Из всех часто задаваемых вопросов на тему хранения, обработки и защиты персональных данных по частоте возникновения уверенно лидирует следующий: «Может кто-нибудь адекватно пояснить, как распространяется сей ФЗ на обычную фирму, которая имеет локальную инсталляцию 1С и считает зарплату?». А распространяется он одинаково на все организации, обрабатывающие персональные данные, независимо от их размера (даже ИП, который ведет в 1С расчеты с наемными работниками). Естественно, небольшая (и даже средняя) компания в здравом уме и трезвой памяти задастся вопросом: «А стоит ли овчинка выделки?»
Ведь согласно ежегодно публикуемому регулятором списку, процент проверяемых Роскомнадзором (РКН) организаций — капля в море по сравнению с тем их количеством, которое можно наблюдать в той же самой Москве, не говоря о России в целом. В связи с открытостью вопроса и спорностью ответов предлагаем разобраться, какова в действительности вероятность попадания под проверку РКН? Для ответа на поставленный вопрос вооружимся калькулятором и выполним элементарные расчеты на основании данных официальной статистики.
Согласно последнему отчету Роскомнадзора, который датируется 2013 годом, на территории России было проведено 2418 проверок, из которых 617 — внеплановых. Прибегая к нехитрым вычислениям, получаем, что 75 %проверок были плановыми и 25 % — внеплановыми. При этом наблюдались следующие цифры:
По какому количеству из этих 125 случаев (5 % от общего числа проверок по России) судом были приняты решения о привлечении к административной ответственности — в отчете Роскомнадзора не сказано. Однако приводится общая сумма штрафов, взысканная с нарушителей в бюджет РФ. В 2013 году она составила 147 тысяч 300 рублей. Таким образом, к административной ответственности были привлечены единицы, и это при том, что количество операторов ПДн в реестре Роскомнадзора — более 300 тысяч, а общее число операторов ПДн в России в разы, если не на порядок больше, чем количество операторов в реестре РКН.
Но даже если отталкиваться от примерных цифр реестра Роскомнадзора и количества проверок РКН, получаем следующее:
- Среднее значение ежегодно осуществляемых РКН проверок не превышает 2500.
- Количество операторов ПДн в реестре Роскомнадзора хоть и более 300 тысяч, округлим ровно до 300 тысяч.
Получаем приблизительный процент попадания оператора ПДн под проверку Роскомнадзора, который составляет 0,83 %.
Учитывая, что общее число операторов ПДн по России на самом деле в разы больше, полученный процент можем смело уменьшать как минимум в два раза, в результате чего получаем смешные 0,4 %.
Какое точное количество всех проверок по России будет выполнено в 2015 году, можно вычислить описанным выше способом. Согласно планам регулятора, Роскомнадзор в этом году планирует проверить 1267 организаций, что на 534 меньше, чем в 2013-м. Ориентируясь на количество внеплановых проверок за 2013 год, сделаем грубую накидку в виде 100 дополнительных проверок, которые, скажем, произойдут по определенной случайности, в результате чего получаем 717 внеплановых выездов. Суммируем все вместе и получаем 1984 проверки. В итоге процент попадания отдельно взятой российской организации под проверку РКН в нынешнем году составляет мизерные 0,66 %, и это очень приблизительное, грубо округленное в большую сторону значение. Фактический процент попадания будет однозначно меньше.
А если верить слухам о сокращении штата Роскомнадзора на 20 %, где общее количество всех сотрудников теперь составляет не более 3000 человек на всю Россию, можно сделать вывод: количество проверяющих единиц тоже уменьшилось. А значит, проверить больше организаций, чем мы рассматриваем в расчетах, вряд ли получится. И пусть нас пугают сентябрем 2015-го и тем, что количество проверок в связи с ФЗ-152 «Законом о персональных данных» станет только больше, мы все прекрасно понимаем, что человеческие ресурсы не безграничны, да и количество рабочих человеко-часов тоже конечно. Так что делаем выводы, господа.
