16.4.09

Какие документы проверяет Роскомнадзор?

В рамках работ по курсу в АРБ свел воедино список того, что проверяет Роскомнадзор во время проверок. Источники для этого списка разные - и приказы реальных проверок, и проект распоряжения о методике контроля/надзора.

  • Положение о защите персональных данных
  • Положение о подразделении по защите информации;
  • Должностные регламенты лиц, ответственных за защиту ПДн
  • План мероприятий по защите ПДн
  • План внутренних проверок состояния защиты ПДн
  • Приказ о назначении ответственных лиц по ПДн
  • Договора с субъектами ПДн, лицензии на виды деятельности, в рамках которых осуществляется обработка ПДн, выписки из ЕГРЮЛ и т.д.
  • Журнал по учету мероприятий по контролю
  • Журнал учёта обращений субъектов ПДн о выполнении их законных прав
  • Копия уведомления РКН с исходящим номером и датой подписания
  • Письменные согласия субъекта ПДн на обработку ПДн
  • Список лиц, обрабатывающих ПДн, утверждённый оператором или уполномоченным лицом
  • Электронный журнал обращений пользователей информационной системы к ПДн
  • Журналы (книги) учёта ПДн
  • Правила пользования средствами защиты информации
  • Наличие заключения экспертизы ФСТЭК и ФСБ об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности ПДн при их обработке
  • Эксплуатационная и техническая документация
  • Отражение в трудовом договоре (контракте) ответственности работника за разглашение ПДн
  • Иные документы
Положение о защите должно включать:
  • наименование, адрес оператора
  • цель обработки ПДн
  • категории ПДн
  • категории субъектов, ПДн которых обрабатываются
  • правовое основание обработки ПДн
  • перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн
  • описание мер, которые оператор обязуется осуществлять при обработке ПДн, по обеспечению безопасности ПДн при их обработке
  • дата начала обработки ПДн
  • срок или условие прекращения обработки ПДн

33 коммент.:

Анонимный комментирует...

Еще бы рыбы этих документов )))

Quiet Zone комментирует...

Алексей, несколько вопросов:
- Об одном ли говорят "План мероприятий по защите ПДн" и "Журнал по учету мероприятий по контролю"?
- Чем установлена необходимость иметь "Журнал учёта обращений субъектов ПДн о выполнении их законных прав"? Никаких положений о порядке обработки обращений граждан для коммерческих организаций я не видел.
- Что такое "Журналы (книги) учёта ПДн"?
- Что кроется (или может крыться:) под "Иные документы"?

А вообще грустно, девицы. Боюсь, придется в буквальном смысле всё бросать и заниматься только этим. Было бы проще, если бы тот же РКН подобный список опубликовал самостоятельно, тем самым сузив рамки для интерпретационного произвола с нашей стороны.

Quiet Zone комментирует...

2 SWAN,

ага, пусть сами РКНы со ФСТЭКами совместно издадут свой нетленный крик души в области защиты ПДн в виде сборника с диском:) Тираж для начала тыщ 100 - на Озоне вывесить, рекламу по ОРТ пустить , какую-нибудь пургу со спецэффектами, и чтоб в каждом книжном рядом с Метро 2033 продавался. Неужели 200 рублей пожалеем?

Ригель комментирует...

Нас они полтора месяца мурыжили, а первую программу прислали еще недели за три до начала, поэтому на таком протяженном временном отрезке могу завидетельствовать, что она у них эволюционирует оцень быстро и в правильную сторону. Они ж на живых примерах учатся. На серьезных и продвинутых примерах.

Алексей Лукацкий комментирует...

swan'у: А вот за эти документы наши интеграторы и берут миллионы рублей.

