Открытые вопросы по защите персональных данных.

12.11.2021

 

За 15 лет с момента выхода ФЗ-152 «О персональных данных» в 2006 году, он довольно сильно изменился, вплоть до самого определения персональных данных (ПДн). Эта формулировка допускает довольно широкое определение того, что является персональными данными. Поэтому вопрос корректности их защиты по-прежнему волнует клиентов.

В интервью редакции CISO CLUB Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT, ответил на наиболее частые и волнующие вопросы в области безопасности ПДн.


Зачем соблюдать требования ФЗ-152, если штрафы маленькие, а средства защиты дорогие?

Да, штрафы действительно не большие в сравнении со стоимостью СЗИ и услуг по приведению компании в соответствие с требованиями ФЗ-152. Да и вероятность наложения этого штрафа для большинства компаний, скорее, гипотетическая. Однако для многих выполнение требований ФЗ-152, скорее, вопрос репутации, которая может пострадать в случае штрафов или публичной утечки данных, и реальных финансовых убытков, а для сервисных компаний, работающих с данными клиента, еще и конкурентное преимущество.

Какое наказание понесет компания в случае утечки персональных данных ее клиентов?

Оценить реальные потери можно только проведя довольно серьёзный риск-анализ, стоимость которого может превышать стоимость самого приведения в соответствие ФЗ-152. Если потери от потенциальной утечки ПДн велики, то надо говорить не о только о выполнении ФЗ-152, но и о построении надежной системы защиты от актуальных угроз. Например, в некоторых случаях риски могут быть оценены в десятки миллионов рублей. В этом случае проект по защите персданных может стать хорошим обоснованием для выделения средств на создание комплексной системы информационной безопасности, которая закроет максимум рисков организации.

С чего начать руководителю отдела ИБ при подходе к задаче защиты ПДн "с нуля"?

Самое сложное и важное – это понять, что такое ПДн для организации. Для ответа на этот вопрос необходимо проанализировать все бизнес-процессы организации и выработать подход к понятию ПДн. Для того, чтобы это сделать, необходимо заручиться поддержкой основных бизнес-подразделений компании – ведь именно им это может «усложнить жизнь» в первую очередь. Также необходима поддержка ИТ-службы. Без понимания особенностей ИТ-инфраструктуры будет непонятно как выполнить требования по безопасности ПДн. Однако при поддержке опытных консультантов, которые имеют за плечами опыт реализации десятков подобных проектов, процесс приведения ПДн в соответствие с ФЗ-152 оказывается не так сложен на практике.

Для каких случаев актуально обезличивание персональных данных?

Распространенный пример – это когда необходимо предоставить доступ к сведениям практически неограниченному кругу лиц, но при этом не хотелось бы раскрывать все ПДн. Например, сейчас любой желающий может зайти на сайт Российского Союза автостраховщиков и проверить действительность полисов ОСАГО, или номеров паспортов, зайдя на госуслуги. Предоставлять такую возможность без обезличивания невозможно. В частности, в рамках наших проектов по ПДн мы всегда стараемся определить минимальный состав сведений, который действительно нужен в той или иной системе. В некоторых случаях удается обойтись сбора ПДн или исключить их автоматизированную обработку, это позволяет снизить затраты на внедрение СЗИ.

Соглашаясь на "общедоступность" персональных данных, чем мы рискуем?

Такие чувствительные сведения как номер паспорта или кредитной карты - точно не стоит делать доступными, этим мы открываем мошенникам возможность распоряжаться нашими средствами и имуществом. В целом согласие – это акт добровольный. Подумайте, прежде чем разрешать доступ неограниченного круга лиц к информации о вас. Если данные вдруг «утекут», то никакой отзыв согласия уже не гарантирует того, что они не будут использованы третьими лицами.

В чем разница между отечественным и западным законодательством по защите персональных данных?

Разница принципиальная. Наше законодательство идет по пути установки конкретных правил защиты и установки относительно небольших штрафов за их нарушение. В Европе, например, GDPR вводит некие принципы защиты данных, но без конкретики по реализации. И штрафы достигают вплоть до 20 млн евро или до 4% от общего оборота за предыдущий финансовый год. Такие суммы окупают внедрение всех средств защиты, выстраивание процессов, контроль за уровнем защищенности.

 

Впервые опубликовано на CISO CLUB - https://cisoclub.ru/obespechenie-bezopasnosti-personalnyh-dannyh-chast-pervaya/ и https://cisoclub.ru/obespechenie-bezopasnosti-personalnyh-dannyh-chast-vtoraya/