День 7. Написание основных документов.

Окт 14

Персональные данные Добавить комментарий

Документы по защите персональных данных Не секрет, что проверки Роскомнадзора ориентируются, в основном, на проверку существующей документации касающейся обработки персональных данных.

Также проверяется организационная часть защиты персональных данных. Например, если на столе секретаря в страховой компании будут лежать на виду у всех посетителей заключение по факту обращения в медицинское учреждение застрахованного лица (сам такое встречал), то это явное нарушение статьи 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.

Если с явными нарушениями бороться достаточно просто, то с подготовкой необходимой документации иногда возникают сложности. Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает:

Модели угроз безопасности персональных данных для каждой ИСПДн;
Акты классификации ИСПДн; (можно взять здесь)
Положение о защите персональных данных;
Положение о назначении подразделения по защите персональных данных;
Должностные регламенты лиц, ответственных за защиту персональных данных;
Схема организации ИСПДн;
Копия договора об оказании услуг (если есть);
Копия трудового договора с сотрудниками;
Письменное согласие субъектов персональных данных;
Приказ с перечнем лиц, допущенных к обработке персональных данных;
Документы учета обращений граждан (субъектов персональных данных) о выполнении их законных прав;
Приказ о назначении лиц, ответственных за ведение и периодическую проверку содержания журнала обращений;
Приказ о ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска на территорию;
Копия уведомления об обработке персональных данных (если уведомление до проверки не будет подано, то это 100%-е нарушение статьи 19.7 КоАП РФ Непредставление сведений…).

Вопрос минимальной достаточности остается открытым, т.к. иногда запрашиваемый пакет документов составляет 5-7 документов, а иногда несколько десятков. В открытом доступе также можно найти еще 2 списка документов:

Рекомендую их просмотреть, на предмет актуальности конкретно для вас.

24478 . 10457

Другие записи

Автор Царев Евгений | Метки: безопасность персональных данных, закон о персональных данных, Законодательство, защита персональных данных, ИСПДн, Классификация ИСПДн, Консультация, Марафон, Новость, обработка персональных данных, Опыт работ, персональные данные в медицине, персональные данные работника, положение о персональных данных, Права граждан, Проверки, Роскомнадзор, Система защиты персональных данных не по ГОСТу, система персональных данных, СМИ, Требования, Уведомление

25 Responses to “День 7. Написание основных документов.”

1. swan Says:
октября 14, 2009 at 21:53
Ну.. Евгений извини но…сдается мне все 7 дней описывается, очень поверхностно, одна десятая часть того что нужно делать, приоткрывается завеса над одной двадцатой того о чем стоит позаботиться… Явные отклонения к документальной части без связи с реальной защитой ПДн и так далее и так далее… По моей субъективной оценке – ниочем…

[Ответить]
2. Царев Евгений Says:
октября 14, 2009 at 22:36
@swan: Кому как не тебе знать про мою загруженность. Возможности писать как надо и как хочется не получается. Максимум 30-40 минут на каждый пост уходит.
С другой стороны, основную цель, которую перед собой ставил, добиться удалось. Люди оживились, стали много в личку писать, показывать планы, спрашивать и темой заниматься стали. Раньше просто не брались, потому что всем этим активностям ни конца ни края не видно.
На выходных американец знакомый приезжал, руководит IT-проектами, говорили по теме ПДн. У них тоже с защитой персональных данных не супер, но и денег они в эту тему не вбухивают столько, потому что не верят в эффективность.
И мысль он мне интересную сказал, интересно твое мнение:
“Защита персональных данных является технической темой процентов на 20, а по большей части это тема организационная”

[Ответить]
3. Царев Евгений Says:
октября 14, 2009 at 22:52
@swan: Я тебе в почту отписал, глянь как время будет

[Ответить]
4. swan Says:
октября 15, 2009 at 0:32
Я считаю 100% организационная и 100% техническая.
Другими словами клиенту ресторана не так важно отравился он супом или рыбой. Понимаешь о чем я
Продолжая тему марафона – лучше исходить из потребностей операторов. Оператору нужно построить общую схему действий “по шагам” формируя общие цели, цели каждого шага и пути их достижения. Думаю такой алгоритм в ближайшее время будет сформирован и “общее напряжение” спадет.
Почту гляну спс и удачи…

[Ответить]
5. swan Says:
октября 15, 2009 at 0:35
В большинстве случаев Оператор бедолага вообще понять не может что у него должно быть, чтобы от него отстали…
Можно сформулировать так: Чтобы к Вам не было претензий у Вас должно быть: 1,2,3,4,5…
Так вот ни один “интегратор/консультант/т.п.” не может ответственно сформировать эти 1,2,3,4,5…

[Ответить]
6. Монстр общения Says:
октября 15, 2009 at 8:30
А где остальные документы ?

