Предприятие, на котором я работаю, осуществляет передачу персональных данных по сети Интернет в налоговую, банки и пенсионный. Средства криптозащиты для осуществления передачи выдаются этими организациями - либо дают софт, либо присылают людей для установки. Вопрос: нужно ли, при отправке Уведомления в Роскомнадзор об обработке ПДн, указывать, что используются средства шифрования, в этом конкретном случае. И если да, то необходимо ли указывать: - уровень криптографической защиты персональных данных: ХХХ (КС1, КС2, КС3, КВ1, КВ2, КА1); - уровень специальной защиты от утечки по каналам побочных излучений и наводок: ХХ (КС, КВ, КА); - уровень защиты от несанкционированного доступа: ХХХ (АК1, АК2, АК3, АК4, АК5, АК6). Ну уровень криптозащиты я ещё могу найти в сертификате, а остальное вообще непонятно где брать и при чём тут ПЭМИН, если это просто софт.
Эксперт НПО "ОнЛайн Защита"28.03.2013 14:00
Информацию об используемых средствах криптографической защиты необходимо обязательно указывать, при заполнении уведомления в Роскомнадзор, так как они являются средствами защиты информации. Как вы правильно указали, к названию самой системы необходимо добавить уровень криптографической защиты персональных данных. Остальные характеристики, в случае если они не указаны в сертификате на СЗИ, указывать не обязательно.
Информацию об используемых средствах криптографической защиты необходимо обязательно указывать, при заполнении уведомления в Роскомнадзор, так как они являются средствами защиты информации. Как вы правильно указали, к названию самой системы необходимо добавить уровень криптографической защиты персональных данных. Остальные характеристики, в случае если они не указаны в сертификате на СЗИ, указывать не обязательно.
Мы выполнили все работы по обеспечению безопасности персональных данных в середине 2011 года. Подскажите необходимо ли нам сегодня вносить изменения в документацию или технические средства, так как слышали, что были какие то изменения в законодательстве?
Эксперт НПО "ОнЛайн Защита"21.03.2013 12:21
Действительно, в связи с вступлением в силу Положения № 1119 от 01.11.2012 г. утратило силу Положение № 781 от 17.11.2007 г. регламентирующее порядок защиты персональных данных при автоматизированной обработке. Однако на данный момент нет документов, раскрывающих порядок отнесения информационных систем к той или иной категории защищенности, из которых и следует перечень мер защиты. Данные документы должны появиться во втором квартале 2013 г., после чего придется существенно дорабатывать/перерабатывать организационно-распорядительную документацию, как минимум:
- акты классификации;
- частные модели угроз;
- техническое задание на построение системы защиты персональных данных;
- технический проект внедрения системы защиты персональных данных.
Действительно, в связи с вступлением в силу Положения № 1119 от 01.11.2012 г. утратило силу Положение № 781 от 17.11.2007 г. регламентирующее порядок защиты персональных данных при автоматизированной обработке. Однако на данный момент нет документов, раскрывающих порядок отнесения информационных систем к той или иной категории защищенности, из которых и следует перечень мер защиты. Данные документы должны появиться во втором квартале 2013 г., после чего придется существенно дорабатывать/перерабатывать организационно-распорядительную документацию, как минимум:
- акты классификации;
- частные модели угроз;
- техническое задание на построение системы защиты персональных данных;
- технический проект внедрения системы защиты персональных данных.
Подскажите, если в договорах с клиентами прописать пункт о том что их персональные данные будут общедоступными и не будут защищаться, есть ли тогда необходимость предпринимать еще какие-либо действия?
Эксперт НПО "ОнЛайн Защита"09.10.2012 15:53
Марина,
Исходя из практики можно сказать, что включение подобного пункта в договор рассматривается Роскомнадзором как ущемление прав субъекта персональных данных, что влечет за собой инициацию проверки со стороны прокуратуры, которая чаще всего приводит к наложению штрафа на юридическое лицо.
Марина,
Исходя из практики можно сказать, что включение подобного пункта в договор рассматривается Роскомнадзором как ущемление прав субъекта персональных данных, что влечет за собой инициацию проверки со стороны прокуратуры, которая чаще всего приводит к наложению штрафа на юридическое лицо.
Подскажите, информация об учредителях организации их паспортные данные являются персональными данными? Если да, то учредительные документы тоже будут являтся персональными данными?
В данном случае надо понимать, что данные об учредителях организации являются открытыми данными и подлежат опубликованию в открытых источниках, согласно законодательству РФ, поэтому в данном случае они будут являтся персональными данными, но будут относиться к 4 категории, которая подлежит защите только по решению самого оператора.
Здравствуйте. Для защиты перс. данных у нас используется сертифицированный антивирус, SecretNet, VipNet, разработан комплект документов. Используется 1С 8.2. Является ли необходимым условием использование 1С 8.2Z для соответствия ФЗ152? Класс ИСПДн К2. Спасибо.
