился в настоящую головную боль. Гендиректор «NetAngels» Антон Халиков рассказал, как это исправить.

#ТЕХНОЛОГИИ #БИЗНЕС #СПЕЦПРОЕКТЫ

Соблюдение требований законодательства о защите персональных данных остается вызовом для многих компаний. Особенно остро эту проблему ощущает малый и средний бизнес, который зачастую не имеет в штате профильных специалистов и вынужден идти на риск, самостоятельно решая, какие меры защиты будут достаточными.

О том, как превратить защиту персональных данных в понятный и контролируемый бизнес-процесс, DK.RU рассказал директор «NetAngels» Антон Халиков.

Почему 152-ФЗ касается всех и что мешает его выполнить

— Федеральный закон № 152-ФЗ «О персональных данных» действует почти 20 лет, но именно в последние годы бизнес начал ощущать его требования особенно остро. Причина проста: контроль со стороны регуляторов усилился, а ответственность за нарушения стала по-настоящему ощутимой.

Персональные данные есть у любого бизнеса. Если у компании есть сотрудники — обрабатываются их данные. Если есть клиенты, заявки с сайта, форма обратной связи или онлайн-оплата — обрабатываются данные клиентов. Размер бизнеса и регион значения не имеют: небольшой интернет-магазин в Екатеринбурге подчиняется тем же требованиям, что и крупная федеральная компания.

Закон определяет персональные данные широко — как любую информацию, которая позволяет прямо или косвенно идентифицировать человека. На практике это означает, что к ним относятся не только ФИО, паспортные данные человека и его номер телефона. В сочетании с другой информацией (например IP-адресом) к персональным данным может быть отнесен даже обезличенный e-mail.

С момента начала работы с персональными данными компания становится оператором и обязана выстроить систему их обработки и защиты. Речь идет прежде всего об организационных мерах: назначении ответственного лица, утверждении политики обработки персональных данных, описании целей, сроков хранения и порядка уничтожения информации.

На основе этого реализуются технические меры. Их разработка начинается с определения угроз и требуемого уровня защищенности — документ, содержащий эти сведения, является базовым для выбора необходимых средств защиты информации. Отдельное внимание следует уделять самому факту несанкционированного доступа к персональным данным. Важно не только его обнаружить, но и оперативно принять меры: от предотвращения и нейтрализации кибератак до устранения последствий инцидентов и восстановления утраченной или поврежденной информации. Перед вводом системы в эксплуатацию должна быть проведена оценка эффективности выбранных мер.

Трудности могут возникнуть на любом этапе работы с персональными данными, но все они преодолимы.

Для многих основной проблемой становится подготовка и поддержание в актуальном состоянии пакета документов, который обеспечит их защиту. Сегодня, хотя это и непросто, уже можно найти юриста, разбирающегося в этом вопросе, и сформировать необходимый пакет. Особняком стоит разработка «модели угроз», поскольку берутся за нее немногие специалисты, а стоимость такой работы довольно высока.

Что касается технических мер, то здесь основным препятствием может стать отсутствие в компании сотрудников нужной квалификации для внедрения систем защиты. В этом случае может помочь инфраструктура «NetAngels».

Как снизить риски и выбрать провайдера

Размещение ИТ-инфраструктуры в специализированном дата-центре или облаке позволит компании разделить ответственность за выполнение юридических и технических требований регулятора с инфраструктурным партнером. В этом случае провайдер отвечает за безопасность инфраструктуры, а оператор — за данные и приложения внутри нее.

Надежный провайдер обеспечивает физическую защиту дата-центров, отказоустойчивость оборудования, безопасность сетей и платформ виртуализации — то есть закрывает требования ст. 19 152-ФЗ, связанные с предотвращением несанкционированного доступа. В свою очередь компания отвечает за операционные системы, прикладные сервисы, управление доступом и корректную обработку персональных данных. Эта граница должна быть оформлена не только технически, но и юридически.

Выбор инфраструктурного партнера нужно начать с базовых, но принципиальных вещей.

  • Во-первых, провайдер должен быть включен в реестр хостинг-провайдеров Роскомнадзора. С февраля 2024 г. работа с операторами вне этого реестра запрещена, и это самый простой фильтр, который сразу снимает риск формального нарушения закона.
  • Во-вторых, провайдер должен документально подтвердить выполнение требований по локализации и защите данных. По 152-ФЗ первичный сбор и хранение персональных данных граждан России должны осуществляться на серверах, физически расположенных в РФ. Использование зарубежных облаков — даже через технические обходные решения — влечет серьезные штрафы и риски блокировки сервисов.