Например в док-те ФСТЭК “Рекомендации…” п.4: “При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:
положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
требования по обеспечению безопасности ПДн при обработке в ИСПДн;
должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.”

А если внимательно почитать остальные рук.документы по защите ПДн, то можно найти ссылки и на другие…

[Ответить]
7. MobileMe Says:
октября 15, 2009 at 8:34
Как Вы понимаете цели/суть/содержание документа “Схема организации ИСПДн” ? )) Вы такой документ видели или это очередная ваша придумка?..

[Ответить]
8. Михаил Иванов Says:
октября 15, 2009 at 8:51
to swan:
1.Обследование (включая “оценку обстановки”) и классификация ИСПДн:
-Собственно обследование (процессы обработки ПДн; ИТ, ИБ и физ.безопасность)
-Согласование состава и границ ИСПДн. Разработка описания ИСПДн.
-Разработка частных моделей угроз ИСПДн;
-Классификация ИСПДн. Разработка Актов классификации.

2.Проектирование и внедрение СЗПДн:
-Замысел защиты;
-Тех.требования;
-ТЗ;
-комплект документов ТП;

-собственно внедрение, настройка, тестирование и передача в опытную эксплуатацию СЗПДн (см.соответствующие РД и ГОСТы);

-инструкции по работе с СЗИ.

3.Разработка комплекта ОРД

4.Аттестация (при необходимости):
– ну этапы аттестации сами знаете, ваша область ))

Частично ОРД можно начать разрабатывать еще на этапах 1 и 2, так сказать, параллельно.

[Ответить]
9. Ужас летящий на крыльях ПДн Says:
октября 15, 2009 at 9:59
Мда, действительно ни о чем все 7 кейсов, или бумажников, или пакетика, такой как гоп со смыком носят в фазы. В общем ни о чем. Но зато есть позитивный момент, мы с коллегами почитали, настроение подняли, ну так, чисто поржать. Евгений, нескромный вопрос вам, а вы защищали персональные данные вообще? Приходилось сталкиваться с организацией работ? С разработкой документов? Или вы судите только поверхностно? Могу сказать точно, если включить мозг при чтении законодательной базы по ЗИ, то документов необходимых компании должно быть в 2 или если очень почитать, то в 3 раза больше чем представленно в вашем списке. Инструкции, регламенты, журналы и т.д. С Уважением.

[Ответить]
10. swan Says:
октября 15, 2009 at 10:10
2 Михаил Иванов
Говоря о 1,2,3,4,5 – я не бросаю вызов тем кто этим занимается…
Я говорю о создании сообществом общего типового Алгоритма действий в котором порядок действия по шагам и результаты шагов в виде документов и орг/тех мер, согласованные с целью для Оператора.
Я исхожу из того, что уважаемые Операторы, как правило люди толковые – если у Оператора есть четко обрисованная цель – они самостоятельно смогут их достигнуть во многих случаях…

[Ответить]
11. swan Says:
октября 15, 2009 at 10:15
Вот сейчас прямо создал страницу на wikisec.ru с названием “Реализация требований 152 ФЗ”
Предлагаю по шагам вместе расписать и пояснить что как зачем делается…
подключайтесь…

[Ответить]
12. Stanislv Says:
октября 15, 2009 at 10:56
На портале Роскомнадзора, в разделе проекты документов, выложен проект административного регламента по проверке операторов. В нем есть перечень документов, запрашиваемых у оператора.
Кстати, а почему все выкладывают в перечень необходимых документов такое требование:
Положение о назначении подразделения по защите персональных данных;
Ведь в нормативных актах про это написано, что оператор “может” такое подразделение создать, а не обязан.

[Ответить]
13. Евгений Царев Says:
октября 15, 2009 at 11:07
to MobileMe:
“Как Вы понимаете цели/суть/содержание документа “Схема организации ИСПДн” ? ”
Вы это у регулятора спросите, который иногда и похлеще абсурд спрашивает.
-
to Ужас летящий на крыльях ПДн
Есть списки и на 80 документов, только у меня резонный вопрос, а зачем о них говорить? Кому они нужны? Пока некоторые упорно создают системы защиты и спорят, о том, как закрыть ту или иную “незакрываемую” подсистему по версии ФСТЭК, некоторые в досудебном порядке решают совсем другие задачи. И если еще остались люди, которые верят, что вопрос защиты персональных данных решается “проектированием системы защиты” то можете сесть с ними, взять коллег и “ржать” совместно в лицо уходящему рынку и меняющимся тенденциям.

