Несколько слов о 152-ФЗ

Поскольку продления моратория на ст. 25.3 (ИСПДн… должны быть приведены в соответствие с требованиями… закона не позднее 1 июля 2011) наверное можно уже не ждать, то даже самым консервативным организациям пора начать готовиться к проверкам и приводить свои ИСПДн в норму. Но так ли все страшно на самом деле? Давайте разбираться.

Кто и что будет проверять?
Проверять будут конечно же регуляторы: ФСТЭК, ФСБ и Роскомнадзор.

Вы всегда должны помнить, что регуляторы не имеют опыта в проведении проверок по линии ПДн и проверяя вас они так-же учатся, кроме того проверяющие далеко не всегда юридически подкованы в этом вопросе, а ФСТЭК и ФСБ ведет проверки исходя из собственных требований.

Для того, чтобы избежать санкций, можно просмотреть список претензий регуляторов к уже проверенным организациям:

ФСТЭК:
-Отсутствие требований по технической защите персональных данных в ТЗ и проектной документации;
-Незавершенность классификации ИСПДн или ее ошибочность;
-Невыполнение работ по анализу угроз информационной безопасности;
-Незавершенность разработки необходимого комплекта организационно-распорядительной документации;
-Отсутствие документов, регламентирующих порядок передачи персональных данных третьим лицам;
-Использование несертифицированных СЗИ;
-Невыполнение работ по аттестации ИСПДн;
-Непринятие мер по учету машинных носителей;
-Отсутствие в должностных регламентах ответственных лиц за защиту персональных данных и их полномочий по контролю за выполнением требований по защите;
-Отсутствие достаточного количества квалифицированных специалистов;

ФСБ (Выбор объектов проверок осуществляется на основании информации, представленной Роскомнадзором):
-Использование средств криптозащиты, отличающихся от сертифицированных версий;
-Невыполнение отдельных требований по порядку эксплуатации криптосредств, предусмотренных технической документацией;
-Несовершенство отдельных подготовленных оператором документов, регламентирующих вопросы обеспечения безопасности в конкретной организации;

По Роскомнадзору все не так очевидно. Ясно одно, на практике бОльшая часть проверок является документальными.
Проверки РКН могут проводиться в следующих случаях:
-Уведомления об обработке персональных данных в организации. (Тогда организацию внесут в реестр операторов ПДн. На год вперед составляется график плановых проверок организаций из этого реестра);
-Истечения 3х лет со дня окончания последней проверки/регистрации юридического лица в качестве оператора;
-Жалобы от граждан о неправомерной обработке его ПДн;

Выездная проверка проводится в случае, если при документарной проверке не представляется возможным удостовериться в полноте и достоверности сведений или оценить соответствие деятельности юридического лица обязательным требованиям без проведения соответствующего мероприятия по контролю.

Из всего вышеперечисленного видно, что в первую очередь требуется подготовить документальную базу. Для ее создания необходимо в рамках вашей организации создать комиссию по защите ПДн (2-3 сотрудника IT отдела, юрист, кадровик, бухгалтер, начальник методологического отдела). Составить положение о комиссии, где определить ее положение, полномочия и т.д.
В рамках этой комиссии:
-оценить как и какие ПДн обрабатываются в вашей организации (кстати, самый простой способ понизить класс ИСПДн это обезличивание).
-запросить и проанализировать документы, связанные с требованиями к оператору ПДн во ФСТЭК и ФСБ по вашему региону.
-запросить список сертифицированных ОС, антивирусов, сетевого оборудования и т.д. (и подготовить документальный план по смене используемого ПО и оборудования на рекомендованные).
-подготовить документальную базу (Акт классификации ИСПДн, Акт обследования ИСПДн, Заключение о возможности эксплуатации СЗИ, Описание СЗИ, Положение о ПДн сотрудников, Приказ о назначении ответственного за защиту ПДн лица, Приказ о перечне ПДн, Приказ о списке лиц допущеных к ПДн, Приказ об обеспечении безопасности ПДн, Частную модель угроз, Бланк согласия на обработку ПДн и т.д. в зависимости от списка требований местных отделов ФСБ и ФСТЭК).

Главное для вас избавиться от ПДн не обязательных для делопроизводства, верно установить класс ИСПДн и подготовить документацию ИСПДн по данному классу, а так же брать с сотрудников и клиентов документальное согласию на обработку их ПДн (в том числе с возможной передачей их третьим лицам).
Вполне вероятно, это позволит вам без проблем пережить первую волну проверок без последствий.

Данный материал был подготовлен с использованием материалов семинара ФСИ в Екатеринбурге.

p.s. И помните, что на 152-ФЗ свет клином не сошелся. Кроме 152-ФЗ есть еще Европейская Конвенция «О защите физических лиц при автоматизированной обработке
персональных данных», ратифицированная в нашей стране и имеющая бОльшую силу (а 152-ФЗ ей далеко не во всех пунктах соответствует), а так же «смежные» законы, ФЗ-294 например. И главное не забывайте привлекать в таким вопросам юристов, они тоже не просто так деньги получают.
Tags:
152-фз, закон

You can't comment this post because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author's username will be hidden by an alias.