Контур персональные данные

Содержание

ПОДГОТОВКА КОМПАНИИ В РАМКАХ 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Что требует закон?

Закон вступил в силу 27.07.2006 и требует, чтобы каждый оператор, обрабатывающий персональные данные, и независимо от формы обработки:

  • осуществлял обработку данных в соответствии с требованиями закона;
  • осуществлял защиту данных при их обработке;
  • был зарегистрирован в реестре операторов персональных данных;
  • организовал взаимодействие с субъектами персональных данных и уполномоченным регулятором (Роскомнадзором) в соответствии с требованиями закона;
  • брал согласие на обработку с субъектов персональных данных;
  • оформлял взаимоотношения с контрагентами, к или от которых передаются персональные данные, в соответствии с требованиями закона.

Что конкретно нужно сделать, чтобы соответствовать требованиям статей 18.1 и 19 закона?

На первый взгляд все просто:

  1. Нужно утвердить приказ об ответственном за организацию обработки персональных данных (выбирается только среди штатных сотрудников).
  2. Нужно разработать и утвердить политику в отношении обработки персональных данных, а также предоставить к ней публичный доступ.
  3. Нужно реализовать меры защиты в соответствии со статьей 19 закона.
  4. Нужно осуществить внутренний контроль и (или) аудит соответствия обработки персональных данных закону и внутренним нормативным документам.
  5. Нужно провести оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона.
  6. Нужно ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и внутренними документами оператора.
  7. Нужно собрать согласия с субъектов персональных данных (клиентов и сотрудников организации).
  8. Обращения от субъектов персональных данных и от Роскомнадзора нужно регистрировать и учитывать в специальных журналах.
  9. Нужно быть зарегистрированным в реестре операторов персональных данных.
  10. Договоры с контрагентами в части обработки персональных данных нужно оформлять соответствующим образом.

Однако тем, кто не имеет опыта реализации закона, однозначно трактовать то или иное требование практически невозможно.

Закон разрабатывался для организаций всех форм собственности и отраслей России, и поэтому формулировки в законе достаточно общие. Закон не устанавливает точный перечень документов, которые должны быть разработаны у каждого оператора, а также перечень документов, запрашиваемый на проверке уполномоченного органа (Роскомнадзора). Все это означает, что осуществить подготовку самостоятельно и сразу правильно, с гарантией прохождения проверки Роскомнадзора, — невозможно. А ответственность за несоблюдение требований закона — вплоть до приостановки деятельности организации.

Кроме того, итоговый пакет документов для полноценного соответствия закону содержит около 60 документов для любой организации.

В жизни все сложнее также ввиду следующих моментов:

  • Нужно выполнять требования не только самого закона, но и подзаконных нормативно-правовых актов, которых насчитывается более 10!
  • Только на этапе выполнения требований подзаконных актов операторы начинают понимать, что, помимо юридической подготовки организации, требуется защита компьютерных систем, в которых обрабатываются персональные данные. А это выливается в немалый бюджет и время.
  • При проверке Роскомнадзор запрашивается ряд документов и сведений, которые явно не следуют из закона, но требуются при прохождении проверки.
  • Общие формулировки закона можно трактовать по-разному, и только те, кто сталкивались с проверкой Роскомнадзора, точно знают, что же действительно требуется по закону.

Как подготовиться по 152-ФЗ?

Существует всего два варианта. Первый вариант — провести подготовку самостоятельно, рискуя потратить время и средства впустую, без гарантии прохождения проверки Роскомнадзора. Второй вариант — обратиться к компетентной организации без каких-либо рисков и со 100% гарантией прохождения проверки.

Кратко порядок самостоятельной подготовки оператором выглядит так:

  1. Назначить ответственное лицо за обработку персональных данных в организации.
  2. Изучить закон и оценить соответствие требованиям (статья 18.1 и 19 закона).
  3. Провести классификацию информационных систем персональных данных в соответствии с постановлением Правительства № 1119.
  4. Скорректировать договоры с контрагентами путем подписания дополнительных соглашений в части обработки персональных данных.
  5. Осуществить правовую подготовку организации в соответствии со статьей 18.1 закона.
  6. Осуществить техническую подготовку (защиту и оценку защищенности) информационных систем персональных данных (автоматизированная обработка) в соответствии со статьёй 19 закона.
  7. Взять согласия на обработку персональных данных с сотрудников и клиентов.
  8. Разработать регламенты взаимодействия с субъектами и регулятором в области обработки персональных данных.
  9. Правильно оформить бумажный документооборот с персональными данными в соответствии с постановлением Правительства 687.
  10. Подать уведомление об обработке персональных данных в Роскомнадзор.

