Департамент защиты персональных данных

Помощь по теме: "Департамент защиты персональных данных" с полным описанием проблематики и решением. Ели у вас есть вопросы, то обратитесь к дежурному консультанту.

Защитите свою организацию за 1 день
от штрафов Роскомнадзора в 18 млн.руб

Что требует закон 152-ФЗ

Согласно Федеральному закону № 152-ФЗ «О персональных данных»,
каждое юридическое лицо, независимо от организационно-правовой
формы и формы собственности, и каждый индивидуальный предприниматель,
который использует персональные данные в профессиональной деятельности, обязаны:

Система менеджмента по защите персональных данных представляет собой уникальный набор документации, более 30 документов: приказы, акты, инструкции, положения.
Опубликовать политику

Организация рассказывает, как работает с персональными данными в важном документе — политике. Её размещают в офисе и публикуют на сайте.
Уведомить Роскомнадзор

Организация заполняет и подаёт уведомление в Роскомнадзор. Уведомление заполняется на сайте и отправляется по почте.

Почему вы
оператор персональных данных?

Что такое персональные данные

Под персональными данными подразумевается любая информация, относящаяся к физическому лицу (работнику, клиенту, партнеру, соискателю). Например: ФИО, дата рождения, адрес места регистрации и проживания, образование, профессия, доходы, Паспортные данные, ИНН, Снилс, номер телефона и др.

Соответственно, каждое предприятие или организация попадает под проверки Роскомнадзора, плановые и внеплановые, например по жалобе или по результатам наблюдения.

Кто такой «оператор персональных данных»

Согласно определению из закона 152-ФЗ «О персональных данных», оператором персональных данных является любая государственная или муниципальная организация, все без исключения юридические лица и индивидуальные предприниматели , организующие и (или) осуществляющие обработку персональных данных в электронном и (или) бумажном виде.

  • Ведение кадрового учета

Положения об обучении и аттестации сотрудников, их личные карточки, трудовые книжки, табеля учета рабочего времени, графики отпусков.

Пропускной режим на предприятии

Ведение журнала посетителей, работников при наличии контрольно-пропускного пункта, включая видеонаблюдение.

Ведение бухгалтерского учета

Работа с персональными данными работников и контрагентов по части бухгалтерского учета. Оформление различных локальных документов.

Публикация в интернете

Публикация данных сотрудников в рамках пресс-релизов, проведения акций и партнерских программ.

Отчисление страховых взносов в ПФР и ФСС

Обработка персональных данных при отчислении средств за работников в различные фонды.

Заключение и оформление договоров

Фигурирование персональных данных работников или клиентов в различных договорах, связанных с деятельностью предприятия.

Оформление зарплатных карт

Передача третьей стороне (банку), персональных данных работников в рамках зарплатного проекта.

Решение о приёме на работу

Обработка персональных данных соискателей при приеме на работу: рассмотрение резюме и проведение анкетирования.

В течение 1 минуты вам придет письмо
со справочной информацией.

Статья 22 не освобождает вашу организацию от выполнения мер, предусмотренных ст.18.1, а только лишь избавляет от необходимости подачи уведомления в ограниченном числе случаев.

Разрабатывать документацию по защите персональных данных необходимо всем без исключения юридическим лицам, в соответствии со ст.18.1 и ст.19. Федерального закона №152-ФЗ.

Как не попасть под штраф?

Благодаря подготовленным нами документам по защите персональных данных,
Вы сэкономите средства на найме юристов и не будете оштрафованы при проверке.

Источник: http://rkn.moscow/

Роскомнадзор предупредил операторов персональных данных о фейковой рассылке от имени ведомства (уточнение)

В материале по просьбе Роскомнадзора уточняется информация для операторов персональных данных. Ниже приводится исправленный текст.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) предупредила операторов персональных данных о массовой рассылке фейковых уведомлений от имени ведомства. Об этом сообщили в пресс-службе Роскомнадзора.