Закулисье проверок, или Как работает Роскомнадзор
Начнем с того, что проверки Роскомнадзора бывают нескольких видов: плановые, внеплановые, документарные и выездные. При этом каждая из них имеет свои особенности.
- Плановые проверки. О плановых проверках Роскомнадзор предупреждает заранее. Как правило, не менее чем за три рабочих дня по почте или факсом отправляется уведомление с копией приказа о грядущем мероприятии. Узнать о запланированных проверках юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей можно на официальном сайте Роскомнадзора.
- Внеплановые проверки. Чаще всего проводятся по жалобам, полученным от физических лиц. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
- Документарные проверки. Вид проверок, при которых Роскомнадзор запрашивает список документов, копии которых необходимо предоставить в территориальный орган Роскомнадзора.
- Выездные проверки. При выездной проверке проводится инспектирование на местах, когда в организацию приезжают представители РКН (как правило, несколько человек). Происходит проверка на предмет соответствия требованиям ФЗ-152.
А теперь немного подробнее. Несмотря на то, что публикуемый перечень проверяемых организаций известен заранее и такой тип проверки носит название «плановая», бывают проверки «внеплановые», то есть когда в списке РКН организация себя не нашла, но к ней все равно пришли. Причиной этому может быть недавно уволившийся сотрудник, желающий «сдать компанию с потрохами» и накатавший от всей русской, доброй души злостную кляузу, или же клиент, пользующийся услугами организации, сообщивший о серьезных нарушениях с персональными данными. Эти и другие случаи на практике встречаются довольно часто, а поскольку жалоба является основанием для проведения внеплановой проверки, Роскомнадзор не оставит ее без ответа. Тем более что статистика жалоб увеличивается ежегодно в два, а то и три раза.
Обратите внимание...
Стать «жертвой» внеплановой проверки можно и другим образом, для этого организации достаточно никак не отреагировать на письменный запрос РКН. Подобных случаев Роскомнадзор не прощает: «А вы ответили на наш официальный запрос? Нет? Тогда мы идем к вам!».
Согласно Федеральному закону №294-ФЗ, плановая проверка Роскомнадзора не может проводиться чаще, чем один раз в три года. Если в течение трех последних лет вас не радовали визитами проверяющие органы, есть некая доля вероятности быть в числе следующих.
Как проводится проверка
Если Роскомнадзор располагает всеми необходимыми документами и данными о проверяемой организации, проверка может носить документарный характер и осуществляться без обращения в саму компанию. Если в ходе проверки возникают дополнительные вопросы, регулятор формирует письменный мотивированный запрос и направляет его в организацию. Ответ на такой запрос необходимо предоставить в письменном виде в течение десяти рабочих дней. Он должен содержать максимально убедительные мотивированные обоснования, охватывающие все интересующие аспекты со стороны проверяющего органа. Если хотя бы один вопрос остается открытым, регулятор едет в организацию и проводит проверку на месте.
По завершении проверки Роскомнадзор составляет акт, а в случае обнаружения каких-либо нарушений выдает предписание, которое должно быть выполнено точно в срок. В противном случае организацию ждет повторная проверка или возбуждение дела об административном правонарушении. Для наглядности предлагаем рассмотреть сценарий, описывающий типовую плановой проверку РКН.
Типовой сценарий плановой проверки РКН
Итак, вы нашли свою организацию в «Плане проведения проверок». Оттуда же узнали дату наступления часа «Икс» и сроки проведения проверки. До начала запланированного «мероприятия» вы получаете уведомление от Роскомнадзора вместе с перечнем документов, которые необходимо подготовить и в дальнейшем продемонстрировать сотруднику РКН. Какие именно бумаги нужно подготовить, зависит от ситуации. Это могут быть как организационно-распорядительные документы, регламенты, справки, выписки, копии, так и что-то другое. Поскольку обычно список получается достаточно внушительным, подготавливается специальный реестр, в котором напротив каждого документа проверяющее лицо РКН оставляет свой автограф. С помощью этого реестра происходит отслеживание документов, переданных на проверку.
