Несмотря на обилие статей гражданского, уголовного и административного кодексов, по которым оператор может быть привлечен к ответственности, выделим главное. Уполномоченный орган может ходатайствовать о приостановке действия лицензии на основной вид деятельности оператора на срок до 90 дней. Дальше решать вам, т.е. вашему руководителю компании, так как ответственность согласно выше перечисленному несет лично он.

Исходя из имеющейся статистики, далеко не каждая компания имеет в своем штате специалиста по информационной безопасности, в чьи непосредственные обязанности должна входить подготовка и аттестация ИС компании. Чаще всего в компаниях существуют подразделения ИТ и ИБ. Кто же должен заниматься в компании подготовкой и аттестацией ИС по требованиям Федерального закона?

Конечно, в каждой компании данный вопрос будет решаться индивидуально, но общую рекомендацию, наверное, можно дать. Описание ИС, а точнее, ее части, в которой обрабатываются персональные данные (ИСПДн), конечно, должен делать специалист ИТ-подразделения, а вот общую документацию и меры защиты должен разработать и контролировать сотрудник безопасности. Четкое взаимодействие этих подразделений позволит компании минимизировать свои расходы при проведении работ на соответствие требованиям и собственно проведение самой аттестации ИС.

В любом случае обязательным (на основании ФЗ) является назначение ответственного за обеспечение защиты персональных данных, и неважно, будет это специалист из ИТ-подразделения или из безопасности, главное, чтобы он был в организации. Правильное распределение функций и ответственности между подразделениями обязательно принесет свои плоды. Конечно, всегда остается возможность привлечения стороннего консультанта, который сделает эту работу за вас.

А теперь представьте, что вас назначили ответственным в компании за ИБ ПДн. Готовы ли вы отвечать по действующему законодательству за работу консультанта? Если нет, тогда давайте посмотрим, что можно сделать самостоятельно.

– Как избежать больших расходов при переходе на нормы закона о персональных данных? На чем можно экономить, а на чем нет?

– Для сокращения затрат организации на подготовку ИСПДн к аттестации можно часть работ из приведенного списка выполнить самостоятельно. Объем работ, которые вы можете взять на себя, зависит только от квалификации ваших сотрудников и желания разобраться с руководящими документами. Условно работу можно разделить на два блока.

Выполнить самостоятельно:

>  анализ процессов компании на предмет выявления ПДн;