«По сообщению ряда операторов персональных данных зафиксирована массовая рассылка неизвестными лицами фальшивых информационных уведомлений от имени Роскомнадзора. Рассылка производится якобы от имени Сокоушина Дмитрия Валерьевича с электронного адреса «[email protected]». В письме содержится требование о предоставлении в Роскомнадзор перечня документов о намерении осуществлять обработку персональных данных под угрозой привлечения к административной ответственности. Организаторы рассылки рекомендуют организациям «разработать комплект организационно-распорядительной документации и направить его в Роскомнадзор в течение 10 дней с даты получения данного запроса». Обращаем внимание, что распространяемая информация не соответствует действительности», — говорится в сообщении.

В ведомстве пояснили, что Роскомнадзор не запрашивает указанный в письме перечень документов для реестра операторов персональных данных. Также подчеркивается, что рассылка производится с почтового сервера с доменным именем, которое не используется Роскомнадзором: официальные сообщения службы могут быть отправлены исключительно с адресов электронной почты сервера @rkn.gov.ru.

В ведомстве также попросили операторов персональных данных, получивших подобные письма, сообщить о фактах получения неправомерных требований по адресу [email protected]

СМИ информационное агентство «Агентство городских новостей «Москва» зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций. Свидетельство о регистрации средства массовой информации Эл № ФС77-53980 от 30 апреля 2013 г.

Источник: http://www.mskagency.ru/materials/2893674

Это он, это он, персональный лохотрон

Мимикрия

Все, конечно, помнят, как некоторое время назад почтовые ящики жителей краевого центра заполонили листовки с грозным заголовком «Персональное извещение», гласящие следующее: «Доводим до Вашего сведения, что приборы учёта воды (или газа. – авт.), установленные в Вашей квартире, имеют межповерочный интервал и нуждаются в метрологической поверке. На основании этого обращаем Ваше внимание на утверждённый график проведения коллективной поверки приборов учёта воды в Вашем доме». Далее авторы послания предупреждают, что если абонент вовремя не проведёт своевременную поверку водомеров, его ждёт начисление платы за воду по общему нормативу. И, чтобы избежать перевода на норматив, горожанам рекомендуется срочно согласовать с авторами извещения дату и время проведения процедуры проверки учёта воды. Потом, конечно, выяснилось, что в рассылке этих извещений кроется самый настоящий лохотрон. Некие свежеиспечённые бизнесмены, прикидываясь солидными организациями, на самом деле брали с людей деньги за воздух – поверку и ту же замену счётчиков без их помощи потребители могли произвести в три раза дешевле.

Жулики меняют тактику

Видимо, окучив рядовых жителей, переставших попадаться на удочки проходимцев, последние взялись за бизнес. Так, многие компании со штатом в добрые сотни сотрудников и частные предприниматели с коллективом в три человека на днях получили по электронной почте страшилку, пришедшую из некоего Главного управления единого центра сертификации (ГУЕЦС). В суровом «Предписании о разработке системы защиты персональных данных, согласно ФЗ-152» (кстати, пресловутое послание без подписи должностного лица, его направившего, и контактных телефонов) говорится буквально следующее: «В связи с возросшей активностью контролирующих органов с 1 мая 2017 года во избежание штрафных санкций информируем, что все организации Российской Федерации вне зависимости от формы собственности и организационно-правовой формы обязаны уведомить Федеральную службу по надзору в сфере связи, информационных технологий и коммуникаций (Роскомнадзор) об обработке персональных данных и разработать комплект документов по информационной безопасности. Если организация не зарегистрирована в реестре операторов по обработке персональных данных Роскомнадзора, а также не разработан комплект документов по обеспечению информационной безопасности, ей грозят штрафные санкции от 45 до 300 тысяч рублей».

