«Научные чтения» факультета социотехнических систем. Выпуск 1. Часть I. Коллектив авторов

Чтение книги онлайн.

      Это и финансовые риски, связанные с необходимостью затрат на срочные меры реакции на инцидент (проведение расследования, организация «аварийных» мероприятий), и имиджевые риски, и чисто коммерческие, связанные с утратой лояльности клиентов и их оттоком.

      Но если еще совсем недавно каждая организация, обрабатывающая персональные данные, заботилась об их защите исходя из собственных представлений, зафиксированных во внутренних политиках информационной безопасности, то теперь правила в этой игре устанавливает государство: каждая организация обязана обеспечить некоторый необходимый уровень защиты персональных данных и информации, которой оперируют её сотрудники.

      Закон «О персональных данных» (№ 152-ФЗ) поставил перед большинством российских компаний сложнейшую задачу, которую необходимо было решать ещё в прошедшем 2011 году. Серьёзность государства в этом вопросе очевидна: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок.

      Однако сегодня далеко не все компании, обрабатывающие персональные данные, осознают необходимость их защиты и до конца не понимают реальность и масштаб рисков невыполнения закона.

      Так, статьей 13.12 Кодекса об административных правонарушениях предусмотрена ответственность за нарушение правил защиты информации – штраф от 10000 до 30000 тысяч рублей с конфискацией не сертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток. Статьей 137 «Нарушение неприкосновенности частной жизни» Уголовного Кодекса предусмотрена ответственность в виде штрафа в размере заработной платы осужденного за 18 месяцев или ареста на 6 месяцев.

      Построение системы защиты персональных данных в организации является сложным многоэтапным процессом, состоящим из следующих основных этапов: обследование, проектирование и внедрение. Распространённым случаем является то, что на этом организация-оператор останавливается, посчитав, что завершение проекта по созданию комплексной системы по защите персональных данных означает полное выполнение всех требований к безопасности. Однако это не так, поскольку кроме выполнения всех установленных требований необходимо обеспечить контроль их исполнения и необходимо постоянно совершенствовать систему исходя из результатов периодического анализа. Следует регулярно (не реже одного раза в год) проводить в организации-операторе процедуры мониторинга и анализа обеспечения безопасности персональных данных – внутренний аудит.

      Аудит – систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев.

      Аудит защиты информации позволит получить следующую информацию:

      – соответствует ли система обработки и защиты персональных СКАЧАТЬ