Если на проверку отведен календарный месяц, это не означает, что сотрудники Роскомнадзора все выделенное время будут находиться в проверяемой организации. Скорее всего, будет запланировано несколько встреч: две, три, а может, несколько больше, но в пределах здравого смысла. На первую встречу, как правило, сотрудники РКН привозят бумажную версию Уведомления о проведении плановой выездной проверки компании, выполняют оценку и определяют масштаб мероприятий, назначают дату следующего встречи. Обычно с этого момента процесс считается официально запущенным.
Следующий визит чаще всего рассматривают как основной, где сотрудники РКН, согласно уведомлению оператора, проверяют внесенные изменения и в случае необходимости оставляют свои комментарии. Дальше могут последовать вопросы к сотрудникам основных отделов. Когда речь касается обработки персональных данных, опрашиваются компании, с которыми возникает обмен ПДн. Это могут быть кадровые агентства, банки, операторы связи и прочие организации.
Согласно отзывам некоторых организаций, попавших под плановую проверку Роскомнадзора, регулятор запрашивал у них перечень ИСПДн, модель угроз, проект по созданию защиты персональных данных, сертификаты на средства защиты информации и задавал вопросы, касающиеся в том числе трансграничной передачи информации по каналам связи.
Как показывает практика, в ходе проверки может быть запрошено гораздо большее количество документов по сравнению с тем, что требовалось изначально. По результатам проверки Роскомнадзор выдает акт с указанием выявленных нарушений, если таковые были обнаружены, справку о результатах плановой выездной проверки, а также предписание об устранении в установленный срок выявленных несоответствий.
Что необходимо сделать, чтобы проверка прошла успешно
Даже если ваша организация не попала в заветный список плановых проверок и вас нисколько не пугают внеплановые мероприятия РКН, быть во всеоружии все-таки стоит. Как известно, знание — сила, а знание своих прав — тем более. В первую очередь рекомендуем ознакомиться с полезным перечнем документов: административный регламент проверок РКН, Федеральный закон о защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственной проверки, разъяснения РКН по обработке биометрических ПДн.
А для того, чтобы проверка прошла успешно, в случае, если на пороге появились проверяющие инспекторы РКН, будут не лишними следующие рекомендации:
Рекомендация 1. Необходимо изначально разобраться, попадает ли ваша компания под статью ФЗ-152, где описаны случаи, когда организация вправе обрабатывать ПДн без отправки уведомления в Роскомнадзор. Если это именно ваш случай, достаточно подготовить справку, обосновывающую имеющиеся причины не уведомлять РКН. В остальных случаях необходимо подготовить и отправить «Уведомление об обработке персональных данных», поскольку это первое, на что обращают внимание инспекторы.
Компания, которая не отправила уведомление в РКН, привлекается к ответственности. Если уведомление было подано, РКН в ходе проверки ориентируется на него, сравнивая с имеющимися процессами обработки ПДн организации. В случае несоответствия действительности и наличия ошибок, организацию ждут штрафные санкции. Не допускайте подобных ситуаций. Помните, что подаваемое в Роскомнадзор уведомление не является статическим документом, оно постоянно дополняется. Причем уведомлений об изменениях должно быть ровно столько, сколько непосредственно самих изменений. Учтите: если уведомление было подано после того, как организация начала деятельность по обработке ПДн — это уже повод оштрафовать организацию.
Рекомендация 2. Роскомнадзор не проверяет информационные системы персональных данных (ИСПДн), этими вопросами занимается ФСТЭК и ФСБ России. В задачи РКН в основном входит проверка документов, поэтому необходимо сосредоточиться на подготовке соответствующей документации. Уделите особое внимание качеству — оно должно быть на достаточно высоком уровне. Рекомендуем руководствоваться действующим законодательством и вести всю отчетность надлежащим образом.
Рекомендация 3. Если грядущая проверка вызывает у вас опасения и вы чувствуете, что нуждаетесь в дополнительной помощи, обратитесь к услугам опытных консультантов. Они поддержат вас в трудную минуту, тем более что делать это никто не запрещает.
