Comments 39
Картинка, и особенно подпись к ней, оттеняет монументальную серьёзность материала :-)
Два тонких момента:
1. ФСТЭК по обновленному ФЗ не проверяет коммерческие организации. По интернетам ходит информация, что на эту освободившуюся роль зарится Роскомнадзор, для чего они даже в свое время начали аттестовывать экспертов. На практике пока не сталкивался.
2. Политика в отношении обработки ПДн должна быть доступна субъектам (или даже размещена на сайте). если ее включать в состав какого-то преимущественно «внутреннего» документа (положения, инструкции), придется смотреть, не содержит ли он какой-то критичной с точки зрения безопасности информации. Мы как правило делаем отдельную небольшую политику для размещения на сайте оператора, и уже более подробный внутренний документ с описанием требований к защите.
1. ФСТЭК по обновленному ФЗ не проверяет коммерческие организации. По интернетам ходит информация, что на эту освободившуюся роль зарится Роскомнадзор, для чего они даже в свое время начали аттестовывать экспертов. На практике пока не сталкивался.
2. Политика в отношении обработки ПДн должна быть доступна субъектам (или даже размещена на сайте). если ее включать в состав какого-то преимущественно «внутреннего» документа (положения, инструкции), придется смотреть, не содержит ли он какой-то критичной с точки зрения безопасности информации. Мы как правило делаем отдельную небольшую политику для размещения на сайте оператора, и уже более подробный внутренний документ с описанием требований к защите.
Со ФСТЭК вообще очень интересный момент с их проверками по персональным данным. По закону о защите юридических лиц у проверяющего органа должен быть опубликован в свободном доступе регламент проверок. На старом сайте ФСТЭК было 2 регламента проверок: по лицензионной деятельности и экспортному контролю (на новом сайте я даже их не нашел), ФСТЭК на различных конференциях заявлял, что регламент по ПДн есть, но он имеет гриф секретности. Вот и получается, что они по хорошему даже юридически не могут проверять по ПДн. На новом сайте в разделе «плановые проверки» также только 2 вида проверок: лицензионная деятельность и экспортный контроль. Пруф: www.fstec.ru/ru/deyatelnost/tekushchaya/planovye-proverki
И личный опыт также подтверждает, что ФСТЭК по персональным данным не проверяет, я не знаю как по остальным федеральным округам, но в ДФО проверок по персональным данным ФСТЭКа просто нет =)
И личный опыт также подтверждает, что ФСТЭК по персональным данным не проверяет, я не знаю как по остальным федеральным округам, но в ДФО проверок по персональным данным ФСТЭКа просто нет =)
Внеплановые проверки точно проводит РКН, по крайней мере, на свою УК я писал туда и проверку проводили они.
На всякий случай добавлю, что ФСТЭК и ФСБ не осуществляют проверку негосударственных ИСПДн, а РКН не проверяет техническую часть вообще.
При этом довольно активно проводятся совместные проверки ФСТЭК-ФСБ-РКН в государственных структурах, обрабатывающих ИСПДн и проверяют техническую часть досконально — от правильности модели угроз и выбранных СЗИ, до корректности их настройки и работы.
И еще одна особенность — кроме ФСТЭК, ФСБ и РКН есть еще и прокуратура, которая проверяет много чего :)
При этом довольно активно проводятся совместные проверки ФСТЭК-ФСБ-РКН в государственных структурах, обрабатывающих ИСПДн и проверяют техническую часть досконально — от правильности модели угроз и выбранных СЗИ, до корректности их настройки и работы.
И еще одна особенность — кроме ФСТЭК, ФСБ и РКН есть еще и прокуратура, которая проверяет много чего :)
Это же сколько нужно перевести бумаги, чтобы быть «в законе». И всё бестолку.
Согласен с вами, леса Амазонки в опасности =( Но такая уж у нас страна, что большая часть защиты информации происходит именно на бумаге…
Я так понял, что обработку аналоговую надо регламентировать, т.е. в приказе описать какой она будет и будет ли вообще. Разве нельзя задекларировать, что бумажная обработка будет производиться в неких минимальных объемах?
Держите сайт и БД зарубежом.
Это же сколько нужно перевести бумаги, чтобы быть «в законе». И всё бестолку.
99% (оценка оптимистично занижена) любого документооборота, связанного с чиновниками в нашей стране, можно описать вашей цитатой.
У вас прямо на лицо «Закон Паркинсона».
цитата
… Когда семеро служащих делают то, что делал один, вступает в игру фактор 2. Семеро столько работают друг для друга, что все они загружены полностью, а А занят больше, чем прежде. Любая бумага должна предстать перед каждым. Е решает, что она входит в ведение F, F набрасывает ответ и дает его С, С смело правит его и обращается к D, а D — к G. Однако G собрался в отпуск и передает дело Н, который снова пишет все начерно за подписью Д и вручает бумагу С, а тот в свою очередь просматривает ее и кладет в новом виде на стол А...