Читайте так же:  Возражения на взыскание компенсации морального вреда

Ну и дальше – по накатанной схеме – авторы послания ненавязчиво предлагают воспользоваться их услугами: мол, мы сами соберём необходимый комплект документов, сами зарегистрируем вашу фирму в реестре Роскомнадзора. И стоить это вам будет совсем смешные деньги, потому как, воспользовавшись нашими услугами, вы становитесь участником льготной Федеральной программы «Защита персональных данных», гарантирующей возврат 50 процентов средств, потраченных на услуги ГУЕЦС. И – ссылка на сайт http://152фз.россерт.рф, где можно заказать сию услугу.

Бумага всё стерпит

Надо ли говорить, что, получив грозное предписание, напоминающее больше последнее китайское предупреждение, многие ИП, особенно из отдалённых сёл, схватились за сердце? Шутка ли – влететь под трёхсоттысячный штраф? Не лучше ли заплатить добрым людям 50 тысяч за услуги, тем более что половину из этой суммы вернёт государство. Федеральная же программа, как никак.

Но давайте разбираться. Эта подмётная бумага с самого начала вызвала у меня глубокие подозрения, что всё изложенное в ней – не более чем развод на деньги. В чём в кратчайшие сроки я и убедилась.

Во-первых, совершенно не понятно, что это за всемогущая структура – ГУЕЦС, которая легко и непринуждённо соберёт вместо вас некий комплект документов и без вашего участия внесёт вас в реестр Роскомнадзора в число операторов по обработке персональных данных. Пробив по открытым базам данных налоговых структур фирму по ИНН, указанному в шапке письма, обнаружила, что за грозной аббревиатурой скрывается санкт-петербургская микрофирмочка, открывшаяся всего год назад, с уставным капиталом в 30 000 рублей и единственным учредителем – неким Александром Катричко. Идём дальше. Зарегистрировано сие «солидное» Главное управление единого центра сертификации (правда, в документах именующееся скромным ООО «ЕЦС») в «резиновом офисе». То есть в этом помещении по адресу: Санкт-Петербург, проспект Народного Ополчения, дом 10, помещение 253Н, находятся юридические адреса ещё с полсотни предприятий. Начиная от бетонного завода и управляющей компании и заканчивая лесопилкой и торговлей ГСМ.

А чем же, согласно ОКВЭД, занимается этот Единый центр сертификации? Оказалось, чем угодно, начиная от сертификации продукции и услуг, розничной торговли в Интернете и вне магазинов до ведения бухучёта и консультаций в рекламном бизнесе. Всего 17 видов деятельности – вот такой «многостаночник» этот таинственный господин Катричко, – но ни один из которых к исполнению ФЗ-152 никакого отношения не имеет. От слова совсем.

Во-вторых, заглянула я и на сайт http://152фз.россерт.рф. Опять же, никаких контактных данных, только форма, заполнив которую, предприниматель может заказать вышеописанную услугу. Оплатив же её онлайн (цена вопроса – 50 тысяч рублей), сможет спать спокойно, не боясь проверок Роскомнадзора и ожидая возврата 50 процентов суммы по федеральной программе.

Ну и третье. Главное. Федеральной программы по защите персональных данных не существует. И не существовало. И в ближайшем будущем не предвидится. Так что рассчитывать на возврат государством своих 25 тысяч, отданных не известно кому и не известно за что, не рекомендую.

Услуги без услуг

Почему не известно за что? А очень просто. Достаточно внимательно почитать ФЗ «О персональных данных». Да, следуя его контексту, операторами персональных данных могут быть признаны абсолютно все организации страны, потому как все они получают и хранят персональные данные сотрудников, клиентов, контрагентов. И, следовательно, будь то корпорация или скромный частник, они обязаны подать сведения в Роскомнадзор для внесения их в реестр. Так, да не так.