Николай,
необходимость использования того или иного средства защиты определяется только на основании модели угроз. То есть на основании выявленных актуальных угроз безопасности.
В вашем случае наличие SecretNet дает основания полагать, что использование 1С 8.2z не является необходимым условием для соответствия ФЗ 152.
необходимость использования того или иного средства защиты определяется только на основании модели угроз. То есть на основании выявленных актуальных угроз безопасности.
В вашем случае наличие SecretNet дает основания полагать, что использование 1С 8.2z не является необходимым условием для соответствия ФЗ 152.
Подскажите, подавать уведомление в Роскомнадзор необходимо всем организациям?
Евгений,
В настоящий момент позиция регулятор такова - уведомление в Роскомнадзор необходимо подавать всем организациям, так как, во всех организациях ведется как минимум кадровый учет, в рамках которого, как правило, идет сбор данных не только о работнике, но и о его ближайших родственниках.
Даже в случае обработки персональных данных на бумажных носителях в большинстве случаев подача уведомления - обязательна.
За дополнительной консультацией по вашему конкретному случаю вы всегда можете обратиться к нам по телефону +7 843 5 620-630, либо написать электронное письмо на адрес This email address is being protected from spambots. You need JavaScript enabled to view it.
В настоящий момент позиция регулятор такова - уведомление в Роскомнадзор необходимо подавать всем организациям, так как, во всех организациях ведется как минимум кадровый учет, в рамках которого, как правило, идет сбор данных не только о работнике, но и о его ближайших родственниках.
Даже в случае обработки персональных данных на бумажных носителях в большинстве случаев подача уведомления - обязательна.
За дополнительной консультацией по вашему конкретному случаю вы всегда можете обратиться к нам по телефону +7 843 5 620-630, либо написать электронное письмо на адрес This email address is being protected from spambots. You need JavaScript enabled to view it.
Можно ли прислать на мою электронную почту текст О.П. Осиповой о разработке документации по защите персональных данных в образовательном учреждении?
Инна,
К сожалению, у нас нет данной документации. Попробуйте поискать в Интернете. Но, мы советуем не пользоваться типовыми документами, так как для каждой организации требуется индивидуальный подход и свой комплект документации.
Обеспечение безопасности надежнее осуществлять в соответствии с законом "О персональных данных" и соответствующими нормативными документами Роскомнадзора, ФСТЭК и ФСБ России.
Если у вас возникнут доплонительные вопросы или потребуется комментарии, мы всегда будем рады помочь вам, обращайтесь.
К сожалению, у нас нет данной документации. Попробуйте поискать в Интернете. Но, мы советуем не пользоваться типовыми документами, так как для каждой организации требуется индивидуальный подход и свой комплект документации.
Обеспечение безопасности надежнее осуществлять в соответствии с законом "О персональных данных" и соответствующими нормативными документами Роскомнадзора, ФСТЭК и ФСБ России.
Если у вас возникнут доплонительные вопросы или потребуется комментарии, мы всегда будем рады помочь вам, обращайтесь.
Когда закон окончательно вступит в силу?
Дмитрий,
Если вы имеете ввиду ФЗ № 152 "О персональных данных", то в части подачи уведомления об обработке персональных данных и утверждению в организации организационно-распорядительной документации закон уже вступил в силу и регуляторами проводятся плановые и внеплановые проверки.
С точки зрения внедрения технических средств защиты, то если ваша информационная система обработки персональных данных была внедрена и обрабатывала персональные данные до 27 января 2007 г., то ее необходимо привести в соответствие до 1 июля 2011 г.
В случае если информационная система внедрялась после 27 января 2007 г., то она уже должна быть приведена в соответствие с требованиями действующих нормативных актов в области обеспечения безопасности персональных данных.
Если вы имеете ввиду ФЗ № 152 "О персональных данных", то в части подачи уведомления об обработке персональных данных и утверждению в организации организационно-распорядительной документации закон уже вступил в силу и регуляторами проводятся плановые и внеплановые проверки.
С точки зрения внедрения технических средств защиты, то если ваша информационная система обработки персональных данных была внедрена и обрабатывала персональные данные до 27 января 2007 г., то ее необходимо привести в соответствие до 1 июля 2011 г.
В случае если информационная система внедрялась после 27 января 2007 г., то она уже должна быть приведена в соответствие с требованиями действующих нормативных актов в области обеспечения безопасности персональных данных.
Какая ответственность грозит за несоблюдения законодательства?