QuietZone: План - это то, что ты хочешь сделать, а журнал по учету - это то, как ты это на практике реализуешь и проверяешь.
Журнал учета обращений - это же из советской практики ;-) Как РКН узнает, что ты отреагировал на обращение обиженного тобой субъекта ПДн? Без журнала никак. Исходя из практики РКН они, например, могут тебе вменить в вину, что ты не отреагировал на обращение субъекта и не уведомил того же субъекта, что ты его удовлетворил. Это может быть и не журнал, а копии документов. Но журнал проще.
- Что такое журналы учета ПДн я сам не знаю, но могу предположить, что речь идет о перечне ресурсов, обрабатывающих разные типы ПДн. Ригель должен лучше знать ;-)
- Иные - все что угодно ;-)

А список они может и опубликуют, когда распоряжение из проекта станет реальностью.


Ригелю: И твоя опыт тут самый ценный. Я могу опираться только на то, что есть в их документах и что планируют проверять. Просто не хочется узнавать о том, что надо что-то тупое разрабатывать за 5 дней до проверки (именно таков минимальный срок уведомления со стороны РКН).

Анонимный комментирует...

При всех требованиях нужно исходить из ответственности.
Что грозит мне по КоАП, если не будет положения, приказа, журнала и т.п. документов (моих локальных Актов)? Думаю, что ничего.

Quiet Zone комментирует...

> Журнал учета обращений - это же из советской практики ;-) Как РКН узнает, что ты отреагировал на обращение обиженного тобой субъекта ПДн? Без журнала никак. Исходя из практики РКН они, например, могут тебе вменить в вину, что ты не отреагировал на обращение субъекта и не уведомил того же субъекта, что ты его удовлетворил. Это может быть и не журнал, а копии документов. Но журнал проще.

Леш, но посуди сам. Узнать о самом факте обращения они могут только от суъекта (оператор просто скажет, что обращений не было), который обратится с жалобой если ему не ответили. Но в этом случае помогут только оригиналы переписки, с присвоенными входящими и исходящими - в конечном счете именно они являются best evidence, а аутентичность журнала придется еще доказывать. Его можно испрользовать лишь как систему индексирования для облегчения поиска, если обращений много.

> - Что такое журналы учета ПДн я сам не знаю, но могу предположить, что речь идет о перечне ресурсов, обрабатывающих разные типы ПДн. Ригель должен лучше знать ;-)

Честно говоря, для меня сюрприз, что кто-то уже столкнулся с проверками. А есть случаи проверки сидящих на К1?

>- Иные - все что угодно ;-)

Ужаснулся...

Quiet Zone комментирует...

Анонимному

Наверное, штраф по 13.11 могут припаять

Ригель комментирует...

Для Quiet Zone.

Журнал учета обращений субъектов - это журнал учета запросов субъектов, а не журнал учета жалоб субъектов.
Любой субъект может спросить, не обрабатывают ли на него что-нибудь, что именно, с какого рожна и т.п. Закон устанавливает срок ответа, и соблюдение этого регламента надо контролировать.

Алексей Лукацкий комментирует...

Анонимному: Вам выпишут предписание устранить. Вы забьете. Вас придут проверить, как устранены недочеты. Вы забили. Дальше вам вменяется в вину ст.19.5 "Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)". Штраф - до 500000 руб + дисквалификация должностного лица на срок до трех лет. Именно так рекомендует делать методика проверки РКН.

Алексей Лукацкий комментирует...

Quiet Zone: Ну про журнал тебе уже Ригель ответил. Собственно ты можешь и просто все документы, удостоверяющие общение с субъектами представить. Но журнал проще. РКН может дальше и не просить доказательств того, что написано в журнале. Они же тоже сроком ограничены.

А с проверками столкнулись многие. ПРОБИЗНЕСБАНК, Петрокоммерц, УРСАбанк уже нагнули за нарушение ФЗ. Есть еще куча никому неизвестных региональных предприятий и даже физлиц (!). Из наших общих знакомых Ригель черех это прошел. В общем работу РКН затеял большую и ведет ее активно.

Ригель комментирует...

Еще нужно сказать, что это универсальный опросник, а специфика менно вашей конторы будет уже на месте учитываться. Например, кого-то 59-ФЗ касается, а кого-то нет.

Quiet Zone комментирует...

