Изменения нормативно-правовых актов и возрастающее число атак на персональные данные указывают на то, что тема персональных данных злободневна как никогда. C начальником отдела экспертной поддержки экосистемы приложений «Альфа» Верой Скопинцевой поговорим о том, кто должен позаботиться о защите персональных данных и какие сложности встречаются в законодательстве.
− Вера, скажите, пожалуйста, почему тема персональных данных так значима в современном мире и кого она касается?
− В сфере информационной безопасности есть много направлений. Это защита персональных данных, защита информации, содержащейся в государственных информационных системах, защита объектов критической информационной инфраструктуры, коммерческая тайна и т. д. Тема персональных данных, в отличие от всех других, касается практически любую организацию в нашей стране. Я всегда говорю: «Посмотрите в окно! Что мы видим?». Государственные органы, бюджетные учреждения, муниципальные организации, школы, детские сады, вузы, нотариусы, все ООО… Сейчас даже самый маленький магазинчик выдаёт бонусные карты своим клиентам, а значит, обрабатывает персональные данные. Что уж говорить про обработку персональных данных в рамках ведения бухгалтерского и кадрового учёта своих сотрудников.
− Получается, вопрос защиты персональных данных – один из самых острых для специалиста по информационной безопасности. Расскажите, пожалуйста, как законодатель регулирует данную сферу?
− В 2006 году вступил в силу Федеральный закон «О персональных данных» № 152-ФЗ. Он определил права субъекта персональных данных, т. е. нас с вами, и обязанности оператора по обеспечению безопасности персональных данных при их обработке. Также приняты отдельные подзаконные акты, регулирующие данную сферу. Но ни в одном документе вы не найдёте конкретного перечня действий, которые должен выполнить оператор для соблюдения законодательства. В этом и состоит основная сложность для сотрудника, на которого в организации возложены функции по выполнению требований нормативно-правовых актов в части персональных данных.
− А как быть сотруднику в этом случае? Что он должен сделать, чтобы правильно организовать работу по защите персональных данных?
− Прежде чем приступить к работе, тот самый специалист должен понять, что ему надо сделать, какие документы разработать, где взять их шаблоны, каких ответственных лиц назначить и т. д. Для этого стоит изучить не только 152-й закон, но и постановления Правительства Российской Федерации №№ 687, 1119, приказ ФСТЭК России № 21, приказы ФСБ России №№ 77, 378, новые приказы Роскомнадзора №№ 178, 179, 187. Это определённый законодателем минимум, который затрагивает вопрос защиты персональных данных. На самом деле документов ещё много, что уж говорить о разъяснениях Роскомнадзора по отдельным вопросам.
Кроме этого, есть ещё одно постановление Правительства РФ № 211, которое предъявляет операторам – государственным или муниципальным органам дополнительные требования. В нём содержится перечень документов, который должен быть разработан. Но он не исключает меры, принятые в озвученном выше списке нормативно-правовых актов, а идёт вдобавок к нему.
И, стоит подчеркнуть, каждый год появляются новые нормативно-правовые акты и вносятся поправки в имеющиеся.
− Как вы считаете, эта неопределённость приводит к тому, что не все требования регулятора соблюдаются?
− Конечно же… Мы постоянно сталкиваемся с этим. Во время подготовки к проверкам регуляторов (Роскомнадзор, ФСТЭК и ФСБ) пользователи АльфаДок часто обращаются к нам за помощью. Соответственно, мы видим все недоработки, и на самом деле они типовые. Поэтому могу с уверенностью сказать, что заложенная в продукт многолетняя экспертиза, наши знания в этой области и опыт сопровождения организаций позволяют благополучно проходить проверки контролирующих органов. Это доказывает и огромная база положительных отзывов.
− Расскажите, пожалуйста, подробнее про АльфаДок. Система упрощает работу сотрудника?
− По сути, АльфаДок – это инструмент, который помогает специалисту по информационной безопасности, да и любому другому сотруднику организации без профильного образования (а такое часто встречается) соблюсти все требования нормативно-правовых актов в сфере защиты персональных данных. При использовании нашего продукта организация получит ответы на все вопросы: что делать? кого назначать ответственным? какие документы разрабатывать? какие мероприятия проводить?
В системе в том числе имеются перечни ответственных лиц, которых нужно назначить, приказы о их назначении, инструкции и даже разъяснения, кого лучше назначить исходя из требований нормативно-правовых актов и нашего опыта. Это не просто голые шаблоны, в них всё достаточно подробно изложено. Но если пользователям что-то непонятно, всегда можно обратиться к экспертам службы поддержки.
Повторюсь, главный плюс нашего продукта в том, что он вобрал в себя более чем 10-летний опыт специалистов в сфере информационной безопасности. В НПЦ «Кейсистемс – Безопасность» я пришла работать в 2011 году. Уже тогда мы вручную составляли шаблоны документов, лёгших в основу тех, которые сейчас пользователи видят в АльфаДок. Конечно, их содержание постоянно меняется, дополняется, актуализируется, так как мы учитываем пожелания пользователей и отслеживаем все нововведения в законодательстве.
− АльфаДок полностью решает вопрос с защитой персональных данных в организации?
− Нет, надо понимать, что АльфаДок – это не волшебная палочка, которая за вас всё сделает, а инструмент, который позволяет операторам персональных данных выполнять требования не только 152-ФЗ, но и всех тех нормативно-правовых актов, которые упомянули выше. И если говорить шире, то АльфаДок − это не только про персональные данные, но и про объекты критической информационной инфраструктуры, государственные информационные системы… Но при этом тема персональных данных – самая актуальная, что подтверждается спросом на лицензии.
− Благодарю за интервью, Вера! Будем ждать следующей встречи с вами!
Беседовала Людмила Егорова