В рамках работ по курсу в АРБ свел воедино список того, что проверяет Роскомнадзор во время проверок. Источники для этого списка разные — и приказы реальных проверок, и проект распоряжения о методике контроля/надзора.
- Положение о защите персональных данных
- Положение о подразделении по защите информации;
- Должностные регламенты лиц, ответственных за защиту ПДн
- План мероприятий по защите ПДн
- План внутренних проверок состояния защиты ПДн
- Приказ о назначении ответственных лиц по ПДн
- Договора с субъектами ПДн, лицензии на виды деятельности, в рамках которых осуществляется обработка ПДн, выписки из ЕГРЮЛ и т.д.
- Журнал по учету мероприятий по контролю
- Журнал учёта обращений субъектов ПДн о выполнении их законных прав
- Копия уведомления РКН с исходящим номером и датой подписания
- Письменные согласия субъекта ПДн на обработку ПДн
- Список лиц, обрабатывающих ПДн, утверждённый оператором или уполномоченным лицом
- Электронный журнал обращений пользователей информационной системы к ПДн
- Журналы (книги) учёта ПДн
- Правила пользования средствами защиты информации
- Наличие заключения экспертизы ФСТЭК и ФСБ об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности ПДн при их обработке
- Эксплуатационная и техническая документация
- Отражение в трудовом договоре (контракте) ответственности работника за разглашение ПДн
- Иные документы
Положение о защите должно включать:
- наименование, адрес оператора
- цель обработки ПДн
- категории ПДн
- категории субъектов, ПДн которых обрабатываются
- правовое основание обработки ПДн
- перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн
- описание мер, которые оператор обязуется осуществлять при обработке ПДн, по обеспечению безопасности ПДн при их обработке
- дата начала обработки ПДн
- срок или условие прекращения обработки ПДн
Еще бы рыбы этих документов )))
Алексей, несколько вопросов:
— Об одном ли говорят «План мероприятий по защите ПДн» и «Журнал по учету мероприятий по контролю»?
— Чем установлена необходимость иметь «Журнал учёта обращений субъектов ПДн о выполнении их законных прав»? Никаких положений о порядке обработки обращений граждан для коммерческих организаций я не видел.
— Что такое «Журналы (книги) учёта ПДн»?
— Что кроется (или может крыться:) под «Иные документы»?
А вообще грустно, девицы. Боюсь, придется в буквальном смысле всё бросать и заниматься только этим. Было бы проще, если бы тот же РКН подобный список опубликовал самостоятельно, тем самым сузив рамки для интерпретационного произвола с нашей стороны.
2 SWAN,
ага, пусть сами РКНы со ФСТЭКами совместно издадут свой нетленный крик души в области защиты ПДн в виде сборника с диском:) Тираж для начала тыщ 100 — на Озоне вывесить, рекламу по ОРТ пустить , какую-нибудь пургу со спецэффектами, и чтоб в каждом книжном рядом с Метро 2033 продавался. Неужели 200 рублей пожалеем?
Нас они полтора месяца мурыжили, а первую программу прислали еще недели за три до начала, поэтому на таком протяженном временном отрезке могу завидетельствовать, что она у них эволюционирует оцень быстро и в правильную сторону. Они ж на живых примерах учатся. На серьезных и продвинутых примерах.
swan’у: А вот за эти документы наши интеграторы и берут миллионы рублей.
QuietZone: План — это то, что ты хочешь сделать, а журнал по учету — это то, как ты это на практике реализуешь и проверяешь.
Журнал учета обращений — это же из советской практики 😉 Как РКН узнает, что ты отреагировал на обращение обиженного тобой субъекта ПДн? Без журнала никак. Исходя из практики РКН они, например, могут тебе вменить в вину, что ты не отреагировал на обращение субъекта и не уведомил того же субъекта, что ты его удовлетворил. Это может быть и не журнал, а копии документов. Но журнал проще.
— Что такое журналы учета ПДн я сам не знаю, но могу предположить, что речь идет о перечне ресурсов, обрабатывающих разные типы ПДн. Ригель должен лучше знать 😉
— Иные — все что угодно 😉
А список они может и опубликуют, когда распоряжение из проекта станет реальностью.
Ригелю: И твоя опыт тут самый ценный. Я могу опираться только на то, что есть в их документах и что планируют проверять. Просто не хочется узнавать о том, что надо что-то тупое разрабатывать за 5 дней до проверки (именно таков минимальный срок уведомления со стороны РКН).
При всех требованиях нужно исходить из ответственности.
Что грозит мне по КоАП, если не будет положения, приказа, журнала и т.п. документов (моих локальных Актов)? Думаю, что ничего.
> Журнал учета обращений — это же из советской практики 😉 Как РКН узнает, что ты отреагировал на обращение обиженного тобой субъекта ПДн? Без журнала никак. Исходя из практики РКН они, например, могут тебе вменить в вину, что ты не отреагировал на обращение субъекта и не уведомил того же субъекта, что ты его удовлетворил. Это может быть и не журнал, а копии документов. Но журнал проще.
