Специалист по защите информации
0,0
рейтинг
15 февраля 2013 в 13:19

Разработка → Снова о защите персональных данных или готовимся к проверке Роскомнадзора из песочницы

Вступление



Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

image
Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

Причин несколько:

  • Этой информации итак много в интернетах и она более-менее однозначная.
  • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
  • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
  • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
  • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.


Немного о себе



Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?



И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?



Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:
  • перечень сведений конфиденциального характера;
  • инструкция администратора информационной безопасности;
  • приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
  • перечень персональных данных, подлежащих защите;
  • приказ об утверждении мест хранения персональных данных;
  • инструкция пользователей информационной системы персональных данных;
  • приказ о назначении комиссии по уничтожению персональных данных;
  • порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  • план внутренних проверок режима защиты персональных данных;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • журнал учета носителей информации информационной системы персональных данных;
  • журнал учета мероприятий по контролю обеспечения защиты персональных данных;
  • журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
  • правила обработки персональных данных без использования средств автоматизации;
  • положение о разграничении прав доступа к обрабатываемым персональным данным;
  • акт классификации информационной системы персональных данных;
  • инструкция по проведения антивирусного контроля в информационной системе персональных данных;
  • инструкция по организации парольной защиты;
  • журнал периодического тестирования средств защиты информации;
  • форма акта уничтожения документов, содержащих персональные данные;
  • соглашение о неразглашении персональных данных;
  • журнал учета средств защиты информации;
  • журнал проведения инструктажа по информационной безопасности;
  • инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  • приказ о перечне лиц, допущенных к обработке персональных данных;
  • положение об обработке и защите персональных данных;
  • план мероприятий по обеспечению безопасности персональных данных;
  • модель угроз безопасности в информационной системе персональных данных.


Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация



Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения



Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

  • Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
  • Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
  • Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
  • Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
  • Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
  • В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.


На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.
Андрей Березов @Loreweil
карма
40,5
рейтинг 0,0
Специалист по защите информации
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (38)

  • +20
    Картинка, и особенно подпись к ней, оттеняет монументальную серьёзность материала :-)
  • +2
    Два тонких момента:
    1. ФСТЭК по обновленному ФЗ не проверяет коммерческие организации. По интернетам ходит информация, что на эту освободившуюся роль зарится Роскомнадзор, для чего они даже в свое время начали аттестовывать экспертов. На практике пока не сталкивался.
    2. Политика в отношении обработки ПДн должна быть доступна субъектам (или даже размещена на сайте). если ее включать в состав какого-то преимущественно «внутреннего» документа (положения, инструкции), придется смотреть, не содержит ли он какой-то критичной с точки зрения безопасности информации. Мы как правило делаем отдельную небольшую политику для размещения на сайте оператора, и уже более подробный внутренний документ с описанием требований к защите.
    • 0
      Со ФСТЭК вообще очень интересный момент с их проверками по персональным данным. По закону о защите юридических лиц у проверяющего органа должен быть опубликован в свободном доступе регламент проверок. На старом сайте ФСТЭК было 2 регламента проверок: по лицензионной деятельности и экспортному контролю (на новом сайте я даже их не нашел), ФСТЭК на различных конференциях заявлял, что регламент по ПДн есть, но он имеет гриф секретности. Вот и получается, что они по хорошему даже юридически не могут проверять по ПДн. На новом сайте в разделе «плановые проверки» также только 2 вида проверок: лицензионная деятельность и экспортный контроль. Пруф: www.fstec.ru/ru/deyatelnost/tekushchaya/planovye-proverki
      И личный опыт также подтверждает, что ФСТЭК по персональным данным не проверяет, я не знаю как по остальным федеральным округам, но в ДФО проверок по персональным данным ФСТЭКа просто нет =)
      • 0
        ФСТЭК ЮФО несколько выездных проверок провел. Проверяет органы исполнительной власти по соблюдению режима ГТ, КТ… ну и заодно ПДн.