Рекомендация 4. Подготовьте персонал к предстоящей проверке. Это могут быть тренинги, собрания — все что угодно. Ваши сотрудники должны знать, что говорить, как говорить, а о чем лучше не рассказывать. Помните, что каждому технологическому процессу должен соответствовать разработанный регламент, ознакомьте с ним своих коллег.
Шпаргалки не только в школе
При подготовке к встрече с проверяющими достаточно сложно удержать в голове все нюансы. Предлагаем воспользоваться специально подготовленной шпаргалкой, где описаны основные правила, установленные Роскомнадзором.
Срок представления вами документов, требуемых при документарной проверке | 10 рабочих дней со дня получения мотивированного запроса |
Срок представления пояснений по документарной проверке | 10 рабочих дней |
Количественный состав проверяющих при выездной проверке и их основания для проверки | Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения. Выездная проверка проводится только при предъявлении служебных удостоверений проверяющих лиц и копии соответствующего приказа руководителя органа Роскомнадзора |
Срок и порядок уведомления о начале проведения выездной проверки | Плановой проверки — Не позднее чем в течение трех рабочих дней до начала проведения проверки посредством направления копии приказа о проведении проверки почтовым отправлением с уведомлением о вручении или иным доступным способом Внеплановой проверки — Не позднее чем за 24 часа до начала ее проведения любым доступным способом |
Срок проведения выездной проверки | 20 рабочих дней (продление возможно на срок не более 20 рабочих дней) |
Порядок обжалования решений, вынесенных по результатам проверок | Обжалование действий должностных лиц может осуществляться письменно либо устно в ходе личного приема. Жалоба должна быть рассмотрена в течение 30 дней, срок может быть дополнительно продлен еще на 30 дней |
Подводя итоги, подчеркнем: бояться проверок Роскомнадзора точно не стоит, к ним просто нужно быть готовым. Судя по тому, что процент попадания организаций под проверку РКН по сравнению с общим количеством компаний по всей России просто ничтожен, завтра вряд ли придут именно к вам, особенно если вы индивидуальный предприниматель или маленькая компания. Но если даже вы станете обладателем письма счастья от РКН, попав в золотую десятку любимчиков Фортуны, поддаваться панике точно не стоит. Знание своих прав, соблюдение обязанностей, соответствие требованиям действующего законодательства и заблаговременная подготовка к возможной проверке станут лучшим лекарством от всех бед.
Комментарии (30)
OLS
24.07.2015 16:22+1У Вас информация немного устарела: РосКомНадзор в 2014 году вывели из-под действия №294-ФЗ:
242-ФЗ, 21.07.2014, Статья 3
Часть 31 статьи 1 Федерального закона от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»… дополнить пунктами 19 и 20 следующего содержания:
«19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети „Интернет“;
20) контроль и надзор за обработкой персональных данных.».ttf
24.07.2015 18:17Небольшая опечатка. Изменения вносятся в часть 3.1 статьи 1.
Указанные изменения вступают в силу с 1 сентября 2015 г.
sneka
24.07.2015 18:07+3Как человек только что прошедший проверку заявляю. Пол статьи глупость и информации почти 0.
Перечень документов, которые требуют — вполне себе фиксирован и перечисленных документов в нем нет.
Самый «подлый» документ при проверке это акт об уничтожении персональных данных например, а модель угроз вообще не просят этот документ фигурирует в нормативке ФСТЭК и никто другой его не проверяет.
При нахождении любого замечания на вас подадут в прокуратуру. Но скорее всего этим все и кончится.
Так что бояться действительно не надо, а вот готовиться нужно очень сильно заранее, поскольку гора мукулатуры нужна огромная, а если вы работаете с персональными данными большого количества клиентов — гигантская.it_man Автор
27.07.2015 13:20Документы могут быть разными и перечень документов меняется уже пару лет как. У каждой компании свои методы и системы обработки ПДн. Так что не стоит делать громкие выводы по результатам проверки лишь одной компании и утверждать, что пол статьи глупость. Сведения взяты с результатов проверок различных организаций. И модель угроз могут запросить, несмотря на то, что этот документ фигурирует в нормативке ФСТЭК. Например при проверке компании Эльдорадо модель угроз как раз запрашивались. Запрашивались и справки, и выписки, копии документов и не только.
