Не секрет, что проверки Роскомнадзора ориентируются, в основном, на проверку существующей документации касающейся обработки персональных данных.
Также проверяется организационная часть защиты персональных данных. Например, если на столе секретаря в страховой компании будут лежать на виду у всех посетителей заключение по факту обращения в медицинское учреждение застрахованного лица (сам такое встречал), то это явное нарушение статьи 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.
Если с явными нарушениями бороться достаточно просто, то с подготовкой необходимой документации иногда возникают сложности. Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает:
- Модели угроз безопасности персональных данных для каждой ИСПДн;
- Акты классификации ИСПДн; (можно взять здесь)
- Положение о защите персональных данных;
- Положение о назначении подразделения по защите персональных данных;
- Должностные регламенты лиц, ответственных за защиту персональных данных;
- Схема организации ИСПДн;
- Копия договора об оказании услуг (если есть);
- Копия трудового договора с сотрудниками;
- Письменное согласие субъектов персональных данных;
- Приказ с перечнем лиц, допущенных к обработке персональных данных;
- Документы учета обращений граждан (субъектов персональных данных) о выполнении их законных прав;
- Приказ о назначении лиц, ответственных за ведение и периодическую проверку содержания журнала обращений;
- Приказ о ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска на территорию;
- Копия уведомления об обработке персональных данных (если уведомление до проверки не будет подано, то это 100%-е нарушение статьи 19.7 КоАП РФ Непредставление сведений…).
Вопрос минимальной достаточности остается открытым, т.к. иногда запрашиваемый пакет документов составляет 5-7 документов, а иногда несколько десятков. В открытом доступе также можно найти еще 2 списка документов:
- Документы, регламентирующие обработку персональных данных
- Документы, регламентирующие обработку ПДн с использованием криптосредств (СКЗИ)
Рекомендую их просмотреть, на предмет актуальности конкретно для вас.
Ну.. Евгений извини но…сдается мне все 7 дней описывается, очень поверхностно, одна десятая часть того что нужно делать, приоткрывается завеса над одной двадцатой того о чем стоит позаботиться… Явные отклонения к документальной части без связи с реальной защитой ПДн и так далее и так далее… По моей субъективной оценке — ниочем…
@swan: Кому как не тебе знать про мою загруженность. Возможности писать как надо и как хочется не получается. Максимум 30-40 минут на каждый пост уходит.
С другой стороны, основную цель, которую перед собой ставил, добиться удалось. Люди оживились, стали много в личку писать, показывать планы, спрашивать и темой заниматься стали. Раньше просто не брались, потому что всем этим активностям ни конца ни края не видно.
На выходных американец знакомый приезжал, руководит IT-проектами, говорили по теме ПДн. У них тоже с защитой персональных данных не супер, но и денег они в эту тему не вбухивают столько, потому что не верят в эффективность.
И мысль он мне интересную сказал, интересно твое мнение:
«Защита персональных данных является технической темой процентов на 20, а по большей части это тема организационная»
@swan: Я тебе в почту отписал, глянь как время будет
Я считаю 100% организационная и 100% техническая.
Другими словами клиенту ресторана не так важно отравился он супом или рыбой. Понимаешь о чем я ;-)
Продолжая тему марафона — лучше исходить из потребностей операторов. Оператору нужно построить общую схему действий «по шагам» формируя общие цели, цели каждого шага и пути их достижения. Думаю такой алгоритм в ближайшее время будет сформирован и «общее напряжение» спадет.
Почту гляну спс и удачи…
В большинстве случаев Оператор бедолага вообще понять не может что у него должно быть, чтобы от него отстали…
Можно сформулировать так: Чтобы к Вам не было претензий у Вас должно быть: 1,2,3,4,5…
Так вот ни один «интегратор/консультант/т.п.» не может ответственно сформировать эти 1,2,3,4,5…
А где остальные документы ?
Например в док-те ФСТЭК «Рекомендации…» п.4: «При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:
положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
требования по обеспечению безопасности ПДн при обработке в ИСПДн;
должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.»
А если внимательно почитать остальные рук.документы по защите ПДн, то можно найти ссылки и на другие…
Как Вы понимаете цели/суть/содержание документа «Схема организации ИСПДн» ? :))) Вы такой документ видели или это очередная ваша придумка?..
to swan:
1.Обследование (включая «оценку обстановки») и классификация ИСПДн:
-Собственно обследование (процессы обработки ПДн; ИТ, ИБ и физ.безопасность)
-Согласование состава и границ ИСПДн. Разработка описания ИСПДн.
-Разработка частных моделей угроз ИСПДн;
-Классификация ИСПДн. Разработка Актов классификации.
2.Проектирование и внедрение СЗПДн:
-Замысел защиты;
-Тех.требования;
-ТЗ;
-комплект документов ТП;
-собственно внедрение, настройка, тестирование и передача в опытную эксплуатацию СЗПДн (см.соответствующие РД и ГОСТы);
-инструкции по работе с СЗИ.
3.Разработка комплекта ОРД
4.Аттестация (при необходимости):
— ну этапы аттестации сами знаете, ваша область :)))
Частично ОРД можно начать разрабатывать еще на этапах 1 и 2, так сказать, параллельно.
Мда, действительно ни о чем все 7 кейсов, или бумажников, или пакетика, такой как гоп со смыком носят в фазы. В общем ни о чем. Но зато есть позитивный момент, мы с коллегами почитали, настроение подняли, ну так, чисто поржать. Евгений, нескромный вопрос вам, а вы защищали персональные данные вообще? Приходилось сталкиваться с организацией работ? С разработкой документов? Или вы судите только поверхностно? Могу сказать точно, если включить мозг при чтении законодательной базы по ЗИ, то документов необходимых компании должно быть в 2 или если очень почитать, то в 3 раза больше чем представленно в вашем списке. Инструкции, регламенты, журналы и т.д. С Уважением.