Вспомнилась история про 152-ФЗ
Периодически общаюсь по служебной надобности с силовиками и вот довелось услышать такую прелюбопытную историю успеха как благодаря 152 фз капитан стал майором :) шутка, конечно, но доля правды в ней есть. У некого подразделения были сильные проблемы со статистикой, в связи с низкой численностью и уровнем подготовки персонала и вот однажды молодой капитан вышел к руководству с инициативой об использовании 152 фз. Но интернет -дело темное, да и не в их компетенции, поэтому просто выделили двух бойцов и они за месяц обошли все офисные центры на ввереной территории. А московские офисные центры это что? правильно -пропускной режим на грани идиотизма, со всеми атрибутами в виде сбора персональных данных и всеми возможными грубейшими нарушениями 152 фз.
За этот месяц «галочек» в этом районе было срублено столько, что подразделение удостоилось чести быть поставленным в пример «как надо работать» большим начальником </сарказм>, а капитан одел майорские погоны.
Периодически общаюсь по служебной надобности с силовиками и вот довелось услышать такую прелюбопытную историю успеха как благодаря 152 фз капитан стал майором :) шутка, конечно, но доля правды в ней есть. У некого подразделения были сильные проблемы со статистикой, в связи с низкой численностью и уровнем подготовки персонала и вот однажды молодой капитан вышел к руководству с инициативой об использовании 152 фз. Но интернет -дело темное, да и не в их компетенции, поэтому просто выделили двух бойцов и они за месяц обошли все офисные центры на ввереной территории. А московские офисные центры это что? правильно -пропускной режим на грани идиотизма, со всеми атрибутами в виде сбора персональных данных и всеми возможными грубейшими нарушениями 152 фз.
За этот месяц «галочек» в этом районе было срублено столько, что подразделение удостоилось чести быть поставленным в пример «как надо работать» большим начальником </сарказм>, а капитан одел майорские погоны.
Вопрос про аттестацию. А как выполнить требование 152-ФЗ «оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных» без нее?
Еще не увидел в перечне документ об «оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом».
Еще не увидел в перечне документ об «оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом».
Каждый изголяется как может. В хорошем смысле.
Алексей Волков в своем блоге приводил пример приказ, из коего следовало, что оценка эффективности обеспечивалась порядком приема объекта в эксплуатацию (приказы, кажется, испытания). Проверку прошел.
Еще вариант, документ от интегратора, типа «Акт оценки эффективности мер защиты». Лично я считаю, что модель угроз и собственно проект как раз-таки и обеспечивают «эффективность мер защиты», поскольку делаются не в вакууме, а применительно к системе. В любом случае, аттестация — зло.
Алексей Волков в своем блоге приводил пример приказ, из коего следовало, что оценка эффективности обеспечивалась порядком приема объекта в эксплуатацию (приказы, кажется, испытания). Проверку прошел.
Еще вариант, документ от интегратора, типа «Акт оценки эффективности мер защиты». Лично я считаю, что модель угроз и собственно проект как раз-таки и обеспечивают «эффективность мер защиты», поскольку делаются не в вакууме, а применительно к системе. В любом случае, аттестация — зло.
Про оценку эффективности в принципе уже ответили, не обязательно это достигается путем аттестации. Центральным документом тут должна быть модель угроз, в ней вы определяете какие угрозы у вас актуальны, соответственно, их нужно нейтрализовать. Потом составляете документ (как его назвать уже дело десятое) в котором рисуете таблицу со столбцами «Актуальная угроза согласно модели угроз» и «Методы нейтрализации». В методах пишите как принятые организационные меры, так и технические. Таким образом вы показываете, что все актуальные угрозы нейтрализованы, о чем в конце делает заключение назначенная ранее комиссия.
Что касается «оценки вреда», то это как раз один из моментов в законе когда написано, а как делать — непонятно. По хорошему должен быть отдельный подзаконный акт с методикой оценки вреда, но его пока что нет и даже на горизонте не маячит (тут уж хоть бы документы от ФСТЭК дождаться по тех защите ПДн). Звонили в наш РКН по этому поводу, они говорят, что сами ждут подзаконный акт. По факту на проверках РКН (по крайней мере наш) такой документ не требует. В принципе, для подстраховки можно придумать что-нибудь, где расписать для разных категорий субъектов, что, допустим, для сотрудников вред при разглашении ПДн «минимальный», для клиентов «средний» и тд. Для РКН, даже если они поднимут этот вопрос, будет важен скорее сам факт оценки, а не ее качество.
Что касается «оценки вреда», то это как раз один из моментов в законе когда написано, а как делать — непонятно. По хорошему должен быть отдельный подзаконный акт с методикой оценки вреда, но его пока что нет и даже на горизонте не маячит (тут уж хоть бы документы от ФСТЭК дождаться по тех защите ПДн). Звонили в наш РКН по этому поводу, они говорят, что сами ждут подзаконный акт. По факту на проверках РКН (по крайней мере наш) такой документ не требует. В принципе, для подстраховки можно придумать что-нибудь, где расписать для разных категорий субъектов, что, допустим, для сотрудников вред при разглашении ПДн «минимальный», для клиентов «средний» и тд. Для РКН, даже если они поднимут этот вопрос, будет важен скорее сам факт оценки, а не ее качество.