При самостоятельной подготовке многие рассчитывают на авось. Мол, столкнемся с проверкой, тогда и узнаем, что действительно нужно. А когда приходит проверка, оператор с ужасом узнает, что должно быть разработано около 60 внутренних документов по вопросу обработки и защиты персональных данных, а также проведены работы по защите и аттестации компьютерных систем, в которых обрабатываются персональные данные. Но это занимает от 2 до 6 месяцев и составляет определенный бюджет. В итоге оператор не способен оперативно подготовиться в период прохождения проверки Роскомнадзора и получает предписание на устранение замечаний. А если не исправит их в 30-дневный срок, вынужден приостановить деятельность!

Камни преткновения

Во время подготовки по требованиям закона организации сталкиваются с тремя основными сложностями:

  1. Незнание подзаконных нормативно-правовых актов. Федеральный закон № 152-ФЗ является законодательным документом высшего уровня. А процесс реализации тех или иных требований закона детализируется в постановлениях Правительства и подзаконных нормативно-правовых актах уполномоченных органов в области защиты информации — ФСБ и ФСТЭК России.
  2. Незнание того, какой конкретно внутренний документ должен быть разработан в организации по той или иной формулировке закона. Только специалисты по информационной безопасности с многолетним опытом, участвующие в рассмотрении законопроекта, проводившие анализ каждой новой редакции закона, способны понять, какие конкретно документы скрываются под той или иной формулировкой закона.
  3. Отсутствие специалистов по информационной безопасности. Для соответствия статье 19 закона необходимо защитить информационную (компьютерную) систему по требованиям ФСБ и ФСТЭК России и провести оценку ее защищенности. Указанные работы оператор может провести как самостоятельно, так и с привлечением компетентной организации лицензиата ФСБ и ФСТЭК России. Данные работы проводятся по методологии ФСТЭК России с оформлением определенного набора отчетных документов.

Рассчитать стоимость подготовки компании по 152-ФЗ ОНЛАЙН-КАЛЬКУЛЯТОР

Лайфхак по успешной подготовке по требованиям закона

Для того, чтобы подготовиться по требованиям закона и в дальнейшем пройти проверку Роскомнадзора, советуем учесть следующее:

  1. При утверждении приказа об ответственном лице за обработку персональных данных в этом же приказе нужно определить ответственного за защиту персональных данных в организации. Ответственный за обработку и защиту персональных данных в информационных системах утверждается отдельным приказом.
  2. Провести аудит соответствия статьям 18.1 и 19 закона самостоятельно или заказать аудит и(или) реализацию указанных статей у лицензиата ФСБ и ФСТЭК России.
  3. Разработать политику обработки персональных данных с учётом рекомендаций Роскомнадзора, размещенных на официальном сайте указанного уполномоченного органа.
  4. Скорректировать договоры с контрагентами путём подписания дополнительных соглашений в части обработки персональных данных.
  5. Взять согласия на обработку персональных данных со всех сотрудников. Также постараться собрать согласия со всех старых клиентов и впредь обязательно собирать с новых.
  6. Разработать регламенты взаимодействия с субъектами и регулятором в области обработки персональных данных, включая журналы регистрации их обращений.
  7. Учесть, что бумажный документооборот с персональными данными регламентируется постановлением Правительства 687, и в связи с этим нужно выполнить отдельную подготовку в части бумажного документооборота.
  8. Подать уведомление об обработке персональных данных в Роскомнадзор после реализации всех необходимых мер защиты.

Подготовка по требованиям закона и подготовка к проверке Роскомнадзор: отличия

Закон предъявляет требования к оператору персональных данных, а в частности к правовой подготовке организации и технической подготовке информационных (компьютерных) систем организации, но не описывает порядок проверки уполномоченным органом (Роскомнадзор) и тем более, не устанавливает точный перечень запрашиваемых Роскомнадзор документов.