Maysoft
25.07.2015 07:15+1Потверждаю: Роскомнадзор заведует «бумажной» защитой ПДн, и, насколько мне известно, ограничивается запросом всей этой макулатуры к себе. Кто должен заниматься написанием всей этой макулатуры? Юрист? Жабер не хватит, если только ваш юрист не «заточен» на вопросах защиты информации. Можно заказать аттестацию рабочих мест по защите ПДн, но такие конторы кроме собственно аттестации требуют приобретения множества сертифицированных средств защиты, поэтому получается дорого. С другой стороны — это отличный повод наконец-то всерьез заняться защитой и не только ПДн. Например, если вы грамотно развернете антивирусную защиту (не антивирусную программу, а комплекс мер по защите), то перекроете 99% работы по защите ПДн. Останется только все это задокументировать. По трудозатратам — лучше ввести должность безопасника, так как кроме подготовки документации, придется проводить плановые мероприятия.
yosemity
27.07.2015 20:10Я не уверен, что соответствие сертификату увеличит нашу антивирусную защиту. На данный момент — это собственно АВ-средства на клиентах и серверах, регулярное обновление ОС и всего софта, отсутствие админских прав у всех, запрет запуска приложений отовсюду, кроме %WINDIR% и %PROGRAMFILES%. До кучи вот еще EMET всем развернул. Так же я не думаю, что использование какого-то «сертифицированного» АСП-линух безопаснее актуального дебиана. И еще, сертификация, на сколько я знаю, не распространяется на обновления. Т.е. в связи с переходом на «сертифицированное ПО» у нас не повысится, а понизится уровень защиты.
Maysoft
28.07.2015 07:11Я полностью с вами согласен, только вы не совсем правильно поняли меня. Конторы, занимающиеся аттестацией рабочих мест по защите ПДн, используют сертифицированные средства защиты для нейтрализации угроз. Возьмем ваш пример с дебиан, для аттестации контора потребует его заменить (только не АСП-линух, которого давно нет) на другой, так как к дебиану у них нет сертифицированных средств защиты от НСД (а уж тем более от аппаратных закладок).
Т.е. в связи с переходом на «сертифицированное ПО» у нас не повысится, а понизится уровень защиты.
Вы затронули первый парадокс безопасности — «обновлять нельзя использовать», который говорит о том, что единственный способ гарантировать «кошерность» кода это его неизменность, но в «кошерном» коде могут быть уязвимости 0 дня, поэтому его надо обновлять. Мелкомягкие пытались решить этот парадокс сертификатами (на драйверы). Каждая антивирусная программа решает этот парадокс по своему. Но есть другой способ обойти этот парадокс — уменьшить количество ПО до необходимого минимума. Например, в тонком клиенте, загружаемом по сети ПО может годами не обновляться. А как часто вы обновляете ПО в маршрутизаторе?yosemity
28.07.2015 10:17Ну т.е. в итоге мне придется менять рабочий инструмент непонятно на что. Пичаль.
А как часто вы обновляете ПО в маршрутизаторе?
Дебиан6 в роли маршрутизатора. Обновления там проходят, фактически по пере выхода. За этим следит заббикс, проверка раз в полчаса. Upgrade, правда руками запускаю, иногда может что-нить вопрос задать. В худшем случае у нас проходят апдейты в течении 1-2 дней для всего линух-парка. С виндой сложнее, там и до 2х недель могут быть отставания, пока все проверим на тест-группе.Maysoft
28.07.2015 10:27+1Прошу прощения, я имел в виду аппаратный маршрутизатор или управляемый коммутатор. Кстати, сменили ли вы стандартные пароли на коммутаторах и маршрутизаторах?
yosemity
28.07.2015 10:55+1Аппаратного роутера нет. На коммутаторах учетные данные изменены. Следующая часть — внедрение 802.1х, для всех станций и камер наблюдения. Опыта тут пока мало, только тест.
