Соответствие 152‑ФЗ: как безболезненно построить эффективный процесс обработки персональных данных
В статье по шагам пройдем все этапы. Особое внимание уделим наиболее популярным препятствиям и тому, как их обойти. В конце приведем сравнительную таблицу с длительностью этапов построения процесса в зависимости от используемых инструментов.
Представим ситуацию, когда компании с нуля необходимо построить процесс обработки и защиты персональных данных. Допустим, вы аналитик юридического отдела и на очередном совещании в начале года руководство поставило вам задачу: за год наладить процесс, успешно пройти проверку, которая появилась в плане, и в дальнейшем поддерживать данные в актуальном состоянии. Вы ранее не занимались подобными вещами. Компания типовая, работает в IT, среднее количество сотрудников — 400, один сайт, небольшая инфраструктура. Компания действует на рынке Российской Федерации, к ней применимы требования 152‑ФЗ и подзаконных актов.
Мы составили подробный план, который поможет наладить процесс защиты ПДн максимально быстро и при этом эффективно.
В одиночку освоить столь масштабную задачу невозможно — здесь нужна целая команда.
Вероятные сложности:
- Нет сотрудников с необходимыми компетенциями.
- Никто не хочет этим заниматься.
Что делать:
- Заручиться поддержкой руководства. Когда генеральный директор понимает, для чего внедряется процесс, работа идет быстрее.
- Собрать проектную группу. В команду важно включить юристов, HR‑менеджеров, специалистов по кибербезопасности.
- Назначить кураторов структурных подразделений. Это будут коллеги, которые лучше других разбираются в том, что они делают, и смогут помочь в рамках дальнейших шагов.
- Формализовать проект. Важно издать приказ от лица генерального директора, где будет прописано, кто занимается задачей. Без формализации проект может не сдвинуться с места.
Нужно выяснить, какие в компании есть субъекты ПДн, информационные системы, документы, персональные данные, процессы, потоки и др.
Вероятная сложность:
- Предстоит обработать огромные массивы данных, в том числе устаревших. К примеру, система, которой пользуются по документам, может оказаться давно выведенной из эксплуатации.
Что делать:
- Браться за одну задачу за раз. Не хвататься за все одновременно, а двигаться от одного подразделения к другому, постепенно структурировать полученную информацию.
- Использовать разные инструменты сбора информации. Здесь помогут опросники, встречи, документы, выгрузки. Важно подобрать к каждому индивидуальный подход. К примеру, кому‑то удобнее рассказать о сборе и хранении персональных данных устно, а кому‑то — предоставить информацию в письменном виде.
Теперь, когда у вас есть полная картина текущего состояния, нужно сравнить его с эталонным.
Вероятная сложность:
- Не хватает понимания требований законодательства, включая юридические нюансы. Недостаточно прочитать 152‑ФЗ, приказ ФСТЭК № 21 и постановление Правительства РФ № 1119, чтобы разобраться в вопросе. В дополнение к ним важно изучить судебные решения, разъяснения, комментарии Роскомнадзора и многое другое.
Что делать:
- Использовать готовые шпаргалки. Их легко можно найти в интернете. Они позволяют сравнивать то, что у вас есть, с тем, что должно быть.
- Сотрудничать с юристами. Юридический язык сухой, его сложно понимать обывателю. Юристы помогут разобраться, что говорит закон.
С помощью грамотного моделирования угроз можно заменить часть сложных технических мер на простые организационные.
Вероятные сложности:
- В команде нет технических знаний. Необходим технический бэкграунд, чтобы разобраться в методиках построения процесса и документах.
- Требуется кропотливая бумажная работа. Нужно посмотреть банк угроз ФСТЭК, их методики, понять, применима ли угроза.
Что делать:
- Сотрудничать с IT и кибербезопасниками. Именно они помогут расшифровать технический язык, понять, насколько угроза подходит к инфраструктуре, применима ли к рассматриваемой системе и следует ли ее учитывать.
- Сотрудничать со структурными подразделениями при оценке вреда. Только они знают, насколько данные, с которыми они работают, влияют на субъектов ПДн.
На этом этапе пора составить документы и формализовать бизнес‑процессы.
Вероятные сложности:
- Нет шаблонов документов. Если разрабатывать документы с нуля, то нужно изучать закон, выбирать оттуда требования. На это уйдет не один месяц.
- Текущие бизнес‑процессы несовместимы с требованиями законодательства. К примеру, кадровая деятельность велась 20 лет без сбора согласий на обработку ПДн от сотрудников, без обучения работе с новыми регламентами. Сложно заставить людей следовать кардинально новым процессам.
Что делать:
- Использовать чужие шаблоны. На тематических ресурсах размещено множество проработанных шаблонов организационных документов, которые уже проходили проверки и эффективно используются в других компаниях. Добавьте в них собранную на предыдущих этапах информацию.
- Не готовить стопку отдельных документов. Многие разрабатывают по 30 и даже 50 разных документов по каждому направлению, в которых легко запутаться. Проще подготовить 4–5 основных положений, регламентирующих область целиком, и заодно прописать в них частные вопросы.