Подготовившись по требованию закона, вы имеете пакет организационно-распорядительной документации, достаточной для соответствия закону (около 60 документов), но недостаточной для прохождения проверки Роскомнадзора. Чтобы пройти проверку уполномоченного органа, необходимо разработать дополнительные документы и справки по организации (около 30 документов).

Ситуацию усугубляет тот факт, что в каждом территориальном органе набор запрашиваемых документов разнится. Более того, даже в одном территориальном органе требования варьируются в зависимости от проверяющего.
Итого: подготовиться к проверке Роскомнадзора, не имея опыта прохождения проверки, без обращения к компетентной организации — невозможно.

Работы по подготовке по 152-ФЗ: цена вопроса

За внесение в реестр операторов персональных данных (реестр Роскомнадзора) госпошлина отсутствует.
Все расходы по подготовке по требованиям закона ложатся на плечи оператора персональных данных.

Всю подготовку оператор может выполнить самостоятельно, понеся тем самым временные расходы, а также расходы на реализацию технических мер защиты (защита компьютерных систем), закупив и установив такие средства, как антивирус, межсетевой экран, средство защиты от несанкционированного доступа, сканер уязвимостей, средство резервного копирования и восстановление данных, средство криптографической защиты и др.

Или можно обратиться к компетентной организации как за помощью в реализации правовой подготовки (разработка всей необходимой организационно-распорядительной документации), так и за технической подготовкой информационных систем (статья 19 закона). Внимание: реализацию технической подготовки может осуществлять только компания с лицензией ФСБ и ФСТЭК России.

Стоимость компетентной правовой подготовки находится в диапазоне от 300 тыс. руб. до 3 млн.руб. и зависит от масштаба организации, количества контрагентов у оператора, которым или от которых передаются персональные данные, а также от количества и класса информационных систем.

Стоимость технической подготовки (защита и аттестация) информационных систем персональных данных, как правило, находится в диапазоне от 300 тыс. руб. до 3 млн. руб. в зависимости от масштаба, архитектуры и географической распределённости информационной системы.

Что предлагаем мы?

Мы предлагаем полноценную подготовку по 152-ФЗ с целью прохождения проверки Роскомнадзора, т.е. приведение в соответствие оператора персональных данных ФЗ-152, а также иным подзаконным нормативно-правовым актам в области обработки и защиты персональных данных.

Заказать обратный звонок и получить полное понимание за 10 минут ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Комплекс услуг по подготовке организации по требованиям закона

В полный комплекс услуг подготовки входит:

1. Обследование бизнес-процессов организации, связанных с обработкой персональных данных:

  • персональные данные каких субъектов обрабатываются (сотрудники, клиенты и др.);
  • какие категории (ФИО, телефон и др.) персональных данных обрабатываются и их объём (кол-во);
  • технологический процесс и порядок обработки данных;
  • используемые меры защиты данных;
  • порядок и правильность оформления взятия согласия с субъектов персональных данных;
  • анализ договоров с контрагентами на наличие специальных формулировок, требуемых законом;
  • правильность регистрации в реестре персональных данных (реестр Роскомнадзора);
  • правильность оформления взаимодействий с субъектами персональных данных и регулятором (обращений, ответов на обращения и др.);
  • правильность ведения и оформления бумажного документооборота с персональными данными;
  • правильность организации пропускного режима на территорию оператора в части обработки персональных данных.

При необходимости проводится обследование и других бизнес-процессов.

На выходе обычно оформляется отчёт об обследовании, в котором делается вывод о соответствии или не соответствии оператора требованиям закона, а также выдаются замечания и рекомендации по корректировке бизнес-процессов организации.

2. Установление уровня защищенности персональных данных при их обработке в информационных системах (т.е. в автоматизированном виде):

  • анализ категорий субъектов персональных данных (сотрудники, клиенты и др.);
  • анализ категорий (ФИО, телефон и др.) и объема (количества) персональных данных;
  • анализ актуальных угроз, связанных с недекларированными возможностями, в используемом при обработке данных программном обеспечении.

На выходе: акт установления уровня защищенности персональных данных. Акт формируется для каждой информационной системы по отдельности или один на все системы одновременно.