2 Михаил Иванов
Говоря о 1,2,3,4,5 — я не бросаю вызов тем кто этим занимается…
Я говорю о создании сообществом общего типового Алгоритма действий в котором порядок действия по шагам и результаты шагов в виде документов и орг/тех мер, согласованные с целью для Оператора.
Я исхожу из того, что уважаемые Операторы, как правило люди толковые — если у Оператора есть четко обрисованная цель — они самостоятельно смогут их достигнуть во многих случаях…
Вот сейчас прямо создал страницу на wikisec.ru с названием «Реализация требований 152 ФЗ»
Предлагаю по шагам вместе расписать и пояснить что как зачем делается…
подключайтесь…
На портале Роскомнадзора, в разделе проекты документов, выложен проект административного регламента по проверке операторов. В нем есть перечень документов, запрашиваемых у оператора.
Кстати, а почему все выкладывают в перечень необходимых документов такое требование:
Положение о назначении подразделения по защите персональных данных;
Ведь в нормативных актах про это написано, что оператор «может» такое подразделение создать, а не обязан.
to MobileMe:
«Как Вы понимаете цели/суть/содержание документа “Схема организации ИСПДн” ? »
Вы это у регулятора спросите, который иногда и похлеще абсурд спрашивает.
—
to Ужас летящий на крыльях ПДн
Есть списки и на 80 документов, только у меня резонный вопрос, а зачем о них говорить? Кому они нужны? Пока некоторые упорно создают системы защиты и спорят, о том, как закрыть ту или иную «незакрываемую» подсистему по версии ФСТЭК, некоторые в досудебном порядке решают совсем другие задачи. И если еще остались люди, которые верят, что вопрос защиты персональных данных решается «проектированием системы защиты» то можете сесть с ними, взять коллег и «ржать» совместно в лицо уходящему рынку и меняющимся тенденциям.
to Царев: Евгений, раз уж вы пишете про «Оновные документы» и «Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает», то давайте и посмотрим как их сделать и актуализировать…
«Есть списки и на 80 документов, только у меня резонный вопрос, а зачем о них говорить? Кому они нужны?» -> Документы пишутся под определенные требования (152-ФЗ, ПП781, пп687, док-ты ФСТЭК и ФСБ и др. в том числе СТР-К) или под какие-то другие задачи. Просто перечень «наименований» документов ни о чем не говорит в большинстве случаев. Подходить к составу и содержанию документов необходимо системно!!! А так у Вас появились интересные документы «Положение о назначении подразделения по защите персональных данных», «Схема организации ИСПДн» и при этом забыто МНОГО важных и необходимых документов, которые, кстати, проверающие спрашивают.
А если вы хотели писать не про практику разработки документов по обработку и защиту ПДн, а про запросы регулирующих органов («Вы это у регулятора спросите, который иногда и похлеще абсурд спрашивает.»), то тут вы опоздали это сделано в других блогах (которые вы, кстати, читаете)… И более толково. Например, http://lukatsky.blogspot.com/2009/04/blog-post_16.html
to Stanislv
из документа ФСТЭК «Рекомендации…» (выписки, выложенной на сайте ФСТЭК): «Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн оператором или уполномоченным им лицом ДОЛЖНО назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПДн»
Евгений, а вы внедряете подходы, изложенные в ваших «кейсах» у себя в организации???
Евгений, а вы сейчас, после публикования всех записей марафона, можете сказать — так ли вы хотели видеть его, каким он получился? совпало ли то, что вы задумали с тем, что получилось?
to Swan
«Вот сейчас прямо создал страницу на wikisec.ru с названием “Реализация требований 152 ФЗ”
Предлагаю по шагам вместе расписать и пояснить что как зачем делается…
подключайтесь…»
Я там на «2й день» (про «карту») распространял mpp-файл с проектом подобного пошагового проекта. Народ пока не забраковал. Если интересно скину. еМыло только напомните)
@SecM@n: Мой блог отражает исключительно мое личное мнение. То что было озвучено в марафоне, очень сложно назвать подходом, это лишь частности, которые внедрялись уже неоднократно.
@kz: Совсем не совпало :-) . Ожидал, что получится что-то наподобие методички, но получилось очень скомкано. Когда появится время, обязательно перепишу материал. Тем не менее, цели я своей добился — операторы стали предпринимать попытки что-то сделать, а это главное, по-моему.
@Ivan Klimenko: e.v.rodigin@gmail.com
А лучше регистрируйтесь и пишите прямо там…
@Stanislv:
На портале Роскомнадзора, в разделе проекты документов, выложен проект административного регламента по проверке операторов.
Можно прямую ссылку ?
@swan:
Реализация требований 152 ФЗ просто супер!
Если б до конца работу довели — мы б вам памятник!!
Здравствуйте. Хотелось бы узнать подробный перечень действий и документов для организации ЖКХ (коммунальные сведения, паспортный стол). Заранее спасибо.
А у меня снова дурацкий вопрос: мы сдаем деньги в банк, подписываем договорчик, а потом с нас дополнительно еще персон.данные берут, а данные-то операторов нам никто не предосталяет…. а денежки наши то у них. Похоже как у Буратино,ложите ваши денежки вот сюда и идите куда хотите. А потом мы будем проверять: вам давать их или лучше их раньше самим спереть и удрать подальше.
@vecfor: Какие данные операторов необходимы? Можно запросить.
На все случаи жизни одну инструкцию или один перечень не напишешь. Хорошо, что здесь можно найти основное,есть канва, хребет.А мышечную массу наращивайте, уважаемые господа сами.