Защита персональных данных, ФЗ-152, Проверка РКН, подготовка документов

Marat_1162

Стаж на ФС с 2014 г
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
25/3/16
Сообщения
4.649
Репутация
9.166
Реакции
22.734
RUB
0
Депозит
3 500 рублей
Сделок через гаранта
4
Всем привет! Основываясь на опыте, хотел бы поделиться поэтапным планом подготовки документов и других вещей, в случае если ваша организация попала в список РКН по защите персональных данных. Сразу оговорюсь - это не эталонный план, в каждой организации всё индивидуально. ФЗ-152 не единственный документ который описывает защиту персональных данных, есть и Постановления Правительства (далее – ПП), Приказы ФСТЭК, ФСБ итд.

У РКН есть несколько видов проверок:
  • Плановая (вас предупредят заблаговременно, за трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки)
  • Внеплановая (если поступила жалоба на вашу организацию по утечке ПДн, или же несоблюдение требований)
  • Документарная (РКН отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку)
  • Выездная (РКН сами едут к вам)
Сразу хочу заметить, что подготовку к проверке лучше начинать за 8-10 месяцев (всё зависит от того, какая у вас организация, численность сотрудников, какие и сколько ИСПДн) как говорится – не спеша. Можно не париться и обратиться в специализированную организацию, которая за короткий срок проведет аудит, подготовит все документы, и скажет Вам, что проверка пройдет на Ура. В Москве цена таких услуг 100к-300к рублей. Это не наш вариант, мы всё сделаем сами и бесплатно.

Итак поехали.

1. Заходим на сайт РКН и смотрим документ: «План проверок за 202* год».
Если нашей организации там нет, значит можно не торопясь сделать все документы и не переживать о проверке (исключение – внеплановая проверка). Если наша организация есть, то незамедлительно приступаем к разработке организационных и технических мер.

2. Проверяем свою организацию в реестре операторов РКН, если есть, смотрим устаревшие данные, направляем уведомление в РКН с исправлениями. Если нету, быстро его создаем и отправляем в РКН.

Открываем ФЗ 152 ст 18.1 и 19 и начинаем его прорабатывать.

2. Создаем комиссию. Готовим приказ о создании комиссии и пишем: Сформировать комиссию по оценке деятельности (ООО) Рога и Копыта в соответствии с требованиями законодательства Российской Федерации в области персональных данных (далее – комиссия) в составе… итд. Типовых бланков приказов в сети много.

3. Делаем приказ о назначении ответственных лиц (примеры приказа в сети).

4. Далее проводим обследование ИСПДн какие у нас есть. Определения и понятия ИСПДн есть в ФЗ-152. Составляем акт обследования ИСПДн.
В акт входят пункты (по каждой ИСПДн отдельно):
  • Состав и структура объектов защиты
  • Конфигурация и структура информационной системы
  • Режим обработки персональных данных
  • Перечень лиц, участвующих в обработке персональных данных
  • Права доступа лиц, допущенных к обработке персональных данных
  • Существующие меры защиты персональных данных
  • Список необходимых мер защиты персональных данных
5. Разрабатываем Модель угроз на каждую ИСПДн. МУ можно делать по базовой модели угроз ФСТЭК или же открыть БДУ ФСТЭК и пройтись по каждой угрозе отдельно. МУ можно делать какую душе угодно, на согласование в ФСТЭК её отправлять не нужно (это если у вас не ГИС). Так же сталкивался с еще одной разновидностью МУ - Отраслевая модель угроз. По мне так тоже ничего.

6. Далее по ПП 1119 определяем УЗ для каждой ИСПДн. Определили, составили акт (пример акта в сети). Для каждого УЗ в ПП определен ряд требований, который нужно соблюсти.

В ФЗ-152 указано, что все средства защиты должны пройти процедуру оценки соответствия. Лично моё мнение, что речь идет про сертификацию ТС, кому интересно можете почитать ФЗ-184, там есть несколько процедур оценки соответствия.

Если вы задаётесь таким вопросом, нужно ли вам сертифицированное ПО или нет, то прочитайте внимательно ПП 1119. В ПП 1119 есть пункт : "использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз". Если у вас нет угроз для нейтрализации которых нужны такие средства тогда данный пункт можно обойти. МУ и угрозы мы выбираем сами.


6. По 21 приказу ФСТЭК делаем ТЗ и ТП по обеспечению безопасности персональных данных. Подбираем технические средства для ИСПДн согласно их УЗ, в 21 приказе всё доходчиво расписано. Оформляем закупочную ведомость и отдаем на согласование руководству.