        Безопасность ПДн (в т.ч. криптографию и тех.защиту) проверять теперь стала ФСБ. Правда опять же, только гос.организации.
    • 0
      Внеплановые проверки точно проводит РКН, по крайней мере, на свою УК я писал туда и проверку проводили они.
  • +1
    На всякий случай добавлю, что ФСТЭК и ФСБ не осуществляют проверку негосударственных ИСПДн, а РКН не проверяет техническую часть вообще.
    При этом довольно активно проводятся совместные проверки ФСТЭК-ФСБ-РКН в государственных структурах, обрабатывающих ИСПДн и проверяют техническую часть досконально — от правильности модели угроз и выбранных СЗИ, до корректности их настройки и работы.
    И еще одна особенность — кроме ФСТЭК, ФСБ и РКН есть еще и прокуратура, которая проверяет много чего :)
    • 0
      Честно говоря с совместными проверками не сталкивался, может быть к ближе к западу это активно практикуется, но у нас на дальнем востоке в основном активничает РКН в этой сфере.
  • +6
    Это же сколько нужно перевести бумаги, чтобы быть «в законе». И всё бестолку.
    • 0
      Согласен с вами, леса Амазонки в опасности =( Но такая уж у нас страна, что большая часть защиты информации происходит именно на бумаге…
    • 0
      Я так понял, что обработку аналоговую надо регламентировать, т.е. в приказе описать какой она будет и будет ли вообще. Разве нельзя задекларировать, что бумажная обработка будет производиться в неких минимальных объемах?
    • 0
      Держите сайт и БД зарубежом.
      • 0
        Вот за это в первую очередь и прижмут (если нет обоснования трансграничной передачи ПДн).
        • 0
          Если только хостер сдаст :).
          • +1
            Достаточно жалобы и сведений из whois по IP-адресу сайта.
            • 0
              Сведений whois недостаточно, если зарегано на частное лицо (так многие компании делают) или на хостера (тоже распространено). Жалоба без фактов — пустышка.
        • 0
          Каких обоснований?! Если есть согласие на трансграничную передачу, и хостится в Европе (где адекватные контроли).
    • 0
      Это же сколько нужно перевести бумаги, чтобы быть «в законе». И всё бестолку.

      99% (оценка оптимистично занижена) любого документооборота, связанного с чиновниками в нашей стране, можно описать вашей цитатой.
  • +1
    У вас прямо на лицо «Закон Паркинсона».
    цитата
    … Когда семеро служащих делают то, что делал один, вступает в игру фактор 2. Семеро столько работают друг для друга, что все они загружены полностью, а А занят больше, чем прежде. Любая бумага должна предстать перед каждым. Е решает, что она входит в ведение F, F набрасывает ответ и дает его С, С смело правит его и обращается к D, а D — к G. Однако G собрался в отпуск и передает дело Н, который снова пишет все начерно за подписью Д и вручает бумагу С, а тот в свою очередь просматривает ее и кладет в новом виде на стол А...
    • +3
      Видимо, Паркинсон не проходил мед.осмотры в российских поликлиниках… иначе цепочка была бы в разы длиннее и бессмысленнее, а бумага в конце считалась бы недействительной, ибо G, K, E и W поставили подписи не в своих строчках :)
  • +3
    Вспомнилась история про 152-ФЗ
    Периодически общаюсь по служебной надобности с силовиками и вот довелось услышать такую прелюбопытную историю успеха как благодаря 152 фз капитан стал майором :) шутка, конечно, но доля правды в ней есть. У некого подразделения были сильные проблемы со статистикой, в связи с низкой численностью и уровнем подготовки персонала и вот однажды молодой капитан вышел к руководству с инициативой об использовании 152 фз. Но интернет -дело темное, да и не в их компетенции, поэтому просто выделили двух бойцов и они за месяц обошли все офисные центры на ввереной территории. А московские офисные центры это что? правильно -пропускной режим на грани идиотизма, со всеми атрибутами в виде сбора персональных данных и всеми возможными грубейшими нарушениями 152 фз.
    За этот месяц «галочек» в этом районе было срублено столько, что подразделение удостоилось чести быть поставленным в пример «как надо работать» большим начальником </сарказм>, а капитан одел майорские погоны.
  • 0
    Вопрос про аттестацию. А как выполнить требование 152-ФЗ «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных» без нее?

    Еще не увидел в перечне документ об «оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом».
    • 0
      Каждый изголяется как может. В хорошем смысле.

      Алексей Волков в своем блоге приводил пример приказ, из коего следовало, что оценка эффективности обеспечивалась порядком приема объекта в эксплуатацию (приказы, кажется, испытания). Проверку прошел.

      Еще вариант, документ от интегратора, типа «Акт оценки эффективности мер защиты». Лично я считаю, что модель угроз и собственно проект как раз-таки и обеспечивают «эффективность мер защиты», поскольку делаются не в вакууме, а применительно к системе. В любом случае, аттестация — зло.
    • 0
      Про оценку эффективности в принципе уже ответили, не обязательно это достигается путем аттестации. Центральным документом тут должна быть модель угроз, в ней вы определяете какие угрозы у вас актуальны, соответственно, их нужно нейтрализовать. Потом составляете документ (как его назвать уже дело десятое) в котором рисуете таблицу со столбцами «Актуальная угроза согласно модели угроз» и «Методы нейтрализации». В методах пишите как принятые организационные меры, так и технические. Таким образом вы показываете, что все актуальные угрозы нейтрализованы, о чем в конце делает заключение назначенная ранее комиссия.

