30.7.12

Хотите 100 шаблонов документов по ПДн? Их есть у меня!

Пока я в отпуске, что вам скучать?! Качайте шаблоны документов, которые необходимо разработать по линии персональных данных. Документы в первую очередь закрывают вопросы защиты самих персональных данных (вопросы ФСТЭК), но и про защиту прав субъектов тоже не забывают.

Итак комплект из 48 шаблонов, разработанных Управлением информатизации г.Москвы, и являющихся приложениями к "Методическим рекомендациям органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных". Правда, разработаны они в 2010-м году, но все равно не потеряли своей актуальности.

Но это не все. Еще порядка 100 документов были разработаны Департаментом образования г.Москвы. Основным документом являются "Методические рекомендации для организации защиты информации при обработке персональных данных в государственных образовательных учреждениях города Москвы" на 142 листах. К ним прилагаются 3 инструкции:
А еще куча шаблонов - акты классификации, ответы на запросы субъектов и формы самих запросов, инструкции, положения, журналы учета, приказы и т.д.

Кстати, если вы ищете новые и ранее незапрашиваемые Роскомнадзором документы - "Правила внутреннего контроля" и "Правила работы с обезличенными данными", то по ссылкам вы можете скачать и их. Ну и напоследок - политика в отношении обработки персональных данных.

И теперь у вас не должно быть повода говорить, что вы не знаете, как писать документы, которые запрашивают при проверках регуляторов по вопросам ПДн. Правда, вы должны понимать, что это далеко не все. Помимо разработки самих документов нужно будет провести работы по их адаптации и внедрении в бизнес-процессы организации. При этом очевидно, что никто вас не заставляет внедрить все 100 документов здесь и сейчас. Есть первоочередные документы, есть те, которые нужны во вторую очередь. А есть и вовсе неприоритетные. Но по моему опыту всегда возникает вопрос: "А где взять документы?" Платить миллионы или даже сотни тысяч готовы совсем не все, разбираться самим тоже могут единицы (я с трудом представляю, чтобы журнал учета СЗИ или положение об обработке ПДн составлял какой-нибудь главврач районной поликлиники (ну не медсестре же это поручать) или директор и главбух турагентства в одном лице.

Роскомнадзор на заседании Консультативного совета говорил, что они скоро выложат у себя на сайте и свою позицию по нормам законодательства и, возможно, типовые шаблоны документов, чтобы помочь операторам персданных. Это будет великое дело, которое покажет, что РКН не только готов поднимать штрафы до миллиона и карать невиновных, но и помогать страждущим защитить права субъектов ПДн. А уж если не защитил, то тут и наказание настигнет виноватого. Но пока РКН не выложил ничего на сайт, шаблоны из этого поста будут полезны. Да и в-основном ориентированы они на тему ФСТЭК, а значит сильно хлеб у РКН я не отнял. Да и как можно отнять хлеб у регулятора - они же не продают свои документы...

21 коммент.:

Александр комментирует...

Спасибо Алексей, за большое количество полезных ссылок.
И приятного отпуска!

Unknown комментирует...

Спасибо!
Отличный набор :)

SitNoff комментирует...

ссылка "ПЕРЕЧЕНЬ МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКЕ ДАННЫХ, ПОЗВОЛЯЮЩИХ ИДЕНТИФИЦИРОВАТЬ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ГСУДАРСТВЕННЫХ ОБРАЗОВАТЕЛЬНЫХ УЧРЕЖДЕНИЯХ ГОРОДА МОСКВЫ" не открывается :(

Алексей Лукацкий комментирует...

По названию в Google пробей и все

Алексей Т. комментирует...

Ссылки конечно хороши, но я надеялся там увидеть труды автора... :-( Грустно, что Алексей не верит в способность своих читателей пользоваться гуглом. :-))))

Unknown комментирует...

Да, ссылочки старые, год назад на них натыкался

Алексей Т. комментирует...

2006, 2010 год, все это старые документы, тем более не учитывающие поправки-2011.

ZZubra комментирует...
Этот комментарий был удален автором.
ZZubra комментирует...

Делюсь ссылкой на политику, написанную по новым документам. На все вопросы по закону и ПП211 там есть ответ (как вариант). А вот на безопасность можно не обращать внимание. https://ikpbla.blu.livefilestore.com/y1pMTU-zE40zBTr4YNOL0CT7y2cvkepOKJ9xmPM3tAAkIfipqqK6rTdYEhi84R9AmWBHw8Oul1YBj8-gHnnCdHBTg/%2B%D0%9F%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0%20%D1%81%D0%BE%20%D1%81%D1%82%D0%B0%D1%80%D1%8B%D0%BC%D0%B8%20%D1%82%D1%80%D0%B5%D0%B1%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F%D0%BC%D0%B8%20%D0%BF%D0%BE%20%D0%91%D0%9F%D0%94%D0%BD.docx?download&psid=1

Ronin комментирует...