Леш, но посуди сам. Узнать о самом факте обращения они могут только от суъекта (оператор просто скажет, что обращений не было), который обратится с жалобой если ему не ответили. Но в этом случае помогут только оригиналы переписки, с присвоенными входящими и исходящими — в конечном счете именно они являются best evidence, а аутентичность журнала придется еще доказывать. Его можно испрользовать лишь как систему индексирования для облегчения поиска, если обращений много.
> — Что такое журналы учета ПДн я сам не знаю, но могу предположить, что речь идет о перечне ресурсов, обрабатывающих разные типы ПДн. Ригель должен лучше знать 😉
Честно говоря, для меня сюрприз, что кто-то уже столкнулся с проверками. А есть случаи проверки сидящих на К1?
>- Иные — все что угодно 😉
Ужаснулся…
Анонимному
Наверное, штраф по 13.11 могут припаять
Для Quiet Zone.
Журнал учета обращений субъектов — это журнал учета запросов субъектов, а не журнал учета жалоб субъектов.
Любой субъект может спросить, не обрабатывают ли на него что-нибудь, что именно, с какого рожна и т.п. Закон устанавливает срок ответа, и соблюдение этого регламента надо контролировать.
Анонимному: Вам выпишут предписание устранить. Вы забьете. Вас придут проверить, как устранены недочеты. Вы забили. Дальше вам вменяется в вину ст.19.5 «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)». Штраф — до 500000 руб + дисквалификация должностного лица на срок до трех лет. Именно так рекомендует делать методика проверки РКН.
Quiet Zone: Ну про журнал тебе уже Ригель ответил. Собственно ты можешь и просто все документы, удостоверяющие общение с субъектами представить. Но журнал проще. РКН может дальше и не просить доказательств того, что написано в журнале. Они же тоже сроком ограничены.
А с проверками столкнулись многие. ПРОБИЗНЕСБАНК, Петрокоммерц, УРСАбанк уже нагнули за нарушение ФЗ. Есть еще куча никому неизвестных региональных предприятий и даже физлиц (!). Из наших общих знакомых Ригель черех это прошел. В общем работу РКН затеял большую и ведет ее активно.
Еще нужно сказать, что это универсальный опросник, а специфика менно вашей конторы будет уже на месте учитываться. Например, кого-то 59-ФЗ касается, а кого-то нет.
2 Ригель
>Журнал учета обращений субъектов — это журнал учета запросов субъектов, а не журнал учета жалоб субъектов.
А я разве где-то успел их перепутать? Тем более, что жаловаться субъект будет в РКН, следовательно и журнал там. Я имел в виду лишь то, что журнал решистрации ОБРАЩЕНИЙ выглядит нелогично, по сравнению с журналом регистрации ОТВЕТОВ. Первичное доказательство всегда у источника активности, то есть факт запроса доказывает субъект, а факт ответа — оператор. Грубо говоря, когда придет РКН с копией запроса субъекта (видимо подтвержденного почтовыми квитанциями?), нам нужно продемонстрировать журнал учета ответов, т.е. исходящих номеров. В связи с этим возникает вопрос, чем не устраивает РКН система документооборота, если с юридической точки зрения она не отличается от бумажного журнала.
Кстати, еще забыл (что-то я сегодня дублями=))
А не будут ли проверять наличие уведомлений субъектов об обработке их ПДн, в случае, если выяснится, что они получены от третьих лиц? Этого требует ФЗ.
А никто не говорит, что журнал должен быть бумажным 😉
+1. Нужен учет, а не журнал.
Алексей,
тогда все ОК:) Просто в тексте есть журнал и есть электронный журнал (имеется в виду лог), поэтому я их и разделил.
А в целом ситуация с активностью РКН пугает. Я на 99,9% уверен, что ни один оператор не соблюдает полностью требования закона. Банки и страховые в авангарде, причем если безопасность банков развита неплохо (там и 395-ФЗ, и ЦБ, и PCI DSS), то страховые в ИБ явно проседают, при этом обрабатывают страшное количество ПД, в том числе специальных категорий, в том числе за границей. В общем если сейчас начать громить всех страховщиков, нарушающих ФЗ 152, то страховой бизнес просто перестанет существовать. И я думаю, регулятор это понимает.
> просто в тексте есть журнал
> и есть электронный журнал
Это два разных учета: есть учет обращений пользователей к ИСПДн, а есть учет обращений субъектов к оператору.
Quiet Zone: Ну к безопасности все это имеет опосредованное отношение, т.ч. все в одинаковой ситуации находятся. И достаточно найти всего одно нарушение, чтобы попало и страховой и банку 😉
Ни PCI DSS, ни СТО БР ИББС не требуют все этой мороки с учетом обращений и разработки такого количества бумажек.