Закон чётко определяет, в каких случаях этих телодвижений не требуется. В частности, если предприятие обрабатывает только те сведения, которые нужны для трудовых отношений (то есть данные своих сотрудников) и договорных отношений (данные контрагентов); когда обработке подвергаются данные общедоступного характера; если обрабатываются только фамилия, имя, отчество; когда данные используются один раз, например, для выписки пропуска; если для обработки не применяется компьютерная техника. Есть ещё ряд исключений. С подробным перечнем которых можно ознакомиться в тексте закона. Это раз.

Если же ваше предприятие по всем признакам подпадает под определение оператора, то позаботиться о внесении его в реестр, конечно, надо. Но, во-первых, делается это совершенно бесплатно – достаточно зайти на сайт Роскомнадзора, заполнить электронную форму уведомления о включении в реестр операторов по обработке персональных данных, распечатать её и послать почтой в ведомство. Так что ваши траты будут равняться цене пары листов бумаги и почтового конверта. Во-вторых, на уведомлении потребуются ваша живая подпись и оригинальная печать предприятия. Без которых бумаги вряд ли примут. Поэтому совершенно не понятно, каким образом ГУ ЕЦС намеревался оказать вам эту услугу по подаче ваших документов дистанционно. Это два. Хотя чего тут гадать – вероятнее всего, вообще не собирался оказывать никаких услуг. Главное – состричь побольше купонов и кануть в небытие.

Не ленитесь позвонить

За разъяснением, как себя вести бизнесмену, получившему подобное письмо счастья, я обратилась в Управление Роскомнадзора по СКФО. Оказалось, там о проблеме уже наслышаны. В ведомство уже поступали вопросы от предпринимателей по поводу пресловутых «Предписаний». Как сообщили в управлении, информация, распространяемая в письмах ГУЕЦС, не соответствует действительности. В частности, внеплановые проверки не являются приоритетной и массовой формой контроля со стороны Роскомнадзора и проводятся только в случае выявления нарушений, создающих угрозу гражданам или общественному порядку, подчеркнули в надзорной службе. Кроме того, за нарушения статей закона Ф-152 предусмотрены штрафные санкции от 5 до 10 тысяч рублей, но никак не 300000. Ну и последний штрих – при получении подобных предписаний, указаний и прочих уведомлений устрашающего характера не ленитесь поднять трубку телефона и набрать номер того ведомства, карами со стороны которого вам грозят анонимные доброжелатели. Уверена, в ста случаях из ста на другом конце провода вам ответят, что полученное послание вы смело можете отправлять в помойку.

Читайте так же:  Судебная военно врачебная экспертиза

Источник: http://www.stav-reporter.ru/obshhestvo/personalnyij-loxotron

Департамент ИТ

Закону о защите персональных данных уже 13 лет и закон этот распространяется на все без исключения компании. Однако, несмотря на это, для многих руководителей компаний и ИТ-директоров тема защиты персональных данных до сих пор овеяна ореолом тайны. В данной статье я постараюсь кратко и без воды донести какие обязанности накладывает ФЗ-152 на рядовой бизнес, чем грозит неисполнение закона и как «можно», а также как «нужно» исполнять требования данного федерального закона.

Для совсем ленивых нужно знать следующее: ФЗ-152 обязателен для всех компаний. Максимальное наказание — штрафы до 290К рублей. Соответствовать закону можно формально (потратив порядка 20-30К рублей), а можно реально (требует изменений в ИТ-инфраструктуре). Если хотите совета голосом, то наш телефон +7 495 649-60-96 и почта [email protected]depit.ru.

Ниже научу вас плохому… да и хорошему тоже научу:

Что грозит за нарушение ФЗ-152 и как «можно» исполнять закон обычному бизнесу

Традиционно в России уровень того как «можно» вести дела определяется исходя не из буквы закона, а исходя из предусмотренного за его нарушение наказания. Наказания за нарушение ФЗ-152 определены в КОАП 13.11 и, если вы разозлите Роскомнадзор на полную, оштрафовать вас могут на сумму до 290 тысяч рублей по совокупности статей.