Алексей, не уверен, что это этично давать ссылку на документы от "департамента образования" - по ссылке прямые линки на, судя по всему, некорректно сконфигурированный веб-сервер (админы не разграничили права). Нормальных ссылок на официальных сайтах на документы нет, да и в инфе указан конкретный разработчик - ЗАО "Практика безопасности". Вы интересовались у разработчика или нынешнего владельца документов, согласны ли они придавать огласке свои документы (шаблоны)?
Ну и, как говорилось, многие документы устарели, некоторые не в лучшем виде банально... а сам никто не хочет делиться толковыми наработками :(
ZZubra, политика на 70+ страниц только о ПДн - это как-то слишком на мой взгляд, но интересно - надо будет посмотреть, спасибо

ZZubra комментирует...

Ronin
Это расхожее мнение )))) Так ВНАЧАЛЕ говорят ВСЕ. Но я ставил эксперимент - абсолютно неподготовленный сотрудник в течение 10-15 минут может правильно решить любую проблему по персональным данным пользуясь оглавлением. Плюс к тому же теперь этот документ не Политика, Правила, что подразумевает конкретику выполнения операций. Ну и еще один плюс - прикопаться проверяющим не к чему, ЗА ИСКЛЮЧЕНИЕМ того, что все вопросы/документы сведены в один.

Анонимный комментирует...

Написано хорошо и много, но..
1. регистрировал ребенка в детсад через электронную очередь хттп://ec.mosedu.ru
- согласие на обработку не спрашивают;
- перснанные о родителе и ребенке отсылаются на сервер по протоколу HTTP;
- администрация сайта на запросы не отвечает (по электронке правда).
2. Старший сын обязан выполнять тесты на личной страничке на сайте школы и опять... при регистрации согласие на обработку не спросили :)

Olga Aleksandrovna комментирует...

Не по делу, но прочитала такое

Роскомнадзор считает, что судебные приставы по исполнительному производству вправе публиковать фотографии должников без согласия последних, т.к. распространение персональных данных без согласия человека может осуществляться при осуществлении правосудия и исполнения судебных актов.
Банк-клиент.ру

Это правда? Т.е. если я поручитель,а заемщик не выплачивал кредит и был суд. В судебном решении меня обязали выплачивать кредит наравне с заемщиком. ТО все мои данные могут, приставами, свободно размещаться где угодно?

Атаманов Г. А. комментирует...

Всё, конечно же, не просмотрел, но то что просмотрел - откровенная глупость. Тупое переписывание положений закона и постановлений. Все документы написканы для РКН, а не для дела. Впрочем, как и должно было бы быть при существующем подходе .... Кроме всего прочего ещё и колоссальный вред стране и её экологии - тонны никому не нужной мукулатуры!

Понаехавший комментирует...

Много критики и нет конструктива. кроме ZZubra, кто нить может дать ссылку на более "интересные" документы?

Unknown комментирует...

Ссылочки не плохи, добавим в избранное. :)

Алексей Лукацкий комментирует...

Коллеги, если вы смотрели документы, то большинство из них относится к епархии ФСТЭК. А тут ничего с 2010-го года не менялось.

У меня не стояла задача дать ссылки тем, кто знает, что и как писать. Задача была дать ссылки тем, кто не знает что и как и этим оправдывает свое ничегонеделание.

Zuz комментирует...

Документ "Политика со старыми требованиями по БПДн.docx" от ZZubra не открывается (404), есть у кого? Тем более ZZubra пишет, что он уже по другому называется.

Атаманов Г. А. комментирует...

1. Ничегонеделание в плане выполнения требований 152-ФЗ оправдывать не нужно. Это единственно правильная позиция. Оправдывать нужно "делание", т.к. это есть преступление норм логики и здравого смысла.
2. Я не встречал ни одного мало-мальски грамотного документа по защите ПДн. Это невозможно по определению. Если кто-то считает, что всё-же разработал именно такой, присылайте. Посмотрим, проанализируем.
3. Документы, в первую очередь, пишутся для РКН, а не для ФСТЭК и ФСБ. ФСБ давно благоразумно отстранилось от одиозного 152-ФЗ. ФСТЭК отстранили. Остался, практически, только РКН. А для них качество не имеет значения и, прежде всего, потому, что они не в состоянии его оценить. Так что главное здесь - количество.

Unknown комментирует...

Добрый день, как можно получить шаблоны. petrov_vasya4 на mailе.
И если не затруднит подскажите как правильно учитывать касперского фстек в журнале СЗИ.
т.е. есть сертифицированный медиа пак -1 шт. и установленный на 50 компьютеров.
Спасибо.

Алексей Лукацкий комментирует...

Ну если по ссылке их уже нет, то никак наверное