- Сотрудничать со структурными подразделениями. Важно учитывать сложившиеся в компании процессы, чтобы встраивать защиту персональных данных, не ломая эти процессы полностью.
Многие завершают работу на предыдущем шаге, однако важно не только сформировать регламенты, но и внедрить систему защиты ПДн, обучить работников всем необходимым навыкам и поддерживать налаженный процесс.
Этот этап охватывает не только технические средства защиты (например, антивирус), но и процессы, которые ранее регламентировали в документах (например, аудит).
Вероятные сложности:
- Нет компетенций и понимания, как встроить технические средства защиты в инфраструктуру.
- На средства защиты тратятся лишние деньги. Порой компании закупают решения, которые на самом деле не нужны.
Что делать:
- Сотрудничать с IТ и кибербезопасниками. Именно они понимают, как работать со средствами защиты и настраивать операционные системы, чтобы выполнить требования по безопасности.
- Не внедрять лишнее. После того как вы рассмотрели угрозы и подсветили риски для субъектов, становится ясно, какие средства действительно понадобятся.
Если сотрудники не понимают, зачем бережно относиться к персональным данным, то система обработки ПДн работать не будет. Они продолжат класть на стол открытые бюллетени и отправлять анкеты с персональными данными через общедоступные хранилища. Поэтому стоит использовать обучающие брошюры, а также организовывать курсы и тренинги.
Вероятные сложности:
- Материал труден для восприятия. Никто не хочет читать 50‑страничный регламент, который написал специалист по приватности.
- Сотрудники не заинтересованы. Чтобы появилась мотивация, им важно понимать, как защита ПДн связана с их профессиональной деятельностью.
Что делать:
- Сотрудничать с HR. Отдел кадров знает, как лучше провести обучение.
- Использовать современные решения. Здесь поможет геймификация. К примеру, в одной компании сотрудникам начисляли баллы при прохождении обучения, а набравшие больше всего баллов получали айпад. В итоге в среднем материал был усвоен выше чем на 80%.
- Постепенно повышать осведомленность. Полезно устраивать рассылки о том, зачем защищать ПДн, а также проводить встречи, где рассказывать об обязанностях и о функциях коллег, которые хранят и передают ПДн.
Это важный шаг, о котором многие забывают.
Вероятная сложность:
- В компании относятся формально к построению процесса. Кажется, что уже разработали документы и внедрили средства, а значит, проверка пройдет успешно. Но чтобы процесс работал, его необходимо поддерживать.
Что делать:
- Сотрудничать со всеми подразделениями. Нужно понимать, что у них изменилось. А еще дружеская атмосфера и постоянная коммуникация позволят проще внедрять изменения.
- Проводить периодические аудиты. Законодательство не требует частых аудитов. Но лучше проводить их, чтобы понимать, что сейчас происходит и как с этим дальше работать.
- Формировать метрики. Это позволит почти в режиме реального времени узнавать, как в целом движется процесс: сколько обучили работников, сколько было уведомлений о событиях кибербезопасности, каков процент прошедших тестирование по вопросам легитимной обработки ПДн.
Отдельно подчеркнем, что для ускорения всех этапов мы рекомендуем использовать инструменты автоматизации. Это могут быть электронные таблицы, формы и специализированные решения (например, BI.ZONE Compliance Platform), которые позволят сократить процесс сбора информации о хранении и обработке персональных данных, а также структурировать полученные сведения.
Итак, мы прошли все предполагаемые этапы. Как вы помните, задача для аналитика ставилась на 12 месяцев. Если он столкнулся с подобным заданием впервые, то, по нашему мнению, вряд ли уложится в срок.
Однако наш опыт взаимодействия с самыми разными компаниями на рынке показывает, что автоматизация позволяет уменьшить трудозатраты в человеко‑часах минимум на 20%. На столько же сократится время работы, если у вас будет четкий план по рекомендациям аудиторов. Таким образом, работы удастся уложить в необходимый срок — 12 месяцев.
| № этапа | Название этапа | Срок реализации неподготовленным исполнителем, мес. | Срок реализации с учетом использования рекомендаций экспертов BI.ZONE, мес. |
|---|---|---|---|
| 1 | Сформировать проектную команду | 1 | 1 |
| 2 | Провести полную инвентаризацию | 6 | 4 |
| 3 | Провести аудит соответствия требованиям | 1 | 0,5 |
| 4 | Составить модель угроз персональных данных | 2 | 1 |
| 5 | Регламентировать вопросы обработки и защиты ПДн в компании, зафиксировать процессы и назначить ответственных | 3 | 2 |
| 6 | Внедрить систему защиты персональных данных | 2 | 1,5 |
| 7 | Повысить осведомленность сотрудников | 2 | 1 |
| 8 | Обеспечить регулярный мониторинг, контроль и постоянное обновление процесса | 1 | 0,5 |
| Итого | 18 | 11,5 |