      Что касается «оценки вреда», то это как раз один из моментов в законе когда написано, а как делать — непонятно. По хорошему должен быть отдельный подзаконный акт с методикой оценки вреда, но его пока что нет и даже на горизонте не маячит (тут уж хоть бы документы от ФСТЭК дождаться по тех защите ПДн). Звонили в наш РКН по этому поводу, они говорят, что сами ждут подзаконный акт. По факту на проверках РКН (по крайней мере наш) такой документ не требует. В принципе, для подстраховки можно придумать что-нибудь, где расписать для разных категорий субъектов, что, допустим, для сотрудников вред при разглашении ПДн «минимальный», для клиентов «средний» и тд. Для РКН, даже если они поднимут этот вопрос, будет важен скорее сам факт оценки, а не ее качество.
      • 0
        Имхо модель угроз и проект никак не могут говорить об эффективности системы т.к. разрабатываются ДО её создания.
        А документ с «актуальными угрозами» и «методами нейтрализации» — это ведь и есть протокол аттестационных испытаний.

        Каким образом можно соотнести «минимальный» и «средний» вред с принятыми оператором мерами? Ведь РКН вполне может задать этот вопрос.

        Кстати небольшие изменения в составе ПО и технических средств можно согласовывать с органом по аттестации и по почте, что не вызовет никаких доп. затрат.
        • 0
          Актуальные угрозы и методы нейтрализации это далеко не все, что входит в протокол аттестационных испытаний. В любом случае, вы можете такой документ подготовить сами, не имея лицензии ФСТЭК, чего нельзя сказать об аттестации.

          Что касается согласования изменений в информационной системе с органом по аттестации, то тут многое зависит от этого самого органа по аттестации. Многие любят делать деньги из воздуха и могут наговорить, что для внесения изменений нужны дополнительные тесты и проверки…
  • +5
    Если кому интересно, могу написать подобный пост, но только: защита ПДн в медицинской сфере.
    • 0
      Да, тема интересна. С удовольствием бы почитал!
    • 0
      да, интересно!
    • 0
      Написали? Как раз сейчас было бы интересно почитать.
  • 0
    Конечно пишите, я бы тоже с удовольствием почитал. Обмен опытом вещь очень ценная.

    Немного промазал, этот коммент про статью о ПДн в медицине.
  • 0
    Это фактически каждая бухгалтерия давно обязана настолько заморочиться, получается, с пачкой приказов и регламентов по поводу ПДн сотрудников? Или там пункт про договорную деятельность всё упрощает?
    • +1
      Согласно статье 22 закона 152-фз, оператор может не уведомлять уполномоченный орган, если обработка ПДн осуществляется только в соответствии с Трудовым Кодексом. Тем не менее, организация все равно является оператором ПДн. Если оператора нет в реестре, то сильно снижается вероятность плановой проверки. Но есть проверки внеплановые, происходят они как правило, когда на организацию напишут жалобу о том, что они не соблюдают законодательство в сфере ПДн. Поэтому бухгалтериям лучше все-таки заморочиться по поводу приказов и других документов.
  • 0
    Один момент. У нас кредитный кооператив — НЕ коммерческая организация. С паспортами клиентов работаем и данные их храним. Обязательно ли нам регистрироваться в реестре операторов персональных данных и проходить аттестацию?
    • 0
      Очень мало сведений для однозначного ответа. Вам нужно смотреть статью 22 закона «О персональных данных», там сказано в каких случаях оператор может обрабатывать ПДн без уведомления. Под ваш случай могут попадать нижеследующие пункты.

      2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

      2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; (вы не сказали, заключаете вы договор или нет)

      3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных; (если вашу организацию можно классифицировать как «общественное объединение»)

      или

      8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных; (вы не указали в каком виде вы храните и обрабатываете ПДн)

      Если подходите под один из этих пунктов, уведомление в РКН можно не подавать. Тем не менее вы являетесь оператором ПДн (по закону им является любое юридическое или физическое лицо, обрабатывающее ПДн субъектов) и должны принять меры по сохранению конфиденциальности ПДн.

      Аттестация ИСПДн не нужна в любом случае. Достаточно просто принять организационные и технические меры.
      • 0
        Простите за неполную информацию.
        Действительно, заключаются договора на выдачу кредита и на прием вкладов. Если с нашей стороны есть претензии по кредиту — то оформляем документы в суд, далее идут данные к судебным приставам.
      • 0
        Данные хранятся в 1С-бухгалтерии и в бумажном виде в сейфе.
        • 0
          Получается вы передаете ПДн третьим лицам без согласия субъекта, значит 2 пункт не подходит, и 8 пункт тоже, тк используются средства автоматизации. Значит вам нужно отправлять уведомление в РКН и регистрироваться в реестре операторов.
          • 0
            Спасибо за развернутые ответы!

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.