Пока я в отпуске, что вам скучать?! Качайте шаблоны документов, которые необходимо разработать по линии персональных данных. Документы в первую очередь закрывают вопросы защиты самих персональных данных (вопросы ФСТЭК), но и про защиту прав субъектов тоже не забывают.
Итак комплект из 48 шаблонов, разработанных Управлением информатизации г.Москвы, и являющихся приложениями к "Методическим рекомендациям органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных". Правда, разработаны они в 2010-м году, но все равно не потеряли своей актуальности.
Но это не все. Еще порядка 100 документов были разработаны Департаментом образования г.Москвы. Основным документом являются "Методические рекомендации для организации защиты информации при обработке персональных данных в государственных образовательных учреждениях города Москвы" на 142 листах. К ним прилагаются 3 инструкции:
Кстати, если вы ищете новые и ранее незапрашиваемые Роскомнадзором документы - "Правила внутреннего контроля" и "Правила работы с обезличенными данными", то по ссылкам вы можете скачать и их. Ну и напоследок - политика в отношении обработки персональных данных.
И теперь у вас не должно быть повода говорить, что вы не знаете, как писать документы, которые запрашивают при проверках регуляторов по вопросам ПДн. Правда, вы должны понимать, что это далеко не все. Помимо разработки самих документов нужно будет провести работы по их адаптации и внедрении в бизнес-процессы организации. При этом очевидно, что никто вас не заставляет внедрить все 100 документов здесь и сейчас. Есть первоочередные документы, есть те, которые нужны во вторую очередь. А есть и вовсе неприоритетные. Но по моему опыту всегда возникает вопрос: "А где взять документы?" Платить миллионы или даже сотни тысяч готовы совсем не все, разбираться самим тоже могут единицы (я с трудом представляю, чтобы журнал учета СЗИ или положение об обработке ПДн составлял какой-нибудь главврач районной поликлиники (ну не медсестре же это поручать) или директор и главбух турагентства в одном лице.
Роскомнадзор на заседании Консультативного совета говорил, что они скоро выложат у себя на сайте и свою позицию по нормам законодательства и, возможно, типовые шаблоны документов, чтобы помочь операторам персданных. Это будет великое дело, которое покажет, что РКН не только готов поднимать штрафы до миллиона и карать невиновных, но и помогать страждущим защитить права субъектов ПДн. А уж если не защитил, то тут и наказание настигнет виноватого. Но пока РКН не выложил ничего на сайт, шаблоны из этого поста будут полезны. Да и в-основном ориентированы они на тему ФСТЭК, а значит сильно хлеб у РКН я не отнял. Да и как можно отнять хлеб у регулятора - они же не продают свои документы...
Итак комплект из 48 шаблонов, разработанных Управлением информатизации г.Москвы, и являющихся приложениями к "Методическим рекомендациям органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных". Правда, разработаны они в 2010-м году, но все равно не потеряли своей актуальности.
Но это не все. Еще порядка 100 документов были разработаны Департаментом образования г.Москвы. Основным документом являются "Методические рекомендации для организации защиты информации при обработке персональных данных в государственных образовательных учреждениях города Москвы" на 142 листах. К ним прилагаются 3 инструкции:
- ПЕРЕЧЕНЬ МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКЕ ДАННЫХ, ПОЗВОЛЯЮЩИХ ИДЕНТИФИЦИРОВАТЬ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ГСУДАРСТВЕННЫХ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ ГОРОДА МОСКВЫ
- ПЕРЕЧЕНЬ МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ НЕАВТОМАТИЗИРОВАННОЙ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ ГОРОДА МОСКВЫ
- ПЕРЕЧЕНЬ МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКЕ ОБЕЗЛИЧЕННЫХ ДАННЫХ.
Кстати, если вы ищете новые и ранее незапрашиваемые Роскомнадзором документы - "Правила внутреннего контроля" и "Правила работы с обезличенными данными", то по ссылкам вы можете скачать и их. Ну и напоследок - политика в отношении обработки персональных данных.