Имхо модель угроз и проект никак не могут говорить об эффективности системы т.к. разрабатываются ДО её создания.
А документ с «актуальными угрозами» и «методами нейтрализации» — это ведь и есть протокол аттестационных испытаний.
Каким образом можно соотнести «минимальный» и «средний» вред с принятыми оператором мерами? Ведь РКН вполне может задать этот вопрос.
Кстати небольшие изменения в составе ПО и технических средств можно согласовывать с органом по аттестации и по почте, что не вызовет никаких доп. затрат.
А документ с «актуальными угрозами» и «методами нейтрализации» — это ведь и есть протокол аттестационных испытаний.
Каким образом можно соотнести «минимальный» и «средний» вред с принятыми оператором мерами? Ведь РКН вполне может задать этот вопрос.
Кстати небольшие изменения в составе ПО и технических средств можно согласовывать с органом по аттестации и по почте, что не вызовет никаких доп. затрат.
Актуальные угрозы и методы нейтрализации это далеко не все, что входит в протокол аттестационных испытаний. В любом случае, вы можете такой документ подготовить сами, не имея лицензии ФСТЭК, чего нельзя сказать об аттестации.
Что касается согласования изменений в информационной системе с органом по аттестации, то тут многое зависит от этого самого органа по аттестации. Многие любят делать деньги из воздуха и могут наговорить, что для внесения изменений нужны дополнительные тесты и проверки…
Что касается согласования изменений в информационной системе с органом по аттестации, то тут многое зависит от этого самого органа по аттестации. Многие любят делать деньги из воздуха и могут наговорить, что для внесения изменений нужны дополнительные тесты и проверки…
Если кому интересно, могу написать подобный пост, но только: защита ПДн в медицинской сфере.
Конечно пишите, я бы тоже с удовольствием почитал. Обмен опытом вещь очень ценная.
Немного промазал, этот коммент про статью о ПДн в медицине.
Немного промазал, этот коммент про статью о ПДн в медицине.
Это фактически каждая бухгалтерия давно обязана настолько заморочиться, получается, с пачкой приказов и регламентов по поводу ПДн сотрудников? Или там пункт про договорную деятельность всё упрощает?
Согласно статье 22 закона 152-фз, оператор может не уведомлять уполномоченный орган, если обработка ПДн осуществляется только в соответствии с Трудовым Кодексом. Тем не менее, организация все равно является оператором ПДн. Если оператора нет в реестре, то сильно снижается вероятность плановой проверки. Но есть проверки внеплановые, происходят они как правило, когда на организацию напишут жалобу о том, что они не соблюдают законодательство в сфере ПДн. Поэтому бухгалтериям лучше все-таки заморочиться по поводу приказов и других документов.
Один момент. У нас кредитный кооператив — НЕ коммерческая организация. С паспортами клиентов работаем и данные их храним. Обязательно ли нам регистрироваться в реестре операторов персональных данных и проходить аттестацию?
Очень мало сведений для однозначного ответа. Вам нужно смотреть статью 22 закона «О персональных данных», там сказано в каких случаях оператор может обрабатывать ПДн без уведомления. Под ваш случай могут попадать нижеследующие пункты.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; (вы не сказали, заключаете вы договор или нет)
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных; (если вашу организацию можно классифицировать как «общественное объединение»)
или
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных; (вы не указали в каком виде вы храните и обрабатываете ПДн)
Если подходите под один из этих пунктов, уведомление в РКН можно не подавать. Тем не менее вы являетесь оператором ПДн (по закону им является любое юридическое или физическое лицо, обрабатывающее ПДн субъектов) и должны принять меры по сохранению конфиденциальности ПДн.
Аттестация ИСПДн не нужна в любом случае. Достаточно просто принять организационные и технические меры.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; (вы не сказали, заключаете вы договор или нет)
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных; (если вашу организацию можно классифицировать как «общественное объединение»)
или
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных; (вы не указали в каком виде вы храните и обрабатываете ПДн)
Если подходите под один из этих пунктов, уведомление в РКН можно не подавать. Тем не менее вы являетесь оператором ПДн (по закону им является любое юридическое или физическое лицо, обрабатывающее ПДн субъектов) и должны принять меры по сохранению конфиденциальности ПДн.
Аттестация ИСПДн не нужна в любом случае. Достаточно просто принять организационные и технические меры.
Хорошо что я не юрист. Самое сложное, что я заполнял, это самодонос — просьба о внесении себя в реестр врагов народа в связи с наличием вида на жительство за границей
Sign up to leave a comment.
Снова о защите персональных данных или готовимся к проверке Роскомнадзора