День 7. Написание основных документов.

Документы по защите персональных данныхНе секрет, что проверки Роскомнадзора ориентируются, в основном, на проверку существующей документации касающейся обработки персональных данных.

Также проверяется организационная часть защиты персональных данных. Например, если на столе секретаря в страховой компании будут лежать на виду у всех посетителей заключение по факту обращения в медицинское учреждение застрахованного лица (сам такое встречал), то это явное нарушение статьи 13.11 КоАП РФ Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах.

Если с явными нарушениями бороться достаточно просто, то с подготовкой необходимой документации иногда возникают сложности. Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает:


11 правил, которые нужно соблюдать, если вы входите в судебный процесс, касающийся вопросов информационной безопасности
    • Модели угроз безопасности персональных данных для каждой ИСПДн;
    • Акты классификации ИСПДн; (можно взять здесь)
    • Положение о защите персональных данных;
    • Положение о назначении подразделения по защите персональных данных;
    • Должностные регламенты лиц, ответственных за защиту персональных данных;
    • Схема организации ИСПДн;
    • Копия договора об оказании услуг (если есть);
    • Копия трудового договора с сотрудниками;
    • Письменное согласие субъектов персональных данных;
    • Приказ с перечнем лиц, допущенных к обработке персональных данных;
    • Документы учета обращений граждан (субъектов персональных данных) о выполнении их законных прав;
    • Приказ о назначении лиц, ответственных за ведение и периодическую проверку содержания журнала обращений;
    • Приказ о ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска на территорию;
    • Копия уведомления об обработке персональных данных (если уведомление до проверки не будет подано, то это 100%-е нарушение статьи 19.7 КоАП РФ Непредставление сведений…).

      Вопрос минимальной достаточности остается открытым, т.к. иногда запрашиваемый пакет документов составляет 5-7 документов, а иногда несколько десятков. В открытом доступе также можно найти еще 2 списка документов:

      Рекомендую их просмотреть, на предмет актуальности конкретно для вас.

      Ну.. Евгений извини но…сдается мне все 7 дней описывается, очень поверхностно, одна десятая часть того что нужно делать, приоткрывается завеса над одной двадцатой того о чем стоит позаботиться… Явные отклонения к документальной части без связи с реальной защитой ПДн и так далее и так далее… По моей субъективной оценке — ниочем…

      [Ответить]

    1. @swan: Кому как не тебе знать про мою загруженность. Возможности писать как надо и как хочется не получается. Максимум 30-40 минут на каждый пост уходит.
      С другой стороны, основную цель, которую перед собой ставил, добиться удалось. Люди оживились, стали много в личку писать, показывать планы, спрашивать и темой заниматься стали. Раньше просто не брались, потому что всем этим активностям ни конца ни края не видно.
      На выходных американец знакомый приезжал, руководит IT-проектами, говорили по теме ПДн. У них тоже с защитой персональных данных не супер, но и денег они в эту тему не вбухивают столько, потому что не верят в эффективность.
      И мысль он мне интересную сказал, интересно твое мнение:
      «Защита персональных данных является технической темой процентов на 20, а по большей части это тема организационная»

      [Ответить]

    2. @swan: Я тебе в почту отписал, глянь как время будет

      [Ответить]

    3. Я считаю 100% организационная и 100% техническая.
      Другими словами клиенту ресторана не так важно отравился он супом или рыбой. Понимаешь о чем я 😉
      Продолжая тему марафона — лучше исходить из потребностей операторов. Оператору нужно построить общую схему действий «по шагам» формируя общие цели, цели каждого шага и пути их достижения. Думаю такой алгоритм в ближайшее время будет сформирован и «общее напряжение» спадет.
      Почту гляну спс и удачи…

      [Ответить]

    4. В большинстве случаев Оператор бедолага вообще понять не может что у него должно быть, чтобы от него отстали…
      Можно сформулировать так: Чтобы к Вам не было претензий у Вас должно быть: 1,2,3,4,5…
      Так вот ни один «интегратор/консультант/т.п.» не может ответственно сформировать эти 1,2,3,4,5…

      [Ответить]

    5. А где остальные документы ?

      Например в док-те ФСТЭК «Рекомендации…» п.4: «При подготовке документации по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн в обязательном порядке разрабатываются:
      положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
      требования по обеспечению безопасности ПДн при обработке в ИСПДн;
      должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
      рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.»

