В любом бизнесе, в том числе малом, необходимо уделять должное внимание защите персональных данных. Для этого необходим полный комплекс организационных и технических мер.

Все что нужно знать малому бизнесу о персональных данных

Пожалуй, тема «Персональные данные» – одна из наиболее обсуждаемых в последние годы. Но несмотря на это многие до сих пор не знают, какие конкретные шаги предпринимать и необходимо ли это в принципе.

Почему отдельно выделяют задачу защиты персональных данных для малого бизнеса? Ответ прост: российское законодательство не разделяет требования по защите персональных данных по масштабности бизнеса, а значит, все то, что необходимо реализовать в крупном холдинге (например, представителю нефтегазового комплекса), должно присутствовать и в организации из 3–5 человек, где и бухгалтер, возможно, является приходящим работником.

Таким образом, существует заблуждение, что малому бизнесу, по распространенному мнению его представителей, легче не выполнять требования вовсе и даже не пытаться начать движение в эту сторону, ведь в любом случае это непосильная задача (в первую очередь – по финансовым затратам).

Что, если все-таки повернуться лицом к малому бизнесу, задаваясь общей целью обезопасить персональные данные граждан Российской Федерации, в первую очередь необходимо знать и понимать?

Исходя из вышесказанного, по моему мнению, руководители малого бизнеса должны знать следующее:

Какую задачу в себе несут законодательные инициативы по вопросам защиты персональных данных.

Представители малого бизнеса должны понимать, что основная цель – защита и безопасность граждан РФ (их друзей, родственников, коллег и т. д.), которая может быть нарушена утечкой персональных данных третьим лицам.

Какие органы являются ответственными по вопросам защиты персональных данных (далее – ПДн)

Да, разумеется, это ФСТЭК, ФСБ и РКН. Думаю, что представителям малого бизнеса даже не стоит разбираться, каким образом делят свои полномочия ФСТЭК с ФСБ, кто отвечает за шифрование и что такое ГОСТ или к кому обращаться за моделью угроз, а к кому – за моделью нарушителя.

Необходимо знать, что такое РКН (РосКомНадзор), где он находится, как туда могут обращаться граждане и какие могут быть последствия для бизнеса. Более того, возможно, стоит озвучить свои трудности в данном вопросе и попросить их проконсультировать вас.

Какие основные мероприятия обеспечивают сохранность персональных данных?

Я не говорю о том, что директор небольшой организации должен знать наименование программного обеспечения, разбираться в лицензиях ФСТЭК и ФСБ, основах криптографии и т. д. Здесь нужно четко представлять, что защита персональных данных – это комплекс организационных и технических мер.

Какова сложность задачи?

Зачастую задачу защиты персональных данных пытаются повесить на одного из сотрудников.

Где-то считают, что для защиты ПДн необходимо установить на все рабочие места какое-то ПО, а значит, это задача системного администратора.

Где-то – что это задача юриста, т. к. необходимо разработать «бумажки».

Наиболее распространены варианты, что отвечать за сохранность персональных данных должен кадровик и (или) бухгалтер.

Не буду спорить, что зачастую в небольшой организации иных вариантов и не остается, но есть одно «но». Прежде всего необходимо обучить сотрудников, на которых вы хотите повесить выполнение этих обязанностей.

Обучите, а затем требуйте – только в таком порядке.

Возможно ли найти консультационные услуги по доступным ценам?

В настоящий момент в данном сегменте рынка большая конкуренция, много небольших организаций, ИП и фрилансеров, которые за небольшие деньги могут вам помочь выполнить требования законодательства по защите персональных данных.

Возможно ли находить решения для реализации требований по защите, не требующие значительных финансовых вложений?

Да, это возможно. Но, чтобы найти данные методы, вам необходимо обучить сотрудников и проводить постоянные консультации со специалистами из данной области.

Например, наличие пароля на базовую систему ввода/вывода, опломбирование системного блока и введенная в действие инструкция по контролю данных пломб помогут вам в первое время уйти от необходимости приобретения СЗИ от НСД (средство защиты информации от несанкционированного доступа) на рабочее место.

Считаю, что все вышеозвученные вопросы – это набросок концепции поведения представителей малого бизнеса для выполнения задачи защиты персональных данных.

Осознав тот факт, что малый бизнес также участвует в защите ПДн, обучив сотрудников, обращаясь за периодическими рекомендациями в свое территориальное подразделение РКН, можно успешно двигаться по пути реализации требования законодательства по защите ПДн с незначительными вложениями.

Автор: Александр Перфильев