Видео (кликните для воспроизведения).

Несмотря на суровость предусмотренных наказаний, налагаются они исключительно за нарушение общих процедур обработки персональных данных, а также на нарушения правил НЕавтоматической обработки. То есть, с точки зрения карательной системы, всем плевать, что вы храните чьи-то персональные данные в открытом доступе в сети Интернет. Главное – это то, что вы берете согласие на обработку персональных данных, у вас прописаны регламенты и процедуры обработки, а также что персональные данные на бумажных носителях (трудовые книжки, личные дела и подобное) лежат в закрытом сейфе.

Таким образом, для «формального» соответствия требованиям ФЗ-152, вам достаточно обложиться типовым набором приказов и распоряжений, выполнять ряд общих требований и спать спокойно. Все эти документы уже давно пишутся под копирку, и вы можете как самостоятельно найти нужные шаблоны в Интернете, так и заказать разработку полного комплекта документов на рынке за 20-30 тысяч рублей. Компаний, оказывающих такие услуги, полно, а цены и результат везде практически одинаковые.

Существует еще один сценарий «выполнения» требований ФЗ-152 для экстремалов – игнорировать его. Если вы храните и обрабатываете персональные данные только своих собственных сотрудников, то по закону вы не обязаны регистрироваться в качестве обработчика персональных данных и проверка к вам придет только в случае, если кто-то на вас пожалуется. Однако, даже если у вас в компании круговая порука между сотрудниками, я все-равно рекомендовал бы вам хотя бы прочитать ФЗ-152 и, как минимум, собирать согласия на обработку персональных данных с ваших работников.

Однако если обозначенный выше подход вам претит и персональные данные клиентов и сотрудников вы хотите защищать не для галочки, а со всей ответственностью, то к формальным требованиям по защите информации добавятся еще и вполне конкретные технические мероприятия:

Технические требования по защите персональных данных в соответствии с ФЗ-152 для обычного бизнеса

Для полноценной защиты персональных данных в соответствии с ФЗ-152, помимо обозначенной в предыдущем разделе формальной стороны вопроса, необходимо применять еще и вполне конкретные технические решения. Какие это технические решения – расписано в Постановлении РФ №1119 и приказе ФСТЭК №21.

Если ваша компания – это обычный бизнес, который не собирает сторонних персональных данных, а хранят и обрабатывают персональные данные только своих собственных сотрудников, то защищать персональные данные ваша компания должна по третьему и четвертому уровню защиты в соответствии с ФСТЭК №21. Эти уровни не требуют применения специализированных средств криптозащиты и сертифицированных ФСТЭК устройств, а также привлечения сертифицированных ФСТЭК специалистов. Все требования третьего и четвертого уровня защиты сводятся к базовому набору требований по защите информации, как то:

Еще раз повторюсь, что в перечисленных выше требованиях нет ничего сверхъестественного – все требования являются базовыми для защиты любой мало-мальски ценной информации и профессиональные системные администраторы эти требования выполняют даже без знания ФЗ-152 и ФСТЭК №21.

Собственно, последние 7 лет все наши проекты по ИТ-инфраструктуре соответствуют третьему и четвертому уровню защиты в соответствии с ФСТЭК №21, а компании, заказавшие у нас услуги по построению (а также обслуживанию) ИТ-инфраструктуры защищают персональные данные своих клиентов и сотрудников не только на словах, но и на деле.


Источник: http://blog.depit.ru/information-security-fz-152/

Кто выдает себя за Росконтроль? Опасайтесь подделок!

На протяжении всего времени существования Росконтроля мы сталкиваемся с аферистами, пытающимися «разделить» с нами нашу работу и выдающими себя за сотрудников Росконтроля. Мы регулярно получаем вопросы, связанные с действиями этих двойников, поэтому хотим рассказать о них поподробнее.