И теперь у вас не должно быть повода говорить, что вы не знаете, как писать документы, которые запрашивают при проверках регуляторов по вопросам ПДн. Правда, вы должны понимать, что это далеко не все. Помимо разработки самих документов нужно будет провести работы по их адаптации и внедрении в бизнес-процессы организации. При этом очевидно, что никто вас не заставляет внедрить все 100 документов здесь и сейчас. Есть первоочередные документы, есть те, которые нужны во вторую очередь. А есть и вовсе неприоритетные. Но по моему опыту всегда возникает вопрос: "А где взять документы?" Платить миллионы или даже сотни тысяч готовы совсем не все, разбираться самим тоже могут единицы (я с трудом представляю, чтобы журнал учета СЗИ или положение об обработке ПДн составлял какой-нибудь главврач районной поликлиники (ну не медсестре же это поручать) или директор и главбух турагентства в одном лице.
Роскомнадзор на заседании Консультативного совета говорил, что они скоро выложат у себя на сайте и свою позицию по нормам законодательства и, возможно, типовые шаблоны документов, чтобы помочь операторам персданных. Это будет великое дело, которое покажет, что РКН не только готов поднимать штрафы до миллиона и карать невиновных, но и помогать страждущим защитить права субъектов ПДн. А уж если не защитил, то тут и наказание настигнет виноватого. Но пока РКН не выложил ничего на сайт, шаблоны из этого поста будут полезны. Да и в-основном ориентированы они на тему ФСТЭК, а значит сильно хлеб у РКН я не отнял. Да и как можно отнять хлеб у регулятора - они же не продают свои документы...
Спасибо Алексей, за большое количество полезных ссылок.
ОтветитьУдалитьИ приятного отпуска!
Спасибо!
ОтветитьУдалитьОтличный набор :)
ссылка "ПЕРЕЧЕНЬ МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКЕ ДАННЫХ, ПОЗВОЛЯЮЩИХ ИДЕНТИФИЦИРОВАТЬ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ГСУДАРСТВЕННЫХ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ ГОРОДА МОСКВЫ" не открывается :(
ОтветитьУдалитьПо названию в Google пробей и все
ОтветитьУдалитьСсылки конечно хороши, но я надеялся там увидеть труды автора... :-( Грустно, что Алексей не верит в способность своих читателей пользоваться гуглом. :-))))
ОтветитьУдалитьДа, ссылочки старые, год назад на них натыкался
ОтветитьУдалить2006, 2010 год, все это старые документы, тем более не учитывающие поправки-2011.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьДелюсь ссылкой на политику, написанную по новым документам. На все вопросы по закону и ПП211 там есть ответ (как вариант). А вот на безопасность можно не обращать внимание. https://ikpbla.blu.livefilestore.com/y1pMTU-zE40zBTr4YNOL0CT7y2cvkepOKJ9xmPM3tAAkIfipqqK6rTdYEhi84R9AmWBHw8Oul1YBj8-gHnnCdHBTg/%2B%D0%9F%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0%20%D1%81%D0%BE%20%D1%81%D1%82%D0%B0%D1%80%D1%8B%D0%BC%D0%B8%20%D1%82%D1%80%D0%B5%D0%B1%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F%D0%BC%D0%B8%20%D0%BF%D0%BE%20%D0%91%D0%9F%D0%94%D0%BD.docx?download&psid=1
ОтветитьУдалитьАлексей, не уверен, что это этично давать ссылку на документы от "департамента образования" - по ссылке прямые линки на, судя по всему, некорректно сконфигурированный веб-сервер (админы не разграничили права). Нормальных ссылок на официальных сайтах на документы нет, да и в инфе указан конкретный разработчик - ЗАО "Практика безопасности". Вы интересовались у разработчика или нынешнего владельца документов, согласны ли они придавать огласке свои документы (шаблоны)?
