Операторы при обработке персональных данных должны выполнить требования по техзащите информации

2021-11-24 12:21
24 ноября, Минск /Корр. БЕЛТА/. Операторы при обработке персональных данных должны реализовать требования по технической защите информации, сообщил специалист по кибербезопасности ООО "БелВЭБ-IT" Сергей Пашковский на круглом столе в пресс-центре БЕЛТА. Говоря о персональных данных, следует понимать, что в реальном мире подавляющий их массив обрабатывается уже в электронном виде, отметил Сергей Пашковский. По его словам, те нормы и те требования, которые предъявляет закон "О защите персональных данных" к операторам, уполномоченным лицам, являются правовой рамкой. "Но для того, чтобы реально защитить наши с вами права, необходимо, чтобы эти императивные нормы, которые замечательно могут быть прописаны в документах компаний, реализовывались на практике. И для этого необходимо, чтобы информационные системы, содержащие в себе персональные данные, соответствовали определенным адекватным требованиям, в том числе по защите информации", - сказал он.
В Беларуси такое регулирование существует с 2013 года. В развитие закона "Об информации, информатизации и защите информации" был определен подход, согласно которому информация ограниченного распространения должна обрабатываться в системах, имеющих аттестованную систему защиты информации. "Это процедура, в ходе которой документально подтверждается факт того, что система защиты информации соответствует предъявляемым требованиям", - пояснил Сергей Пашковский.

Он отметил, что синхронно со вступлением в силу закона о защите персональных данных был изменен приказ ОАЦ №66. "Теперь он правильно называется "Приказ ОАЦ №66 в редакции приказа №195". В нем произошли изменения, которые позволяют его адекватно использовать любому юридическому лицу и не только", - добавил специалист по кибербезопасности. Сергей Пашковский пояснил, что должно выполняться в информационной системе, чтобы там безопасно хранились персональные данные. "Во-первых, должно быть четкое разграничение прав доступа. Операторы это делают в рамках своей политики, определяя, какие подразделения и какие работники имеют доступ. Далее эти требования политики реализуются уже на техническом уровне. Таким образом снимается острота проблемы, и действительно к данным получают доступ только те люди, которые должны осуществлять такой доступ в рамках своих функциональных обязанностей. Плюс исключаются ситуации со случайным ознакомлением", - сказал он. В информационной системе должна быть организована адекватная антивирусная защита. "Не только в каких-то уязвимых местах, но в целом в информационной системе как на компьютерах, так и на почтовом сервере, который является одним из наиболее частых элементов для несанкционированного доступа к информационной системе", - подчеркнул специалист по кибербезопасности.
Кроме того, оператор должен определить перечень других информационных систем, с которыми он взаимодействует, но которые ему не принадлежат. "Сюда же относятся вопросы резервирования информации. Я думаю, никому бы не хотелось столкнуться с ситуацией, когда мы полагаем, что у оператора есть определенный объем данных, нужных для нас, а потом оказывается, что эта информация в силу каких-либо или программных сбоев, или из-за неправомерных действий третьих лиц перестала быть доступной и ее больше не существует. Требования по технической защите как раз обеспечивают сохранность информации и доступность", - продолжил он.

По словам Сергея Пашковского, операторы обязаны реализовать требования по технической защите информации. "Сделать это можно самостоятельно. Если у вас есть человек, который разбирается в вопросах IT, в состоянии прочитать около шести нормативных правовых актов в этой сфере и пройти обучение раз в три года, то это вполне под силу. Но если вы сейчас не имеете такого человека, либо он сейчас занят, либо вы не хотите брать на себя ответственность как руководитель, можете воспользоваться услугами компаний, у которых есть лицензия на осуществление деятельности по технической и криптографической защите информации", - отметил специалист. Он пояснил, что во втором случае клиент получает систему "под ключ", причем компании предлагают различные варианты реализации требований, потому что они могут быть выполнены абсолютно по-разному. "Закон достаточно гибкий и позволяет операторам адекватно реализовывать требования в зависимости от того, как у них фактически организован бизнес-процесс", - добавил Сергей Пашковский. Он также отметил, что частично упрощается процедура аттестации в рамках обновленного приказа №66, если компания пожелает разместить свою информационную систему у некого облачного провайдера. "Мы говорим про провайдеров, которые являются резидентами Беларуси. При одновременном наличии двух компонентов - провайдер имеет аттестованную систему защиты информации и он оказывает для вас услуги по проектированию и созданию системы защиты - аттестация для вас сводится, по сути, к "переезду" и заключению договора", - сказал специалист по кибербезопасности. Он считает, что такая услуга будет особенно популярна для среднего и мелкого бизнеса, у которого не будет возможности уделить много времени техническим аспектам, поскольку это требует познаний. "И, наверное, каждый должен заниматься своим делом", - заключил он.

Глава группы технологий, медиа, телекоммуникаций юридической фирмы "Сорайнен и партнеры" Кирилл Лаптев в свою очередь остановился на тех моментах, которые наиболее интересовали компании при реализации положений нового закона. В частности, возникал вопрос, как продолжить обработку персональных данных в соответствии с новым законом, нужно ли выполнять дополнительные требования в отношении тех данных, которые были собраны ранее и продолжают обрабатываться. "Организации столкнулись с вопросами обработки данных своих работников, настройки внутренних систем, чтобы выполнять требования, когда для того, чтобы обрабатывать данные, нужно получать согласие от работника. Сложен вопрос тем, что работник и наниматель не всегда находятся в равных отношениях и нужно смотреть, чтобы не было нарушения прав работника, ущемления его интересов, когда собирается такое согласие. Работник может опасаться неполучения продвижения по службе или изменения финансовых условий, если он откажется дать согласие", - рассказал Кирилл Лаптев. Компании интересовали и внутренние организационные процессы, которые дополняют правовые меры. Например, каким образом организовать доступ к персональным данным, в том числе где они должны храниться, как организовать взаимодействие между различными подразделениями в организации (например, между кадровыми отделами, бухгалтерией), какие представители этих подразделений могут получать доступ и в какие сроки обрабатывать данные.-0-