Вам выпишут предписание устранить. Вы забьете. Вас придут проверить, как устранены недочеты. Вы забили. … Штраф — до 500000 руб + дисквалификация должностного лица на срок до трех лет. Именно так рекомендует делать методика проверки РКН.
Я тут столкнулся с проверками пожарников. И поболтал с одним. Так вот После невыполнения первого предписания — контролирующий орган не имеет права наказывать, наказывает суд. Куда они и передают материалы. А у суда есть возможность делать предупреждения. Что он и делает. Пожарник пожаловался, что даже при многократных нарушениях суд всеравно предупреждает или выписывает МИНИМАЛЬНЫЙ штраф. То же самое говорили Роскомнадзоровцы на конференции в сентябре, они же ждут изменения законодательства, которое позволит им самим наказывать. Так что 500т это еще бооольшой вопрос.
ZZubra
Ну никто и не спорит. Просто чтобы не было иллюзий, что речь идет максимально о сотнях рублей штрафа. Потенциально штраф может быть больше. В теории.
На практике до штрафа может дело вообще не дойти 😉
2 Ригель
Учет нужен все-таки не любой, а устраивающий контролирующий орган.
> Это два разных учета:
Да какая разница: есть существительное, и есть существительное с прилагательным, они перечисляются через запятую, значит суть — разные вещи.
Алексей,
понятно, но я имел в виду, что как следствие в банках сама служба ИБ развита лучше.
Для Quiet Zone.
Ты уж определись: либо «не любой», либо «какая разница» — либо крест сними, либо трусы надень.
QuietZone: Так ты заранее не знаешь, что устроит регулятора, если ты не имеешь с ним связей, что у большинства клиентов не выполняется. Как написал Ригель, регулятор в процессе контроля и надзора самообучается и поэтому то, что его не устраивало раньше, может начать устраивать сейчас (и наоборот).
2 Ригель
Определился — разницы нет не между учетами, а применительно к правилам перечисления существительных: они обычно не меняются, если в качестве существительного используется слово «учет». Хотя в военное время возможны исключения.
Леш,
именно поэтому, учась на «серьезных и продвинутых примерах», как сказал Ригель, эти самые «примеры» оказывают своего рода медвежью услугу тем, к кому проверятели придут после уже «обученными». Причем ни проверенные, ни проверятели, не смогут передать опыт в том объеме, который поможет избежать грядущих претензий проверятеля в полном объеме. Неудержимая мутация пррверятеля и дрейф его предпочтений делают его визит похожим на игру в русскую рулетку (по крайней мере я сейчас к этому отношусь именно так) — попросят или нет? Спросят или нет? Устроит или нет? Понятно, что любой аудит оперирует выборками, но при проведении дургих аудитов известны «любимые» области, и мы хорошо осознаем и принимаем риски. Здесь же ну совершенно неизвестно куда обратят свое внимание при проверке. Оттого и хочется по максимуму обзавестись очевидно нужными бумажками, избегая создание ненужных.
Ну в таком новом деле ты «лучших практик» пока не увидишь.
А по максимум список у тебя есть. То, что будут проверять у тебя, узнаешь, когда пришлют уведомление о проверке с ее программой.
> хочется по максимуму обзавестись
> очевидно нужными бумажками
Попробуй сам справиться — и можно будет вернуться к разговору про быть/казаться.
А вообще откуда такие суммы: 500 000 руб?
13.11 — 5000 — 10000 руб..
19.5 — 10 000 — 20000 руб..
Вроде бы так…
По минималке соответственно:
5000 и 10000 руб. А в первый раз всегда именно по минималке…
> Попробуй сам справиться
Что значит "попробуй"? Придется справиться, не тебе одному солнце светит.
Анонимному: Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа —
(в ред. Федеральных законов от 20.08.2004 N 114-ФЗ, от 08.05.2006 N 65-ФЗ, от 09.04.2007 N 45-ФЗ)
влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от двухсот тысяч до пятисот тысяч рублей.
Алексей Лукацкий пишет…
…уполномоченного в области экспортного контроля…
Ну это как трактовать..
1. Это предписание должно быть на устранение нарушений в области экспортного контроля, а не ПДн. И в арбитртажном суде это можно будет доказать..
2. Предписание выдается после завершения мероприятия по контролю. Учитывая, что во ФСТЭК очень мало народу работает (Управления только в столицах ФО), когда ещё их плановая проверка до нас доберется… А когда доберется — уже её надо будет согласовывать с прокуратурой в соответствии с новым 294-ФЗ..
Авось пронесет…
Анонимному:Трактовать можно как угодно, но именно ФСТЭК является уполномоченным органом по экспортному контролю и его предписание имеет определенную силу. Дальше все зависит, конечно, от трактовок.
Ну а по поводу «авось пронесет» я согласен на все 100%. Руки до проверки лицензиатов не всегда доходят, а уж до тех, кто в тени…
А как же акт классификации ИСПДн?