Maysoft
28.07.2015 17:57+1Простите за любопытство, а какова причина использования 802.1х в локальной сети в вашем случае?
yosemity
28.07.2015 19:24В моем случае, чтобы защититься от потенциального несанкционированного подключения и изучить сопутствующую «технологию».
Maysoft
28.07.2015 19:59+1Прошу прощения за надоедливость, не могли бы вы привести пример несанкционированного подключения к локальной сети. Просто я когда изучал эту технологию, то сразу не «вьехал» и примеров не было. Допустим вы приходите в поликлинику как пациент, но вам скучно и душа просит интернета для общения, взламываете коммутационный шкаф, тянете провод, и вот оно счастье. Вот просто не укладывается в голове.
yosemity
28.07.2015 21:50Шкаф взломать сложно, он в серверной и до него нужно добраться. А вот розетки натыканы по всему офису, и легко может сложиться ситуация, что какие-то из них пустые и остались слинкованы на коммутаторе. Дыра? Дыра. Если же не говорить про недобрый умысел, то может быть такая ситуация что
злостныйтолковый, но глупый (sic!) юзер принес свой ноут, зараженный шифровальщиком и воткнул в сеть. Ввел свой доменный пароль и спокойно начал копировать свои рабочие файлы, с целью поработать в выходные дома. В это время зловред дотягивается до всего, что может. Результаты: геморрой с восстановлением бекапов для меня, увольнение глупого юзера.
Я может и утрирую, но куча фейлов и жесточайших факапов случается как раз по глупости. Предпочитаю закрывать такие «дыры» техническими средствами, а не бумагами, т.к. в случае инцидента меня не будеть греть заплаканное лицо какого-нибудь сотрудника. Просто абсолютно всем в этой истории будет плохо.Maysoft
29.07.2015 05:54Спасибо за пример. Действительно такое может быть. Обычно руководителям предприятий я рекомендую делать бесплатный WiFi для гаджетов сотрудников, минуя локальную сеть (через DMZ). Это конечно не полностью решает проблему, о которой мы говорим. Предлагаю следующий вариант решения:
- делаем инвентаризацию сетевого хозяйства (возможно всплывут еще какие-то проблемы);
- все неиспользуемые розетки переводим в отдельный VLAN;
- организуем тотальный мониторинг этого VLAN.
Loreweil
28.07.2015 10:23Предположу что вы натыкались на «конторы», в которых в качестве «специалистов» выступали представители так называемой старой гвардии, которые всю жизнь занимались гостайной, и на персданные перешли совсем недавно, «на волне» так сказать. Такие «специалисты» в силу специфического опыта и воспитания (привыкли всю жизнь не гибко мыслить, а думать по принципу «кому не нравится грузить люминь, пойдет грузить чугуний») не способны эффективно пользоваться новыми веяниями в сфере защиты персданных в часности и конфиденциалки в целом. Одним из таких веяний является появление таких понятий в документах ФСТЭК как «экономическая нецелесообразность выполнения мер», «техническая невозможность выполнения мер» и «компенсирующие меры». Так вот, при грамотном подходе, при отсутствии средств защиты именно под ваш линух можно обосновать экономическую нецелесообразность разработки и сертификации новых средств защиты, выработать компенсирующие меры, обосновать, что компенсирующие меры нейтрализуют актуальные угрозы и аттестовать объект по требованиям безопасности. Поэтому «специалистов», которые заставляют перекраивать работающую годами инфраструктуру в угоду надуманным «требованиям» законодательства нужно гнать в шею метлой.
Maysoft
28.07.2015 10:29К сожалению, вы абсолютно правы. Но где взять другие конторы? Приходится все делать самому.
Loreweil
27.07.2015 10:54Несколько комментариев.
1. Что касается проверок, то хотел бы заметить, что Роскомнадзор занимается далеко не только персональными данными. И до текущего года, открывая план проверок можно было увидеть такую картину — 80% организация проверяются на соблюдение закона «О СМИ», на соблюдение правил пользования радиочастотным спектром и тд, и только 20% проверялось по персональным данным. С 2015 года тенденция поменялась — почти все организации, проверямые по другим сферам деятельности РКН проверяются в том числе и по соблюдению законодательства о персональных данных.
2. Вспоминая о том, что РКН занимается далеко не только персональными данными, считаю, что не стоит радоваться 20%-му сокращению штата ведомства, даже если это произойдет. Кто гарантирует, что будут сокращены не кадробухи, секретари и прочий обслуживающий персонал, а профильные отделы не пополнятся специалистами?
3. Вы приводите радостную статистику по вероятности включения организации в план проверок, а у меня есть контрстатистика. Я занимаюсь в том числе и организацией защиты персональных данных (в основном от главного «нарушителя» — Роскомнадзора), у меня не более 15-20 таких проектов в год и тем не менее 3-4 моих клиента попадает в план.
4. Вы говорите, что бояться проверок не стоит, но тут считаю важным отметить: если проверка прийдет с целью вас наказать — вас накажут, если в вашем регионе в РКН введена «палочная система» — вас накажут. Я об этом писал год назад.
5. Многие положения закона об исключениях, в случае которых оператор может обрабатывать ПДн без уведомления, не работают. Типичный пример — небольшая организация, ведет только свою бухгалтерию, передает данные сотрудников в банк для оформления зарплатных карт. Такая передача ПДн банкам не попадает под положения ТК РФ — необходимо подавать уведомление.
6. Вы ссылаетеся на документ о разъяснениях РКН по биометрии. Совсем недавно РКН пошел на попятную по крайней мере в плане отнесения фото- и видео-изображений к биометрии. Об этом я писал совсем недавно.
7. Прежде чем идти к консультантам нужно прокачать хотя бы немного собственный скилл, чтобы не попасть на удочку мошенников.
8. Согласен с комментаторами, которые считают, что такие статьи нужно писать на мегамозге.ttf
27.07.2015 12:436. Вы ссылаетесь на документ о разъяснениях РКН по биометрии. Совсем недавно РКН пошел на попятную по крайней мере в плане отнесения фото- и видео-изображений к биометрии. Об этом я писал совсем недавно.
А вот тут совсем не понятно, какой из документов более легитимен, тот что опубликован на сайте РКН или тот что выпустило издательство РГ. Новости о публикации обоих документов весьма расплывчаты. Тем более, «комментарий» не имеет юридической силы, а это значит, что решать будут сотрудники РКН на местах…
lorc
Извините, а где тут хранение данных и информационная безопасность?
Не место ли этой статье на Мегамозге, например? Или на Гиктаймс?
it_man Автор
Вопрос выполнения требований 152 ФЗ — сугубо айтишный (требуется реорганизовать хранение данных и организовать комплекс мер по защите информации). Кто-то нагнетает его на хабре в коммерческих целях. А я пытаюсь показать, что для айтишников в обычных компаниях — это не самая актуальная проблема.
lorc
Извините, но можно я вас процитирую?
Т.е. надо что бы документы были в порядке. Как оно будет хранится реально на сервере — волнует только ФСТЭК и ФСБ. Я же правильно вас понял?
Не знаю, возможно подготовка документов — это задача айтишников. Но айтишниного в этом столько же, сколько и в чистке зубов. Давайте писать о зубных пастах на Хабре? Ведь айтишники чистят зубы.
it_man Автор
А как получить аттестат, если не привести в порядок инфраструктуру?
ttf
42.1. Для оценки эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных Служба или ее территориальный орган в рамках проверки привлекают экспертов, экспертные организации, включенные в установленном порядке в реестр граждан и организаций, привлекаемых Службой в качестве экспертов, экспертных организаций к проведению мероприятий по контролю.
(Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 N 312, rkn.gov.ru/chamber-of-commerce/administrative-reglament/doc843.htm)
РКН может привлекать экспертов, которые будут смотреть техническую часть, а не бумагу.
ttf
А вот тут представлены реестры граждан и организаций, привлекаемых в качестве экспертов и экспертных организаций в ходе проверок в области персональных данных.
Которые осуществлют:
«Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
Оценка соответствия применяемых технических средств защиты информации.
Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.»
Schuk
Стандарты, регламентирующие защиту информации, а также то, что связано с их реализацией — это тема для Хабра.