      А если внимательно почитать остальные рук.документы по защите ПДн, то можно найти ссылки и на другие…

      [Ответить]

    6. Как Вы понимаете цели/суть/содержание документа «Схема организации ИСПДн» ? :))) Вы такой документ видели или это очередная ваша придумка?..

      [Ответить]

    7. to swan:
      1.Обследование (включая «оценку обстановки») и классификация ИСПДн:
      -Собственно обследование (процессы обработки ПДн; ИТ, ИБ и физ.безопасность)
      -Согласование состава и границ ИСПДн. Разработка описания ИСПДн.
      -Разработка частных моделей угроз ИСПДн;
      -Классификация ИСПДн. Разработка Актов классификации.

      2.Проектирование и внедрение СЗПДн:
      -Замысел защиты;
      -Тех.требования;
      -ТЗ;
      -комплект документов ТП;

      -собственно внедрение, настройка, тестирование и передача в опытную эксплуатацию СЗПДн (см.соответствующие РД и ГОСТы);

      -инструкции по работе с СЗИ.

      3.Разработка комплекта ОРД

      4.Аттестация (при необходимости):
      — ну этапы аттестации сами знаете, ваша область :)))

      Частично ОРД можно начать разрабатывать еще на этапах 1 и 2, так сказать, параллельно.

      [Ответить]

    8. Мда, действительно ни о чем все 7 кейсов, или бумажников, или пакетика, такой как гоп со смыком носят в фазы. В общем ни о чем. Но зато есть позитивный момент, мы с коллегами почитали, настроение подняли, ну так, чисто поржать. Евгений, нескромный вопрос вам, а вы защищали персональные данные вообще? Приходилось сталкиваться с организацией работ? С разработкой документов? Или вы судите только поверхностно? Могу сказать точно, если включить мозг при чтении законодательной базы по ЗИ, то документов необходимых компании должно быть в 2 или если очень почитать, то в 3 раза больше чем представленно в вашем списке. Инструкции, регламенты, журналы и т.д. С Уважением.

      [Ответить]

    9. 2 Михаил Иванов
      Говоря о 1,2,3,4,5 — я не бросаю вызов тем кто этим занимается…
      Я говорю о создании сообществом общего типового Алгоритма действий в котором порядок действия по шагам и результаты шагов в виде документов и орг/тех мер, согласованные с целью для Оператора.
      Я исхожу из того, что уважаемые Операторы, как правило люди толковые — если у Оператора есть четко обрисованная цель — они самостоятельно смогут их достигнуть во многих случаях…

      [Ответить]

    10. Вот сейчас прямо создал страницу на wikisec.ru с названием «Реализация требований 152 ФЗ»
      Предлагаю по шагам вместе расписать и пояснить что как зачем делается…
      подключайтесь…

      [Ответить]

    11. На портале Роскомнадзора, в разделе проекты документов, выложен проект административного регламента по проверке операторов. В нем есть перечень документов, запрашиваемых у оператора.
      Кстати, а почему все выкладывают в перечень необходимых документов такое требование:
      Положение о назначении подразделения по защите персональных данных;
      Ведь в нормативных актах про это написано, что оператор «может» такое подразделение создать, а не обязан.

      [Ответить]

    12. to MobileMe:
      «Как Вы понимаете цели/суть/содержание документа “Схема организации ИСПДн” ? »
      Вы это у регулятора спросите, который иногда и похлеще абсурд спрашивает.

      to Ужас летящий на крыльях ПДн
      Есть списки и на 80 документов, только у меня резонный вопрос, а зачем о них говорить? Кому они нужны? Пока некоторые упорно создают системы защиты и спорят, о том, как закрыть ту или иную «незакрываемую» подсистему по версии ФСТЭК, некоторые в досудебном порядке решают совсем другие задачи. И если еще остались люди, которые верят, что вопрос защиты персональных данных решается «проектированием системы защиты» то можете сесть с ними, взять коллег и «ржать» совместно в лицо уходящему рынку и меняющимся тенденциям.