3. Приведение бизнес-процессов, связанных с обработкой персональных данных, в соответствие закону с документальным оформлением соответствия как при автоматизированной, так и при не автоматизированной обработке данных:

    • разработка политики обработки и защиты персональных данных и нижестоящих регламентирующих документов;
    • разработка описания технологического процесса обработки персональных данных;
    • разработка описания мер защиты персональных данных;
    • разработка регламента взаимодействия с субъектами персональных данных, включая журнал учета обращений и ответов на обращения;
    • разработка регламента взаимодействия с Роскомнадзором, включая журнал учета обращений и ответов на обращения;
    • разработка типовых форм согласий для каждой категории субъектов;
    • разработка типовых формулировок, необходимых к включению в договоры с контрагентами, к или от которых поступают персональные данные;
    • корректировка типовых бумажных форм документов, предусматривающих внесение в них персональных данных;
    • корректировка порядка и(или) документального оформления пропускного режима на территорию оператора.

На выходе получается следующий пакет организационно-распорядительной документации:

  1. Приказ об ответственном за организацию обработки персональных данных.
  2. Правила/положение об обработке персональных данных.
  3. Положение о выявлении, ликвидации и предотвращении инцидентов безопасности персональных данных, с приложением:
    • журнал учета инцидентов,
    • акты выявления инцидентов (при наличии),
    • акты устранения инцидентов (при наличии).
  4. Положение о внутреннем контроле обработки и защиты персональных данных, с приложением:
    • план внутреннего контроля,
    • акты внутреннего контроля,
    • акты выявления недостатков (при наличии).
  5. Положение об оценке вреда, который может быть причинен субъектам персональных данных, с приложением:
    • инструкция по оценке вреда,
    • акт оценки вреда (при наличии).
  6. Раздел в трудовой договор и(или) должностную инструкцию и(или) согласие об обработке персональных данных.
  7. Политика в отношении обработки и защиты персональных данных.
  8. Положение об учете машинных носителей персональных данных, с приложением:
    • журнал учета машинных носителей,
    • акты установки (ввода в эксплуатацию) носителя(ей) (при наличии),
    • акты уничтожения носителей (при наличии),
    • акты восстановления носителя(ей) персональных данных (при наличии),
    • акты приема-передачи носителя(ей) персональных данных (при наличии).
  9. Положение о резервном копировании и восстановлении персональных данных, с приложением:
    • журнал учета резервирования персональных данных,
    • акты восстановления персональных данных (при наличии).
  10. Разрешительная система доступа.
  11. Раздел в инструкцию пользователя.
  12. Раздел в инструкцию системного администратора.
  13. Раздел в инструкцию администратора информационной безопасности.
  14. Положение о внутреннем контроле обработки и защиты персональных данных, с приложением:
    • план внутреннего контроля,
    • акт внутреннего контроля.
  15. Положение о режиме обеспечения безопасности помещений с ИСПДн, с приложением:
    • акт установления границы контролируемой зоны,
    • перечень помещений с ИСПДн,
    • журнал учета доступа в помещения с ИСПДн (в случае отсутствия СКУД).
  16. Положение об обеспечении сохранности носителей персональных данных, работа с которыми осуществляется с использованием средств автоматизации, с приложением:
    • журнал учета машинных носителей,
    • акты установки (ввода в эксплуатацию) носителя(ей) (при наличии),
    • акты уничтожения носителей (при наличии),
    • акты восстановления носителей персональных данных (при наличии),
    • акты приема-передачи носителей персональных данных (при наличии).
  17. Положение об обеспечении сохранности и учета носителей персональных данных, работа с которыми осуществляется без использования средств автоматизации, с приложением:
    • акты уничтожения носителей персональных данных (при наличии),
    • акты восстановления носителей персональных данных (при наличии),
    • акты приема-передачи носителей персональных данных (при наличии).
  18. Перечень сотрудников, имеющих доступ к персональным данным.
  19. Приказ о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
  20. Типовые формы согласия для каждой категории субъектов персональных данных.
  21. Регламент взаимодействия с субъектами персональных данных, включая журнал учета обращений и ответов на обращения.
  22. Регламент взаимодействия с уполномоченным регулятором в области обработки персональных данных, включая журнал учета обращений и ответов на обращения.
  23. Типовая форма соглашения или формулировок к договорам с контрагентами, к или от которых поступают (передаются) персональные данные.
  24. Инструкции по заполнению бумажных форм документов, предусматривающих внесение в них персональных данных, в соответствии с ПП 687.

4. Защита информационных систем персональных данных, в соответствии с требованиями статьи 19 закона:

    1. Обследование информационных систем персональных данных:
      • акт (отчет) об обследовании;
      • модель угроз безопасности персональных данных (по методике ФСБ и отдельно по ФСТЭК России);
      • акт установления уровня защищенности персональных данных;
      • техническое задание на создание системы защиты персональных данных.
    2. Проектирование системы защиты персональных данных.
    3. Технический проект на систему защиты персональных данных, в составе:
      • ведомость эксплуатационных документов;
      • структурная схема комплекса технических средств;
      • спецификация оборудования;
      • пояснительная записка.
    4. Внедрение системы защиты информации:
      • поставка, установка и настройка средств защиты информации;
      • разработка организационно-распорядительной документации (ОРД) в части защиты персональных данных (около 15 документов).
    5. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных:
      • технический паспорт на ИСПДн;
      • программа и методика эффективности принимаемых мер по обеспечению безопасности персональных данных;
      • протокол оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
      • заключение эффективности принимаемых мер по обеспечению безопасности персональных данных;
      • аттестат соответствия (выдает Лицензиат ФСТЭК России) или декларация соответствия.

5. Приведение неавтоматизированной (бумажной) обработки персональных данных в соответствие требованиям 687 постановления Правительства:

  • анализ и выдача замечаний по корректировке типовых бумажных форм документов с персональными данными;
  • подготовка отдельного согласия сотрудников, осуществляющих обработку персональных данных без использования средств автоматизации;
  • анализ и выдача замечаний по корректировке журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
  • анализ порядка хранения материальных носителей с персональными данными и выдача замечаний и рекомендаций по приведению в соответствие.

6. Подача в Роскомнадзор уведомления об обработке или извещения об изменении сведений по обработке персональных данных:

  • формирование проекта уведомления или извещения об изменении с учетом практики прохождения проверок Роскомнадзора;
  • согласование с оператором, утверждение и подача в Роскомнадзор;
  • отслеживание регистрации оператора (о корректировке сведений) в реестре Роскомнадзора.

7. Проведение контроля готовности к проверке Роскомнадзора:

  • проверка наличия и утверждения пакета организационно-распорядительной документации в требуемом объёме;
  • выборка договоров с контрагентами, наиболее соответствующих требованию закона;
  • контроль готовности оператора к прохождению проверки в соответствии с типовым планом проверки Роскомнадзора.

На выходе, как правило, следующие отчетные документы:

  • выбрано по одному договору к проверке (наиболее подходящие) по каждому типу контрагентов;
  • программа и методика проверки;
  • протокол проверки;
  • заключение о готовности к прохождению проверки Роскомнадзора;
  • протокол технического совещания по результатам контроля готовности к проверке.

8. Сопровождение при прохождении проверки Роскомнадзора (при необходимости):

  • выезд на территорию заказчика при выездной проверке Роскомнадзора;
  • пояснение требований и замечаний Роскомнадзора (при наличии);
  • помощь в устранении замечаний от Роскомнадзора (при наличии);
  • помощь в подготовке справок и ответа на замечания Роскомнадзора (при наличии).

9. Сопровождение системы защиты персональных данных в составе ИСПДн (при необходимости):

  • актуализация организационно-распорядительной документации в части обработки и защиты персональных данных в информационных системах;
  • администрирование системы защиты персональных данных (системное администрирование средств защиты информации);
  • ежегодный контроль защищенности (оценка эффективности применяемых мер защиты персональных данных);
  • мониторинг защищенности информационных систем и реагирование на инциденты безопасности.

10. Сопровождение оператора персональных данных (при необходимости):

  • отслеживание изменений в законе и подзаконных актах;
  • отслеживание изменений в категориях и объеме обрабатываемых оператором данных;
  • своевременная актуализация сведений в реестре Роскомнадзора;
  • периодический контроль соответствия требованиям закона;
  • актуализация организационно-распорядительной и регламентирующей документации в части обработки и зашиты персональных данных у оператора.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *