Пришел ко мне хороший приятель с просьбой помочь разобраться с защитой персональных данных, так как недавно к нему заглянули ответственные товарищи и напугали огромной ответственностью – типа штрафы выросли за прошлый год в 6000 раз. Я в этой теме поковырялся и обнаружил, что многие валят в одну кучу и требования к защите персональных данных в соответствии со 152 ФЗ и уровнями защищенности от 4-го до 1-го (уровни указаны в порядке возрастания ответственности: 1-й – ответственность самая высокая, а 4-й - на усмотрение оператора персональных данных), и требования по 242 ФЗ в части локализации обработки персональных данных граждан РФ.
Так что же обнаружил, делюсь выводами и практикой:
1. Да штрафы за нарушение в части локализации обработки персональных данных выросли очень-очень сильно (и это ох как сильно напрягло моего товарища CIO): за повторное нарушение для должностного лица до 800 000 руб, а для юридического - 18 000 000 руб! Facebook, если помните уже заплатил в прошлом году в РФ первый штраф, в Twitter сейчас в очень опасном положении…, если, конечно, наша территория для него что-то значит, а Linkedin уже давно заблокирован :(
Немного подробней об этой части закона:
«Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса» https://www.garant.ru/article/748180/
2. Требуемый уровень защищенности зависит от категории персональных данных, количества обрабатываемых субъектов, субъектов обработчиков и типа угроз. Например, при большом количестве (более 100 000 «специальных» субъектов при 3-м типе угроз требуется 2-й уровень защищенности, а менее 100 000 субъектов – 3-й уровень), т.е. в нашем случае получилось, что для маленькой стоматологии требуется 3-й уровень защищенности. И при переносе данных из Azure в РФ, где они обрабатывались у моего товарища, все угрозы штрафа в 18 000 000 руб быстро рассосались :)
Мало того, забегая вперед, скажу, что достаточно было организовать редактирование персональных и хранение копии данных в локальном облаке. Мы просто до конца не разобрались в процессах обработки и перестраховались.
3. Почему в облаке? Оказалось, что организовать защиту в офисе нам бы стоило в 10-15 раз дороже – от 1 000 000 руб. А в облаке – 12 000 руб в месяц. Даже за 3 года выплат получится в 3 раза дешевле!
4. Да, практически все персональные данные в наших бухгалтериях, CRM-ках, ERP-шках, управленческих учетах, адресных книгах, 1С-ках и других информационных системах, если они содержат полные данные ФИО и адреса жительства, ИНН или еще какие-либо атрибуты, которые явно указывают на конкретную личность, являются персональными данными, которые надо защищать. Есть простенькая таблица, легко гуглится, могу выслать, если надо. НО! Оказалось, что «самолечение» точно не всегда решает проблемы эффективно. Нам совершенно бесплатно все объяснили и помогли определить необходимый уровень. Можете обратиться к любому облачному поставщику – они делают этот консалтинг БЕСПЛАТНО! :)
5. Оказалось, что есть еще скрытые затраты – надо обязательно делать пакет организационно-распорядительной документации (ОРД). Можно сделать его самому, но тогда проверяющие будут придираться к каждой запятой. Если отдать немного денежек или взять у облачников в составе услуги, ОРД делают лицензированные подрядчики, и их подписи и печати магическим образом отпугивают шершн… проверяющих :)
6. Оказалось, что, как всегда, есть защита от реальных угроз и от проверяющих. В 99% случаев нужна 2-я защита :)
7. И самое важное, что обнаружил – в 90% случаев требуется соответствовать 152 ФЗ УЗ 3 (3-й уровень защищенности), а далее самое потрясающее – 99% компаний нарушают эти требования. Поэтому и решил всех предупредить: предупрежден, значит вооружен значит задумайтесь и спросите экспертов, как проще вам защититься от этих 2-х типов угроз :)