2 Ригель

>Журнал учета обращений субъектов - это журнал учета запросов субъектов, а не журнал учета жалоб субъектов.

А я разве где-то успел их перепутать? Тем более, что жаловаться субъект будет в РКН, следовательно и журнал там. Я имел в виду лишь то, что журнал решистрации ОБРАЩЕНИЙ выглядит нелогично, по сравнению с журналом регистрации ОТВЕТОВ. Первичное доказательство всегда у источника активности, то есть факт запроса доказывает субъект, а факт ответа - оператор. Грубо говоря, когда придет РКН с копией запроса субъекта (видимо подтвержденного почтовыми квитанциями?), нам нужно продемонстрировать журнал учета ответов, т.е. исходящих номеров. В связи с этим возникает вопрос, чем не устраивает РКН система документооборота, если с юридической точки зрения она не отличается от бумажного журнала.

Quiet Zone комментирует...

Кстати, еще забыл (что-то я сегодня дублями=))

А не будут ли проверять наличие уведомлений субъектов об обработке их ПДн, в случае, если выяснится, что они получены от третьих лиц? Этого требует ФЗ.

Алексей Лукацкий комментирует...

А никто не говорит, что журнал должен быть бумажным ;-)

Ригель комментирует...

+1. Нужен учет, а не журнал.

Quiet Zone комментирует...

Алексей,
тогда все ОК:) Просто в тексте есть журнал и есть электронный журнал (имеется в виду лог), поэтому я их и разделил.

А в целом ситуация с активностью РКН пугает. Я на 99,9% уверен, что ни один оператор не соблюдает полностью требования закона. Банки и страховые в авангарде, причем если безопасность банков развита неплохо (там и 395-ФЗ, и ЦБ, и PCI DSS), то страховые в ИБ явно проседают, при этом обрабатывают страшное количество ПД, в том числе специальных категорий, в том числе за границей. В общем если сейчас начать громить всех страховщиков, нарушающих ФЗ 152, то страховой бизнес просто перестанет существовать. И я думаю, регулятор это понимает.

Ригель комментирует...

> просто в тексте есть журнал
> и есть электронный журнал

Это два разных учета: есть учет обращений пользователей к ИСПДн, а есть учет обращений субъектов к оператору.

Алексей Лукацкий комментирует...

Quiet Zone: Ну к безопасности все это имеет опосредованное отношение, т.ч. все в одинаковой ситуации находятся. И достаточно найти всего одно нарушение, чтобы попало и страховой и банку ;-)

Ни PCI DSS, ни СТО БР ИББС не требуют все этой мороки с учетом обращений и разработки такого количества бумажек.

Анонимный комментирует...

Вам выпишут предписание устранить. Вы забьете. Вас придут проверить, как устранены недочеты. Вы забили. ... Штраф - до 500000 руб + дисквалификация должностного лица на срок до трех лет. Именно так рекомендует делать методика проверки РКН.

Я тут столкнулся с проверками пожарников. И поболтал с одним. Так вот После невыполнения первого предписания - контролирующий орган не имеет права наказывать, наказывает суд. Куда они и передают материалы. А у суда есть возможность делать предупреждения. Что он и делает. Пожарник пожаловался, что даже при многократных нарушениях суд всеравно предупреждает или выписывает МИНИМАЛЬНЫЙ штраф. То же самое говорили Роскомнадзоровцы на конференции в сентябре, они же ждут изменения законодательства, которое позволит им самим наказывать. Так что 500т это еще бооольшой вопрос.
ZZubra

Алексей Лукацкий комментирует...

Ну никто и не спорит. Просто чтобы не было иллюзий, что речь идет максимально о сотнях рублей штрафа. Потенциально штраф может быть больше. В теории.

На практике до штрафа может дело вообще не дойти ;-)

Quiet Zone комментирует...

2 Ригель

Учет нужен все-таки не любой, а устраивающий контролирующий орган.

> Это два разных учета:
Да какая разница: есть существительное, и есть существительное с прилагательным, они перечисляются через запятую, значит суть - разные вещи.

Алексей,

понятно, но я имел в виду, что как следствие в банках сама служба ИБ развита лучше.

Ригель комментирует...

Для Quiet Zone.
Ты уж определись: либо "не любой", либо "какая разница" - либо крест сними, либо трусы надень.

Алексей Лукацкий комментирует...

QuietZone: Так ты заранее не знаешь, что устроит регулятора, если ты не имеешь с ним связей, что у большинства клиентов не выполняется. Как написал Ригель, регулятор в процессе контроля и надзора самообучается и поэтому то, что его не устраивало раньше, может начать устраивать сейчас (и наоборот).

Quiet Zone комментирует...

2 Ригель

Определился - разницы нет не между учетами, а применительно к правилам перечисления существительных: они обычно не меняются, если в качестве существительного используется слово "учет". Хотя в военное время возможны исключения.

Леш,

именно поэтому, учась на "серьезных и продвинутых примерах", как сказал Ригель, эти самые "примеры" оказывают своего рода медвежью услугу тем, к кому проверятели придут после уже "обученными". Причем ни проверенные, ни проверятели, не смогут передать опыт в том объеме, который поможет избежать грядущих претензий проверятеля в полном объеме. Неудержимая мутация пррверятеля и дрейф его предпочтений делают его визит похожим на игру в русскую рулетку (по крайней мере я сейчас к этому отношусь именно так) - попросят или нет? Спросят или нет? Устроит или нет? Понятно, что любой аудит оперирует выборками, но при проведении дургих аудитов известны "любимые" области, и мы хорошо осознаем и принимаем риски. Здесь же ну совершенно неизвестно куда обратят свое внимание при проверке. Оттого и хочется по максимуму обзавестись очевидно нужными бумажками, избегая создание ненужных.

Алексей Лукацкий комментирует...

Ну в таком новом деле ты "лучших практик" пока не увидишь.

А по максимум список у тебя есть. То, что будут проверять у тебя, узнаешь, когда пришлют уведомление о проверке с ее программой.

Ригель комментирует...

> хочется по максимуму обзавестись
> очевидно нужными бумажками

Попробуй сам справиться - и можно будет вернуться к разговору про быть/казаться.

Анонимный комментирует...

А вообще откуда такие суммы: 500 000 руб?
13.11 - 5000 - 10000 руб..
19.5 - 10 000 - 20000 руб..
Вроде бы так...
По минималке соответственно:
5000 и 10000 руб. А в первый раз всегда именно по минималке...

Quiet Zone комментирует...

> Попробуй сам справиться

Что значит "попробуй"? Придется справиться, не тебе одному солнце светит.

Алексей Лукацкий комментирует...

Анонимному: Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа -

(в ред. Федеральных законов от 20.08.2004 N 114-ФЗ, от 08.05.2006 N 65-ФЗ, от 09.04.2007 N 45-ФЗ)

влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей.

Анонимный комментирует...

Алексей Лукацкий пишет...

...уполномоченного в области экспортного контроля...

Ну это как трактовать..

1. Это предписание должно быть на устранение нарушений в области экспортного контроля, а не ПДн. И в арбитртажном суде это можно будет доказать..

2. Предписание выдается после завершения мероприятия по контролю. Учитывая, что во ФСТЭК очень мало народу работает (Управления только в столицах ФО), когда ещё их плановая проверка до нас доберется... А когда доберется - уже её надо будет согласовывать с прокуратурой в соответствии с новым 294-ФЗ..

Авось пронесет...

Алексей Лукацкий комментирует...

Анонимному:Трактовать можно как угодно, но именно ФСТЭК является уполномоченным органом по экспортному контролю и его предписание имеет определенную силу. Дальше все зависит, конечно, от трактовок.

Ну а по поводу "авось пронесет" я согласен на все 100%. Руки до проверки лицензиатов не всегда доходят, а уж до тех, кто в тени...

Анонимный комментирует...

А как же акт классификации ИСПДн?