Например, недавно в сети появилась информация, что на электронные ящики российских предпринимателей приходят письма, в которых компания, называющая себя «Система добровольной сертификации Росконтроль», сообщает о якобы выявленных нарушениях. В одном из писем, которое есть в открытом доступе, отправитель, ссылаясь на ФЗ № 152 «О персональных данных» уведомляет о том, что редакция некоего российского СМИ не обнаружена в реестре операторов персональных данных Роскомнадзора. В письме также говорится о некой проверке и штрафе до 300 тысяч рублей. Во второй части письма идет предложение об оказании услуг, включая консультацию специалиста, подготовку документов и актуализацию данных в реестре Роскомнадзора. Естественно, услуги платные. Если Вы получили подобное письмо, знайте — работают мошенники!

Другая ситуация: некая организация, использующая имя «Росконтроль», обещает проверить качество водопроводной воды. Оплату «работники» хотят получить вперед, используя безымянные счета в интернете.

Также можно найти объявления, в которых в различных регионах страны ищут на работу юристов и прочих специалистов. Обещается хорошая заработная плата и трудоустройство в компании с названием «Росконтроль».

Мы официально заявляем, что не имеем никакого отношения к этим и аналогичным компаниям.

Будьте осторожны, фальсифицированными могут быть не только продукты, но и организации. А информацию о 3000 проверенных товарах, вы всегда можете найти в нашем Каталоге!

Читайте так же:  Срочно сделать загранпаспорт ребенку

Источник: http://roscontrol.com/journal/news/kto-vidaet-sebya-za-roskontrol-opasaytes-poddelok/

Сертификация систем защиты информации (СЗИ) и персональных данных (ПНд)

Вопрос сертификации защиты персональных данных на уровне ФСТЭК и ФСБ РФ не имеет однозначного решения: контролирующие органы ориентируются во многом на собственное видение безопасности. В целом, систему защиты информации (СЗИ) представляют как совокупность организационных мер и программно-технических средств. Целью СЗИ является предотвращение или серьезное затруднение несанкционированного доступа.

С организационной точки зрения допускается деление деление рисков на недопустимые и допустимые – но оно условно, зависит от многих факторов: размеров компании, ее известности, способов обработки персональных данных, репутации, политики взаимодействия с клиентами. Наиболее сильным риск является для организаций, которые поддерживают сайты с персональными данными либо формами для их регистрации, проводят массированные е-mail рассылки, ведут агрессивные рекламные кампании.

Обеспечение сохранности данных для различных предприятий зависят от масштабов работы, финансовых и производственных возможностей, а также от количества сведений, нуждающихся в охране. Определение рисков и мер защиты должно базироваться на принципах достаточности и разумности.

Сертификация на соответствие защиты персональных данных представляет собой совокупность действий, нацеленных на подтверждение основных и дополнительных параметров услуг, систем или продуктов требованиям выработанных актов и стандартов. Учитывая то, что безопасность относится к разряду социализированных областей, завязана на человеческий фактор и информационные технологии, она не может быть всеобъемлющей. Утечка или утрата персональных данных автоматически признается виной оператора связи.

Департамент защиты персональных данных системы сертификации Росконтроля проводит мониторинг всех российских организаций, независимо от формы собственности, являющихся операторами связи, предъявляя к ним ряд требований по организации адекватной защиты.

Сертификация средств защиты персональных данных по 152-ФЗ

Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.

Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:

  1. Подготовить уникальный портфель документов, включающий акты, приказы, инструкции и т.д.
  2. Опубликовать документ – политику, с описанием способов работы с персональных данных.
  3. Подать уведомление в Роскомнадзор.

Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов – Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.

Порядок работ по методике, утвержденной ФСТЭК, выглядит так:

  1. Проводится обследование информационной системы персональных данных (ИСПДн).
  2. Проектируется система защиты.
  3. Внедряется система, защищающая информацию.
  4. Оценивается эффективность всех предпринятых шагов, по результатам которых принимается решение о соответствии.

Стоимость сертификации в соответствии с 152-ФЗ складывается из:

  1. Наличия подключения к сети Интернет.
  2. Количества компьютеров.
  3. Наличия сервера или общей сети.
  4. Техподдержки.
  5. Юридического сопровождения.

Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.

Сертификат соответствия ФСТЭК

Система сертификации персональных данных ФСТЭК России отвечает за некриптографическую защиту информации, препятствуя несанкционированному доступу к ней или «слитию» ее по техническим каналам связи. Служба организует сертификацию и контролирует «верхний уровень». Все остальные работы ложатся на лицензиаров в лице лабораторий-испытателей ПО и экспертных организаций. Клиент самостоятельно выбирает лабораторию, а ФСТЭК создает экспертную комиссию.

Процесс сертификации программ обработки персональных данных ФСТЭК осуществляется сходных образом, с привлечением института заявителей. Взаимодействуя с лабораториями и экспертами, они сравнивают продаваемые версии продукта с сертифицированным образцом-эталоном. В среднем время аттестации ИСПДн занимает от полугода или больше, все зависит от ее уровня и категорийности – чем выше степень, тем больше требований к безопасности предъявляется.

Сертификация программных продуктов в соответствии с законом «О персональных данных» ставит своей целью контроль над информацией, обеспечивающей национальную безопасность. Поэтому все программное обеспечение, поставляемое на рынок и используемое в построении ключевых зон информационной структуры, должно соответствовать жестким требованиям.

Уже готовые сертификаты для работы с персональными данными имеют семейство операционных систем Linux, сетевое оборудование от IT-корпорации Cisco, реляционная СУБД Sybase ASE, продукция 1С.

Аттестация систем персональных данных

Проведение аттестации информационных систем персональных данных – дорогое удовольствие, поэтому часть операторов ПДн старается всеми силами избежать этой процедуры. Она является обязательной для государственных ИСПДн, накладывая на операторов ряд обязательств. Для негосударственных предприятий аттестат требуется в случае подтверждения должного уровня защиты, поэтому процедура может проходит в добровольном порядке. Соответствующая документация получается в территориальном отделении ФСТЭКа.

Процедура производится лицензированными на проведение технической защиты организациями. Аттестационная комиссия состоит из специалистов информационной безопасности и экспертов. В ее задачу входит проведение оценки соответствия всех мер, технических и организационных, с последующими испытаниями всех программных и технических средств, направленных на защиту ПДн. По результатам оценки выдается либо аттестат, либо предписание с перечнем обязательных к устранению недостатков. В целях экономии времени и средств, подготовку к аттестации лучше доверить имеющим опыт аналогичной работы организациям.

Аттестация многоэтапна и требует строжайшего документирования, при этом ее методология одинакова как для компьютера, так и для рабочих места по защите персональных данных. Зато по факту получается полноценная система защиты информации. Следование алгоритму сертификации, все операторы ПДн принимают участие в выработке максимальной защиты ИС.

После введения системы защиты в эксплуатацию, не стоит забывать об изменчивости технологий. Спустя некоторое время могут возникнуть новые угрозы и риски, поэтому для поддержания работоспособности и защищенности информации рекомендуется устраивать аудит информационной безопасности ежегодно.

Источник: http://integrus.ru/blog/it-decisions/sertifikatsiya-sistem-zashhity-personalnyh-dannyh.html

Снова о защите персональных данных или готовимся к проверке Роскомнадзора

Вступление

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

Читайте так же:  Верховный суд официальный сайт судебное делопроизводство


Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

  • Этой информации итак много в интернетах и она более-менее однозначная.
  • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
  • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
  • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
  • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Читайте так же:  Моральный вред перелом

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

Видео (кликните для воспроизведения).

Источник: http://habr.com/post/169527/

Департамент защиты персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here