< №6 (166) Июнь 2018 >
Логотип
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

КЛЮЧ К БЕЗОПАСНОСТИ

Время ставит перед учреждениями любого профиля немало непривычных задач. О путях решения тех, что лежат в одной из самых актуальных на сегодняшний день сфер деятельности, мы говорим с директором по развитию Центра информационных технологий и систем (являющегося партнером компании «Музыка и культура») Екатериной Мигуновой.

– Центр не первый год занимается разработкой и ведением сайтов, а также обеспечением защиты их данных. Выявление проблем и тенденций в этой области – часть вашей деятельности. Какие бы вы выделили в числе самых важных?

 – Актуально всё, что так или иначе регулирует процессы информационной безопасности, – это, например, SSL-ключ, защищающий передачу данных на сайтах, сюда же можно отнести отечественную аналитическую систему «Спутник», которая позволяет мониторить информацию о количестве посетителей и обращений граждан через сайт. Эти разработки появились в IТ-пространстве относительно недавно, поэтому повышенный интерес к ним закономерен, в том числе со стороны наших клиентов. Отдельная история – локальные акты по персональным данным. Казалось бы, тема не нова: закон № 152-ФЗ, регламентирующий процессы защиты такого рода информации, появился еще в 2006-м. Но год назад в него были внесены поправки, существенно ужесточающие ответственность за нарушения в работе с персональными данными, и это усугубило ситуацию в сфере информационной безопасности.

 – О чьей конкретно ответственности идет речь?

 – Посыл, содержащийся в обновленном документе, касается каждой без исключения организации, действующей на территории страны и являющейся юридическим лицом. Все они фактически операторы обработки персональных данных и, следовательно, должны разработать документы, обеспечивающие контроль за процессами в этой сфере, прежде всего локальные акты. А вот это совсем непростая задача. Трудность заключается в том, что обязательного комплекта локальных актов по персональным данным не существует, даже их количество в законе не прописано. Каждому учреждению предоставлена свобода действий в этом направлении, но воспользоваться ею весьма проблематично: далеко не везде на местах есть владеющие необходимыми знаниями специалисты, которые могли бы подсказать руководителям учреждений, как разрабатываются подобные документы.

 – Я правильно понимаю: предоставлена свобода действий, но не свобода законотворчества?

 – Именно так. Разработка пакета локальных актов по персональным данным нацелена на выполнение общей для всех, типовой задачи, заключающейся в обеспечении контроля за процессами защиты персональных данных всех участников деятельности организации (включая работников, потребителей услуг и посетителей сайта). Есть нормативные документы, которые этой задаче отвечают. Другое дело, что, например, какая-то важная информация может быть зафиксирована в приложении к положению об обработке персональных данных, а может существовать в виде самостоятельного документа. Поэтому количество локальных актов варьируется. Но хочу подчеркнуть: дело не в их количестве или формате.

Главный критерий, на основании которого делают свои выводы те же проверяющие органы, заключается в следующем: комплект документов должен в полной мере отражать политику организации в отношении персональных данных и при этом полностью соответствовать новой редакции закона «О персональных данных» № 152-ФЗ, а также Трудовому кодексу и другими нормативам. Поэтому в такого рода работе обязательно должны быть задействованы юристы, причем специализирующиеся именно в области трудового права и защиты персональных данных.

 – На всех сайтах используется ключ безопасности, ведется политика конфиденциальности. То и другое направлено на предотвращение разглашения персональной информации. «Зачем нам еще и локальные акты?» – согласитесь, может прозвучать и такой вопрос.

 – Прежде всего уточню: на созданных нами сайтах политику конфиденциальности мы сделали автоматизированной. И она должна быть именно там. Локальные акты по персональным данным – это другое. Наличие их полного комплекта в любой организации является обязательным условием. Закон № 152-ФЗ гласит: все юридические лица вне зависимости от их организационно-правовой формы должны разработать комплексную систему защиты персональных данных, разместить на официальном сайте разработанную документацию (это и есть локальные акты по ПД) и подать заявление в Роскомнадзор для получения статуса официального оператора обработки персональных данных. А исполнение любого закона обязательно для всех, вне зависимости от собственного взгляда на предмет и без каких-либо указаний сверху.

– Что грозит нарушителям?

– В новой редакции закона «О персональных данных» расширен перечень оснований для привлечения к административной ответственности и прописано увеличение размеров штрафов. Сейчас они могут достигать 75 тысяч рублей. В чем нарушения могут заключаться? В частности, в том, что локальные акты есть, но не в полном объеме. Или их нет вообще. Как правило, на «исправление ошибок» дается от месяца до полугода, в зависимости от количества нарушений и их видов. Выявление повторных нарушений уже предусматривает наложение штрафов.

 – Напрашивается вывод: организациям следует выполнить поставленные законом задачи в кратчайшие сроки и только на отлично. Чем им может помочь Центр информационных технологий и систем?

 – Компания разработала свой, уникальный, пакет локальных актов по персональным данным, максимально снижающий риски. Ни у одной проверяющей комиссии не должно возникнуть замечаний к нашим клиентам по вопросу обеспечения информационной безопасности – вот та задача, которую мы перед собой ставили.

Но хотела бы подчеркнуть важный момент: процесс подготовки этих документов небыстрый и довольно трудоемкий. В комплект входит более пятнадцати актов (это порядка ста листов), и каждый должен быть адаптирован к внутренней ситуации в учреждении. Немало времени, иногда до месяца, может занять регистрация документов в Роскомнадзоре. Поэтому откладывать этот процесс на потом, когда в дверь уже постучатся с проверкой, не стоит. Локальные акты по персональным данным столь же важны, как правила внутреннего трудового распорядка работников или режим работы учреждения. А потому интерес и к тому, и к другому, и к третьему проверяющие органы проявят одинаково пристальный.

 – Мы много говорили о том, как защитить от любопытства третьих лиц персональные данные, но хотелось бы о такой «персоне», как Центр информационных технологий и систем, знать больше. Какие его особенности вы бы отметили?

 – Стоит подчеркнуть то, что наши усилия направлены прежде всего на поддержку государственных бюджетных организаций культурной, образовательной и социальной сфер, а также то, что многие из наших сотрудников – люди, так или иначе связанные с этими сферами. Нам близки проблемы наших клиентов. И всякий раз, думая над тем, как эффективнее решить их, мы хотим надеяться, что таким образом вносим свою маленькую лепту в развитие культуры.

На снимке: Е. Мигунова

***

ЗАХОТЕЛОСЬ ПРОДОЛЖИТЬ СОТРУДНИЧЕСТВО...

Говорит заместитель директора ДШИ города Нижний Ломов Пензенской области Наталья Борисовна Селиверстова:

– Закон есть закон, и, конечно, мы попытались бы сделать всё, что он предписывает в отношении локальных актов по персональным данным, сами. Но теперь понятно, что это нам вряд ли бы удалось. Где почерпнуть информацию о том, сколько актов должно быть и какие конкретно нужны нам? В интернете искать сложно, к тому же не всякий найденный ответ или образец документа может оказаться правильным. А подсказать некому – в школе нет юриста. До контактов с Центром информационных технологий у нас было только два локальных акта по ПД – положения о персональных данных учащихся и о персональных данных работников с соответствующими приложениями. И те, как выяснилось, были составлены не совсем корректно. После того как компания подготовила для нас полный комплект таких актов, захотелось продолжить сотрудничество, и сейчас мы работаем уже над другими нормативными документами.

***

ПОТОМУ ЧТО ЕСТЬ ДОВЕРИЕ...

Говорит директор ДШИ Любытино Новгородской области Виктор Леонидович Смирнов:

– Больше пяти лет назад компания разрабатывала для нас сайт, и это сотрудничество нам запомнилось как очень креативное. Мы даже вошли во вкус – настолько интересным оказался этот процесс. С тех пор мы находимся в постоянном взаимодействии: спустили нам приказ о необходимости размещения на сайте версии для слабовидящих, появилась необходимость защитить сайт от рекламы – мы обращаемся в компанию. Потому что есть доверие: здесь толково разъяснят любые сложные вопросы (иной раз удивишься, как всё, оказывается, просто!) и предложат оптимальное соотношение цена/качество, а это для любой школы важно. Поэтому мы не искали других путей, когда встал вопрос о локальных актах по персональным данным. Собственных знаний в этой сфере нам очень не хватает, а пока вникнешь – дело и до штрафов может дойти.

***

В РЕЗУЛЬТАТЕ Я УВЕРЕНА...

Говорит директор ДМШ им. В.В. Магдалица поселка Ахтырский (Краснодарский край) Александра Анатольевна Терехова:

– У нас, безусловно, был пакет локальных актов по персональным данным, но минимальный, и вопрос о его доукомплектации уже стоял на повестке дня. Если бы не звонок из вашей компании, я сама обратилась к вам. Дело в том, что здесь мне уже помогли с аудитом, проведя мониторинг сайта школы на соответствие требованиям действующего законодательства. Были выявлены проблемы, нам дали немало дельных советов, например, подсказали, каких локальных актов не хватает и что следует написать в разделах, где не может быть никакой информации (скажем, если в школе нет платных услуг). Работу над локальными актами по персональным данным мы только начали, но в результате я уверена: профессиональный уровень специалистов компании и уровень ее услуг – это то, что мне понравилось с самого начала. И если возникнет еще необходимость, я знаю, куда обратиться.

Некрасова Ирма
30.06.2018


Оставить отзыв:

Комментарий::


Комментарии: