пятница, 15 декабря 2017 г.

Почему нужно защищать персональные данные?

Добрый день, дорогие читатели! Сегодня я хотела бы поговорить с вами на одну очень важную тему - "Зачем защищать персональные данные?" Такой вопрос задают себе и другим не только люди, далекие от информационной безопасности, но и матерые специалисты в этой области. К примеру, Алексей Лукацкий в своем сентябрьском посте приходит к выводу о том, что эта тема для него лично не интересна. Думаю, мысли о том, что вся эта возня с персональными данными бессмысленна, приходят, приходили и будут приходить к каждому из тех, кто этим занимается. Причин тому несколько: формальный подход регулятора, низкая вероятность проверки, маленькие штрафы и неоднозначная судебная практика. Специалисту постоянно приходится доказывать руководству необходимость защиты персональных данных, хотя и у него самого на этот счет имеются большие сомнения. Вот чтобы таких мыслей стало меньше, давайте разберемся, зачем все-таки защищать персональные данные?
1. Каждый из нас является субъектом персональных данных. На мой взгляд, относиться к чужой личной информации бережно нужно хотя бы из солидарности. И потом, закон появился только в 2006 году, а понимание неприкосновенности некоторы персональных данных было задолго до этого. К примеру, размер зарплат руководства охраняют на всех предприятиях в независимости от того, признает ли организация у себя наличие ИСПДн.
2. Игнорирование мер безопасности может привести к утечкам, а те, в свою очередь, к репутационным рискам. Для крупных, а тем более международных организаций, это критично.
3. Иногда нужно выполнять требования головной организации, тогда филиалам не остается ничего другого, как заняться защитой персональных данных по шаблонам и инструкциям, спущенным сверху. 
4. Существует повышенный риск внеплановых проверок в сфере обслуживания и при наличии активно посещаемого сайта. Вероятность поступления жалобы на банк, больницу, школу или институт с течением времени стремится к единице. Поэтому лучше принять меры заранее, чем получить штраф и в конечном итоге все-таки выполнить все требования регулятора.
5. Наличие у организации лицензий в сфере ИБ. Ситуация сапожника без сапог, на мой взгляд, абсолютно недопустима.
6. Законодательство в сфере персональных данных постепенно идет в сторону ужесточения, увеличения штрафов, формируется судебная практика, поэтому начать заниматься защитой персональных данных нужно как можно раньше, так как процесс оформления полного комплекта документов для ИСПДн не быстрый.
7. Персональные данные часто пересекаются с другими видами тайн, например, с банковской или врачебной, иногда - с коммерческой тайной. Защищая одно, придется защитить и другое.
8. При проведении аудита ИСПДн можно найти много неоптимальных, а иногда и опасных бизнес-процессов (отправка документов на нерабочую электронную почту, вынос флешек за пределы контролируемой зоны).
9. В последнее время можно отдельно выделить такую причину, как желание организации присоединиться к Кодексу добросовестных практик.
10. Защита персональных данных в организации создает потенциальную возможность наказать и даже уволить работника за нарушения в этой сфере, что иногда бывает полезным.
11. Все чаще при оформлении договоров между двумя организациями особое внимание обращают на выполнение взаимных обязательств по защите полученных в ходе взаимодействия персональных данных.
12. Ну и в качестве последней причины я бы указала защиту персональных данных, как самоцель, с целью получения денег за свои услуги в этой области.

А как считаете Вы?

Андо Хиросигэ «Атагосита улица Ябукодзи». Источник

https://vk.com/kshudrova - присоединяйтесь к групп ВКонтакте. Здесь ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов, а также обсуждения наболевших вопросов.