Этот пункт по сути самый долгий. На разработку ТЗ уйдет не так много времени, а вот с ТП придется посидеть. И после всего этого, убедить руководство закупить ТС, согласовать цену, связаться с поставщиками, оформить договор на закупку итд. После получения ТС, установить его и настроить.

Единственный плюс в том, что РКН не компетентен в вопросах технической защиты, тем более основанных на приказах ФСТЭК. Однако основываясь на ФЗ 152 ст. 19 ч.1 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. При желании РКН может запросить документы или подтверждение реализуемых технических мер. Проверяющие разные бывают, запросят доки, вы им откажете, мол типа это не в вашей компетенции проверять ТЗ и ТП на мою систему защиту, они пойдут на принцип и пошлют весточку в местный ФСТЭК. А те возьмут и придут с проверкой неожиданно. Я не спорю, можно рассчитывать на авось, что ничего такого не будет, это всё паранойя итд. Но лично считаю, что подстраховаться стоит. Подготовить доки, всё оформить. внедрить средства защиты, а вот после это всего гнуть свою линию, что РКН не компетентен и вообще пусть не лезут куда не надо.

7. Далее переходим к 378 приказу ФСБ. Если не хотите связываться с СКЗИ, то исключите угрозу нарушения конфиденциальности из актуальных угроз и вам не понадобится применение СКЗИ. МУ мы же делаем сами какую захотим, и актуальные угрозы выбираем сами. Единственное что придется выполнять из 378 это организационные меры которые разъясняют ПП 1119. Но и тут можно всё свести к минимуму. Ставим неактуальными угрозы 1 и 2 типа и подгоняем под 3-4 УЗ.
Также если используется криптография делаем приказ об обеспечении выполнения требований по использованию и обслуживанию СКЗИ в ИСПДн, назначаем ответственного сотрудника, обычно это администратор ИБ, и готовим положение о работе с СКЗИ. Если СКЗИ. например "КриптоПро CSP" используется на предприятии, для формирования ЭЦП, проверке ЭЦП и/или шифрования своей входящей и исходящей корреспонденции, то предприятию никакие лицензии ФСБ не нужны.
Но если предприятие предоставляет услугу по передаче шифрованной корреспонденции (получил от одной организации и передал другой) то нужна лицензия ФСБ на услуги в области шифрования.

8. Делаем приказ об утверждении перечня документов по защите персональных данных. Лично у меня перечень состоит из 20-25 документов. Все инструкции, положение по обработке и защите персональных данных, перечни сотрудников, порядок доступа в помещения, технические паспорта ИСПДн итд.
Опубликовываем на сайте положение по обработке ПД согласно ФЗ-152 ст. 18.1 ч.2
Готовим журналы по персональным данным, примеры есть в сети (Журнал учета СЗИ, Журнал поэкземплярного учета криптосредств, Журнал проведения инструктажа по информационной безопасности итд.)
Проводим учет машинных носителей ПД, заносим в журнал. Все машины должны быть опечатаны, жесткие диски пронумерованы.
Аналогично со съемными носителями.
Не забываем про 687 ПП. Документ не большой и понятный.

9. На посту охраны, ведется ли сбор ПД, журналы, СКУД итд.

10. Ознакомление сотрудников с документами под роспись.

11. Перед проверкой проходим по кабинетам смотрим, где находятся перс. данные сотрудников и клиентов, как хранятся итд. Все должно быть в шкафах, сейфах итд. На всякий случай делаем памятку для сотрудников по ПД (выжимку из инструкции пользователя). Заходим в кадры смотрим где лежат трудовые книжки и личные дела сотрудников.

12. Молимся :)

Все акты, приказы, документы подписываются комиссией и руководителем организации.

Подводим итоги, мы имеем краткий план по реализации требований при проверке РКН. Он не эталонный, для каждой организации имеются свои нюансы. Типовой пример таких нюансов, с которым я сталкивался – СКУД с фото и без. Без фото это одна ИСПДн с одним УЗ, с фото это уже биометрия, т.е. выше УЗ, а значит и требования к защите.
За неисполнения требований по защите персональных данных предусмотрен не маленький штраф, поэтому, неважно в списке РКН ваша организация или нет, отнестись к этому вопросу нужно серьезно. Если начинать с нуля, то работы много, поэтому лучше не стоит откладывать на потом.
 
Сверху Снизу