[Ответить]
14. MobileMe Says:
октября 15, 2009 at 11:49
to Царев: Евгений, раз уж вы пишете про “Оновные документы” и “Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает”, то давайте и посмотрим как их сделать и актуализировать…

“Есть списки и на 80 документов, только у меня резонный вопрос, а зачем о них говорить? Кому они нужны?” -> Документы пишутся под определенные требования (152-ФЗ, ПП781, пп687, док-ты ФСТЭК и ФСБ и др. в том числе СТР-К) или под какие-то другие задачи. Просто перечень “наименований” документов ни о чем не говорит в большинстве случаев. Подходить к составу и содержанию документов необходимо системно!!! А так у Вас появились интересные документы “Положение о назначении подразделения по защите персональных данных”, “Схема организации ИСПДн” и при этом забыто МНОГО важных и необходимых документов, которые, кстати, проверающие спрашивают.

А если вы хотели писать не про практику разработки документов по обработку и защиту ПДн, а про запросы регулирующих органов (“Вы это у регулятора спросите, который иногда и похлеще абсурд спрашивает.”), то тут вы опоздали это сделано в других блогах (которые вы, кстати, читаете)… И более толково. Например, http://lukatsky.blogspot.com/2009/04/blog-post_16.html

to Stanislv
из документа ФСТЭК “Рекомендации…” (выписки, выложенной на сайте ФСТЭК): “Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн оператором или уполномоченным им лицом ДОЛЖНО назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПДн”

[Ответить]
15. SecM@n Says:
октября 15, 2009 at 13:23
Евгений, а вы внедряете подходы, изложенные в ваших “кейсах” у себя в организации???

[Ответить]
16. kz Says:
октября 15, 2009 at 16:32
Евгений, а вы сейчас, после публикования всех записей марафона, можете сказать – так ли вы хотели видеть его, каким он получился? совпало ли то, что вы задумали с тем, что получилось?

[Ответить]
17. Ivan Klimenko Says:
октября 15, 2009 at 19:25
to Swan
“Вот сейчас прямо создал страницу на wikisec.ru с названием “Реализация требований 152 ФЗ”
Предлагаю по шагам вместе расписать и пояснить что как зачем делается…
подключайтесь…”

Я там на “2й день” (про “карту”) распространял mpp-файл с проектом подобного пошагового проекта. Народ пока не забраковал. Если интересно скину. еМыло только напомните)

[Ответить]
18. Царев Евгений Says:
октября 15, 2009 at 19:44
@SecM@n: Мой блог отражает исключительно мое личное мнение. То что было озвучено в марафоне, очень сложно назвать подходом, это лишь частности, которые внедрялись уже неоднократно.

@kz: Совсем не совпало . Ожидал, что получится что-то наподобие методички, но получилось очень скомкано. Когда появится время, обязательно перепишу материал. Тем не менее, цели я своей добился – операторы стали предпринимать попытки что-то сделать, а это главное, по-моему.

[Ответить]
19. swan Says:
октября 15, 2009 at 20:05
@Ivan Klimenko: e.v.rodigin@gmail.com
А лучше регистрируйтесь и пишите прямо там…

[Ответить]
20. Владимир Шевырёв Says:
октября 16, 2009 at 11:44
@Stanislv:
На портале Роскомнадзора, в разделе проекты документов, выложен проект административного регламента по проверке операторов.
Можно прямую ссылку ?

[Ответить]
21. Dan Says:
октября 21, 2009 at 11:56
@swan:
Реализация требований 152 ФЗ просто супер!
Если б до конца работу довели – мы б вам памятник!!

[Ответить]
22. a531on Says:
октября 21, 2009 at 15:12
Здравствуйте. Хотелось бы узнать подробный перечень действий и документов для организации ЖКХ (коммунальные сведения, паспортный стол). Заранее спасибо.

[Ответить]
23. vecfor Says:
января 12, 2010 at 20:19
А у меня снова дурацкий вопрос: мы сдаем деньги в банк, подписываем договорчик, а потом с нас дополнительно еще персон.данные берут, а данные-то операторов нам никто не предосталяет…. а денежки наши то у них. Похоже как у Буратино,ложите ваши денежки вот сюда и идите куда хотите. А потом мы будем проверять: вам давать их или лучше их раньше самим спереть и удрать подальше.

[Ответить]
24. Царев Евгений Says:
января 13, 2010 at 2:12
@vecfor: Какие данные операторов необходимы? Можно запросить.

[Ответить]
25. TVA Says:
марта 1, 2010 at 11:52
На все случаи жизни одну инструкцию или один перечень не напишешь. Хорошо, что здесь можно найти основное,есть канва, хребет.А мышечную массу наращивайте, уважаемые господа сами.

[Ответить]

Персональные данные по-русски