28 февраля 2011 в 10:33

Разное → Несколько слов о 152-ФЗ

Поскольку продления моратория на ст. 25.3 (ИСПДн… должны быть приведены в соответствие с требованиями… закона не позднее 1 июля 2011) наверное можно уже не ждать, то даже самым консервативным организациям пора начать готовиться к проверкам и приводить свои ИСПДн в норму. Но так ли все страшно на самом деле? Давайте разбираться.

Кто и что будет проверять?
Проверять будут конечно же регуляторы: ФСТЭК, ФСБ и Роскомнадзор.

Вы всегда должны помнить, что регуляторы не имеют опыта в проведении проверок по линии ПДн и проверяя вас они так-же учатся, кроме того проверяющие далеко не всегда юридически подкованы в этом вопросе, а ФСТЭК и ФСБ ведет проверки исходя из собственных требований.

Для того, чтобы избежать санкций, можно просмотреть список претензий регуляторов к уже проверенным организациям:

ФСТЭК:
-Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации;
-Незавершенность классификации ИСПДн или ее ошибочность;
-Невыполнение работ по анализу угроз информационной безопасности;
-Незавершенность разработки необходимого комплекта организационно-распорядительной документации;
-Отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам;
-Использование несертифицированных СЗИ;
-Невыполнение работ по аттестации ИСПДн;
-Непринятие мер по учету машинных носителей;
-Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите;
-Отсутствие достаточного количества квалифицированных специалистов;

ФСБ (Выбор объектов проверок осуществляется на основании информации, представленной Роскомнадзором):
-Использование средств криптозащиты, отличающихся от сертифицированных версий;
-Невыполнение отдельных требований по порядку эксплуатации криптосредств, предусмотренных технической документацией;
-Несовершенство отдельных подготовленных оператором документов, регламентирующих вопросы обеспечения безопасности в конкретной организации;

По Роскомнадзору все не так очевидно. Ясно одно, на практике бОльшая часть проверок является документальными.
Проверки РКН могут проводиться в следующих случаях:
-Уведомления об обработке персональных данных в организации. (Тогда организацию внесут в реестр операторов ПДн. На год вперед составляется график плановых проверок организаций из этого реестра);
-Истечения 3х лет со дня окончания последней проверки/регистрации юридического лица в качестве оператора;
-Жалобы от граждан о неправомерной обработке его ПДн;

Выездная проверка проводится в случае, если при документарной проверке не представляется возможным удостовериться в полноте и достоверности сведений или оценить соответствие деятельности юридического лица обязательным требованиям без проведения соответствующего мероприятия по контролю.

Из всего вышеперечисленного видно, что в первую очередь требуется подготовить документальную базу. Для ее создания необходимо в рамках вашей организации создать комиссию по защите ПДн (2-3 сотрудника IT отдела, юрист, кадровик, бухгалтер, начальник методологического отдела). Составить положение о комиссии, где определить ее положение, полномочия и т.д.
В рамках этой комиссии:
-оценить как и какие ПДн обрабатываются в вашей организации (кстати, самый простой способ понизить класс ИСПДн это обезличивание).
-запросить и проанализировать документы, связанные с требованиями к оператору ПДн во ФСТЭК и ФСБ по вашему региону.
-запросить список сертифицированных ОС, антивирусов, сетевого оборудования и т.д. (и подготовить документальный план по смене используемого ПО и оборудования на рекомендованные).
-подготовить документальную базу (Акт классификации ИСПДн, Акт обследования ИСПДн, Заключение о возможности эксплуатации СЗИ, Описание СЗИ, Положение о ПДн сотрудников, Приказ о назначении ответственного за защиту ПДн лица, Приказ о перечне ПДн, Приказ о списке лиц допущеных к ПДн, Приказ об обеспечении безопасности ПДн, Частную модель угроз, Бланк согласия на обработку ПДн и т.д. в зависимости от списка требований местных отделов ФСБ и ФСТЭК).

Главное для вас избавиться от ПДн не обязательных для делопроизводства, верно установить класс ИСПДн и подготовить документацию ИСПДн по данному классу, а так же брать с сотрудников и клиентов документальное согласию на обработку их ПДн (в том числе с возможной передачей их третьим лицам).
Вполне вероятно, это позволит вам без проблем пережить первую волну проверок без последствий.

Данный материал был подготовлен с использованием материалов семинара ФСИ в Екатеринбурге.

p.s. И помните, что на 152-ФЗ свет клином не сошелся. Кроме 152-ФЗ есть еще Европейская Конвенция «О защите физических лиц при автоматизированной обработке
персональных данных», ратифицированная в нашей стране и имеющая бОльшую силу (а 152-ФЗ ей далеко не во всех пунктах соответствует), а так же «смежные» законы, ФЗ-294 например. И главное не забывайте привлекать в таким вопросам юристов, они тоже не просто так деньги получают.