ОтветитьУдалитьНу и, как говорилось, многие документы устарели, некоторые не в лучшем виде банально... а сам никто не хочет делиться толковыми наработками :(
ZZubra, политика на 70+ страниц только о ПДн - это как-то слишком на мой взгляд, но интересно - надо будет посмотреть, спасибо
Ronin
ОтветитьУдалитьЭто расхожее мнение )))) Так ВНАЧАЛЕ говорят ВСЕ. Но я ставил эксперимент - абсолютно неподготовленный сотрудник в течение 10-15 минут может правильно решить любую проблему по персональным данным пользуясь оглавлением. Плюс к тому же теперь этот документ не Политика, Правила, что подразумевает конкретику выполнения операций. Ну и еще один плюс - прикопаться проверяющим не к чему, ЗА ИСКЛЮЧЕНИЕМ того, что все вопросы/документы сведены в один.
Написано хорошо и много, но..
ОтветитьУдалить1. регистрировал ребенка в детсад через электронную очередь хттп://ec.mosedu.ru
- согласие на обработку не спрашивают;
- перснанные о родителе и ребенке отсылаются на сервер по протоколу HTTP;
- администрация сайта на запросы не отвечает (по электронке правда).
2. Старший сын обязан выполнять тесты на личной страничке на сайте школы и опять... при регистрации согласие на обработку не спросили :)
Не по делу, но прочитала такое
ОтветитьУдалитьРоскомнадзор считает, что судебные приставы по исполнительному производству вправе публиковать фотографии должников без согласия последних, т.к. распространение персональных данных без согласия человека может осуществляться при осуществлении правосудия и исполнения судебных актов.
Банк-клиент.ру
Это правда? Т.е. если я поручитель,а заемщик не выплачивал кредит и был суд. В судебном решении меня обязали выплачивать кредит наравне с заемщиком. ТО все мои данные могут, приставами, свободно размещаться где угодно?
Всё, конечно же, не просмотрел, но то что просмотрел - откровенная глупость. Тупое переписывание положений закона и постановлений. Все документы написканы для РКН, а не для дела. Впрочем, как и должно было бы быть при существующем подходе .... Кроме всего прочего ещё и колоссальный вред стране и её экологии - тонны никому не нужной мукулатуры!
ОтветитьУдалитьМного критики и нет конструктива. кроме ZZubra, кто нить может дать ссылку на более "интересные" документы?
ОтветитьУдалитьСсылочки не плохи, добавим в избранное. :)
ОтветитьУдалитьКоллеги, если вы смотрели документы, то большинство из них относится к епархии ФСТЭК. А тут ничего с 2010-го года не менялось.
ОтветитьУдалитьУ меня не стояла задача дать ссылки тем, кто знает, что и как писать. Задача была дать ссылки тем, кто не знает что и как и этим оправдывает свое ничегонеделание.
Документ "Политика со старыми требованиями по БПДн.docx" от ZZubra не открывается (404), есть у кого? Тем более ZZubra пишет, что он уже по другому называется.
ОтветитьУдалить1. Ничегонеделание в плане выполнения требований 152-ФЗ оправдывать не нужно. Это единственно правильная позиция. Оправдывать нужно "делание", т.к. это есть преступление норм логики и здравого смысла.
ОтветитьУдалить2. Я не встречал ни одного мало-мальски грамотного документа по защите ПДн. Это невозможно по определению. Если кто-то считает, что всё-же разработал именно такой, присылайте. Посмотрим, проанализируем.
3. Документы, в первую очередь, пишутся для РКН, а не для ФСТЭК и ФСБ. ФСБ давно благоразумно отстранилось от одиозного 152-ФЗ. ФСТЭК отстранили. Остался, практически, только РКН. А для них качество не имеет значения и, прежде всего, потому, что они не в состоянии его оценить. Так что главное здесь - количество.
Добрый день, как можно получить шаблоны. petrov_vasya4 на mailе.
ОтветитьУдалитьИ если не затруднит подскажите как правильно учитывать касперского фстек в журнале СЗИ.
т.е. есть сертифицированный медиа пак -1 шт. и установленный на 50 компьютеров.
Спасибо.
Ну если по ссылке их уже нет, то никак наверное
ОтветитьУдалить