Казалось бы, достаточно купить сертифицированную ФСТЭК программу для защиты персональных данных и можно спать спокойно. Но реальность жестока: даже самая лучшая программа не освобождает от выполнения комплекса других защитных мер.
Что предъявляет закон
Почему сертифицированная программа – не главное
Даже сертифицированные ФСТЭК программы имеют ряд ограничений.
- Сертификат выдают на ограниченную партию программного обеспечения и на его конкретную версию.
- Переход на новую версию делает сертификат недействительным.
- Такие программы работают только с сертифицированными обновлениями.
- Сертификат действует только 3 года.
Из этого можно вынести очень важный момент: любое обновление программы для защиты персональных данных нужно отдельно сертифицировать. При этом не важно, с чем они связаны: с улучшением интерфейса или с нововведениями в законодательстве.
Из-за этого вы не сможете установить ни одного критически важного обновления, пока не получите на это разрешение от ФСТЭК.
К примеру, если Пенсионный фонд выпустит новые формы документов, то в период сдачи отчетности такой механизм замедлит процесс подготовки деклараций.
Как привести информационную систему в порядок
Не объединяйте понятия «программа» и «информационная система». Из-за этого можно ошибочно предположить, что, если программа защищена, то и исполнение требований 152-ФЗ на этом заканчивается. Программы работают в информационной системе, а не заменяют ее.
После приобретения программы позаботьтесь о других мерах: технических и организационных.
Ориентироваться нужно на следующий алгоритм действий:
- обследуйте процессы обработки и защиты персональных данных в компании на предмет соответствия их требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- подготовьте комплект внутренних организационных документов, где опишите действующий процесс обработки и защиты персональных данных;
- выявите угрозы безопасности, а также возможных нарушителей безопасности обрабатываемых персональных данных;
- на основе полученных результатов определите подходящий вашей организации уровень персональных данных в информационной системе;
- разработайте технический проект, нацеленный на создание надежной системы защиты персональных данных;
- закупите средства защиты персональных данных;
- организуйте внедрение системы защиты персональных данных;
- проведите аттестации соответствия системы защиты персональных данных требованиям безопасности.
Аттестат соответствия – необязательный пункт. Но его наличие гарантирует, что принятые меры соответствуют всем требованиям безопасности персональных данных.
Сертифицированные программы закрывают лишь часть требований закона, которые обязательны для операторов персональных данных. Все остальное зависит от уровня принятых организационных и технических мер. В комплексе эти элементы обеспечат вам надежную защиту системы защиты персональных данных.
Создайте надежную систему защиты информации
Закажите аудит в ГЭНДАЛЬФ и получите рекомендации по улучшению своей системы.
Оставить заявку