      [Ответить]

    13. to Царев: Евгений, раз уж вы пишете про «Оновные документы» и «Поэтому сегодня, в последний день марафона, предлагаю посмотреть на документы, которые желательно сделать, или актуализировать, перед проверкой основного регулятора, раз он их сам запрашивает», то давайте и посмотрим как их сделать и актуализировать…

      «Есть списки и на 80 документов, только у меня резонный вопрос, а зачем о них говорить? Кому они нужны?» -> Документы пишутся под определенные требования (152-ФЗ, ПП781, пп687, док-ты ФСТЭК и ФСБ и др. в том числе СТР-К) или под какие-то другие задачи. Просто перечень «наименований» документов ни о чем не говорит в большинстве случаев. Подходить к составу и содержанию документов необходимо системно!!! А так у Вас появились интересные документы «Положение о назначении подразделения по защите персональных данных», «Схема организации ИСПДн» и при этом забыто МНОГО важных и необходимых документов, которые, кстати, проверающие спрашивают.

      А если вы хотели писать не про практику разработки документов по обработку и защиту ПДн, а про запросы регулирующих органов («Вы это у регулятора спросите, который иногда и похлеще абсурд спрашивает.»), то тут вы опоздали это сделано в других блогах (которые вы, кстати, читаете)… И более толково. Например, http://lukatsky.blogspot.com/2009/04/blog-post_16.html

      to Stanislv
      из документа ФСТЭК «Рекомендации…» (выписки, выложенной на сайте ФСТЭК): «Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн оператором или уполномоченным им лицом ДОЛЖНО назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПДн»

      [Ответить]

    14. Евгений, а вы внедряете подходы, изложенные в ваших «кейсах» у себя в организации???

      [Ответить]

    15. Евгений, а вы сейчас, после публикования всех записей марафона, можете сказать — так ли вы хотели видеть его, каким он получился? совпало ли то, что вы задумали с тем, что получилось?

      [Ответить]

    16. to Swan
      «Вот сейчас прямо создал страницу на wikisec.ru с названием “Реализация требований 152 ФЗ”
      Предлагаю по шагам вместе расписать и пояснить что как зачем делается…
      подключайтесь…»

      Я там на «2й день» (про «карту») распространял mpp-файл с проектом подобного пошагового проекта. Народ пока не забраковал. Если интересно скину. еМыло только напомните)

      [Ответить]

    17. @SecM@n: Мой блог отражает исключительно мое личное мнение. То что было озвучено в марафоне, очень сложно назвать подходом, это лишь частности, которые внедрялись уже неоднократно.

      @kz: Совсем не совпало 🙂 . Ожидал, что получится что-то наподобие методички, но получилось очень скомкано. Когда появится время, обязательно перепишу материал. Тем не менее, цели я своей добился — операторы стали предпринимать попытки что-то сделать, а это главное, по-моему.

      [Ответить]

    18. @Ivan Klimenko: e.v.rodigin@gmail.com
      А лучше регистрируйтесь и пишите прямо там…

      [Ответить]

    19. @Stanislv:
      На портале Роскомнадзора, в разделе проекты документов, выложен проект административного регламента по проверке операторов.
      Можно прямую ссылку ?

      [Ответить]

    20. @swan:
      Реализация требований 152 ФЗ просто супер!
      Если б до конца работу довели — мы б вам памятник!!

      [Ответить]

    21. Здравствуйте. Хотелось бы узнать подробный перечень действий и документов для организации ЖКХ (коммунальные сведения, паспортный стол). Заранее спасибо.

      [Ответить]

    22. А у меня снова дурацкий вопрос: мы сдаем деньги в банк, подписываем договорчик, а потом с нас дополнительно еще персон.данные берут, а данные-то операторов нам никто не предосталяет…. а денежки наши то у них. Похоже как у Буратино,ложите ваши денежки вот сюда и идите куда хотите. А потом мы будем проверять: вам давать их или лучше их раньше самим спереть и удрать подальше.

      [Ответить]

    23. @vecfor: Какие данные операторов необходимы? Можно запросить.

      [Ответить]

    24. На все случаи жизни одну инструкцию или один перечень не напишешь. Хорошо, что здесь можно найти основное,есть канва, хребет.А мышечную массу наращивайте, уважаемые господа сами.

      [Ответить]

      Добавить комментарий

      Войти с помощью: 

      Ваш e-mail не будет опубликован. Обязательные поля помечены *