Елена,
за несоблюдения законодательства в области защиты персональных данных предусмотрена гражданская, уголовная, административная ответственность по следующим статьям:
КоАП РФ. Статья 13.11. Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом;
КоАП РФ. Статья 5.39. Отказ в предоставлении гражданину информации;
УК РФ. Статья 137. Нарушение неприкосновенности частной жизни;
УК РФ. Статья 140. Отказ в предоставлении гражданину информации;
УК РФ. Статья 272. Неправомерный доступ к компьютерной информации.
регуляторами деятельности в сфере обработки персональных данных являются:
за несоблюдения законодательства в области защиты персональных данных предусмотрена гражданская, уголовная, административная ответственность по следующим статьям:
КоАП РФ. Статья 13.11. Нарушение установленного законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом;
КоАП РФ. Статья 5.39. Отказ в предоставлении гражданину информации;
УК РФ. Статья 137. Нарушение неприкосновенности частной жизни;
УК РФ. Статья 140. Отказ в предоставлении гражданину информации;
УК РФ. Статья 272. Неправомерный доступ к компьютерной информации.
регуляторами деятельности в сфере обработки персональных данных являются:
- Роскомнадзор
- ФСТЭК
- ФСБ
Здравствуйте, подскажите какие документы необходимы, если к нам придет проверка РОСКОМНАДЗОРа?
Константин,
исходя из опыта проверок, которые уже проводил Роскомнадзор можно выделить следующий пакет документов:
1. учредительные документы Оператора;
2. копия уведомления об обработке персональных данных;
3. положение о порядке обработки персональных данных;
4. положение о подразделении, осуществляющем функции по организации защиты персональных данных;
5. должностные регламенты лиц, имеющих доступ к персональным данным;
6. план мероприятий по защите персональных данных;
7. план внутренних проверок состояния защиты персональных данных;
8. приказ о назначении ответственных лиц по работе с персональными данными;
9. типовые формы документов, предполагающие или допускающие содержание персональных данных;
10. журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
11. договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
12. приказы об утверждении мест хранения материальных носителей персональных данных;
13. письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
14. распечатки электронных шаблонов полей, содержащие персональные данные; справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
15. заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
16. приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
17. журналы (книги) учета обращений граждан (субъектов персональных данных);
18. акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
Но нужно иметь ввиду, что это далеко не исчерпывающий список документов, которые необходимо утвердить в организации в рамках приведения организационно-распорядительной документации в соответствие с действущим законодательством в области защиты персональных данных и Роскомнадзор имеет право запросить и дополнительные документы, не входящие в данный список, но отражающие исполнение Оператором требований законодательства Российской Федерации в области защиты персональных данных.
исходя из опыта проверок, которые уже проводил Роскомнадзор можно выделить следующий пакет документов:
1. учредительные документы Оператора;
2. копия уведомления об обработке персональных данных;
3. положение о порядке обработки персональных данных;
4. положение о подразделении, осуществляющем функции по организации защиты персональных данных;
5. должностные регламенты лиц, имеющих доступ к персональным данным;
6. план мероприятий по защите персональных данных;
7. план внутренних проверок состояния защиты персональных данных;
8. приказ о назначении ответственных лиц по работе с персональными данными;
9. типовые формы документов, предполагающие или допускающие содержание персональных данных;
10. журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
11. договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
12. приказы об утверждении мест хранения материальных носителей персональных данных;
13. письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
14. распечатки электронных шаблонов полей, содержащие персональные данные; справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
15. заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
16. приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
17. журналы (книги) учета обращений граждан (субъектов персональных данных);
18. акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
Но нужно иметь ввиду, что это далеко не исчерпывающий список документов, которые необходимо утвердить в организации в рамках приведения организационно-распорядительной документации в соответствие с действущим законодательством в области защиты персональных данных и Роскомнадзор имеет право запросить и дополнительные документы, не входящие в данный список, но отражающие исполнение Оператором требований законодательства Российской Федерации в области защиты персональных данных.
Подскажите пожалуйста сколько стоят ваши услуги по приведению систем в соответствии с законом о персональных данных?
Алексей,
Стоимость работ зависит от характеристик Вашей информационной системы. Для того, чтобы мы смогли выставить вам коммерческое предложение на услуги по защите персональных данных просьба заполнить и выслать нам анкету на электронный ящик This email address is being protected from spambots. You need JavaScript enabled to view it. .
Кстати, в ближайшее время мы планируем запустить он-лайн анкету на нашем сайте, которая ускорит и упростит данный процесс.
Стоимость работ зависит от характеристик Вашей информационной системы. Для того, чтобы мы смогли выставить вам коммерческое предложение на услуги по защите персональных данных просьба заполнить и выслать нам анкету на электронный ящик This email address is being protected from spambots. You need JavaScript enabled to view it. .
Кстати, в ближайшее время мы планируем запустить он-лайн анкету на нашем сайте, которая ускорит и упростит данный процесс.