Отдельный вопрос — готовность к проверкам и инцидентам. Внеплановые проверки Роскомнадзора чаще всего начинаются с согласий и форм сбора данных, но почти всегда доходят до инфраструктуры. Наличие у провайдера актов соответствия и прозрачных процедур реагирования на инциденты существенно упрощает диалог с регулятором.

С учетом этого размещение инфраструктуры в дата-центрах и облаке NetAngels позволяет бизнесу закрыть сразу несколько критически важных задач. Компания работает в правовом поле российского регулирования, получает гарантированную локализацию данных и «наследует» часть мер защиты, уже реализованных на уровне инфраструктуры. NetAngels предоставляет сегменты облака, соответствующие требованиям по уровню защищенности, использует сертифицированные средства защиты как сервис и берет на себя физическую и сетевую безопасность. Межсетевые экраны и системы обнаружения вторжений уже встроены в платформу — бизнесу не нужно дополнительно закупать дорогостоящие лицензии и содержать отдельных специалистов для их настройки и поддержки.

И, наконец, юридическая сторона. При работе с NetAngels заключается поручение на обработку персональных данных, которое фиксирует распределение ответственности и обязательства по конфиденциальности и защите информации. В случае проверки Роскомнадзора оператор может оперировать договором и документами провайдера как подтверждением выполнения части требований закона. В результате защита персональных данных перестает быть источником постоянной неопределенности и становится управляемым элементом ИТ-архитектуры бизнеса.

Какие ошибки чаще всего допускают уральские компании при работе с персональными данными?

 
  • Неверное оформление согласий: скрытое согласие в оферте, предотмеченный чекбокс, отсутствие отдельного согласия на распространение персональных данных (например, для публикации фото или отзыва).
  • Нарушение локализации: использование зарубежных сервисов (CRM, почта, аналитика) для первичного сбора и хранения данных граждан РФ.
  • Некорректная информация в реестре РКН: несвоевременное обновление сведений о целях обработки, категориях данных или трансграничной передаче.
  • Нарушение сроков хранения: данные не уничтожаются после достижения цели, отсутствуют акты об их удалении.
  • Ошибки в работе с подрядчиками: передача данных без юридически оформленного поручения на обработку, использование хостинг-провайдеров не из реестра РКН.
  • Сокрытие утечек: неисполнение обязанности уведомить Роскомнадзор об инциденте в течение 24 часов. С 2024 г. за это введены оборотные штрафы, способные достигать сотен миллионов рублей.
 

Реклама. ООО "ИНТЕРНЕТ-ПРО" ИНН 6671142678 erid: 2W5zFGgd6St

Ранее на DK.RU: «Малый бизнес думает, что он неинтересен хакерам — это заблуждение»

Автор: Елизавета Порошина
Самое читаемое
  • Губернаторы повысили траты на охрану, один телохранитель может стоить 600 тыс. в месяцГубернаторы повысили траты на охрану, один телохранитель может стоить 600 тыс. в месяц
  • Как выбирали мэра Екатеринбурга: программы кандидатов и каверзные вопросы депутатовКак выбирали мэра Екатеринбурга: программы кандидатов и каверзные вопросы депутатов
  • Дело основателя «Русагро» завершено, сумма ущерба достигла 86 млрд руб.Дело основателя «Русагро» завершено, сумма ущерба достигла 86 млрд руб.
  • В Екатеринбурге продают офисы бывшего почтамта за 118,6 млн рублейВ Екатеринбурге продают офисы бывшего почтамта за 118,6 млн рублей
Наверх
Чтобы пользоваться всеми сервисами сайта, необходимо авторизоваться или пройти регистрацию.
Вы можете войти через форму авторизации зарегистрироваться
Извините, мы не можем обрабатывать Ваши персональные данные без Вашего согласия.
  • Укажите ваше имя
  • Укажите вашу фамилию
  • Укажите E-mail, мы вышлем запрос подтверждения
  • Не менее 8 символов
Если вы не хотите вводить пароль, система автоматически сгенерирует его и вышлет на указанный e-mail.
Я принимаю условия Пользовательского соглашения и даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности.Извините, мы не можем обрабатывать Ваши персональные данные без Вашего согласия.
Вы можете войти через форму авторизации
Самое важное о бизнесе.