Всем привет! Основываясь на опыте, хотел бы поделиться поэтапным планом подготовки документов и других вещей, в случае если ваша организация попала в список РКН по защите персональных данных. Сразу оговорюсь - это не эталонный план, в каждой организации всё индивидуально. ФЗ-152 не единственный документ который описывает защиту персональных данных, есть и Постановления Правительства (далее – ПП), Приказы ФСТЭК, ФСБ итд.
У РКН есть несколько видов проверок:
Итак поехали.
1. Заходим на сайт РКН и смотрим документ: «План проверок за 202* год».
Если нашей организации там нет, значит можно не торопясь сделать все документы и не переживать о проверке (исключение – внеплановая проверка). Если наша организация есть, то незамедлительно приступаем к разработке организационных и технических мер.
2. Проверяем свою организацию в реестре операторов РКН, если есть, смотрим устаревшие данные, направляем уведомление в РКН с исправлениями. Если нету, быстро его создаем и отправляем в РКН.
Открываем ФЗ 152 ст 18.1 и 19 и начинаем его прорабатывать.
2. Создаем комиссию. Готовим приказ о создании комиссии и пишем: Сформировать комиссию по оценке деятельности (ООО) Рога и Копыта в соответствии с требованиями законодательства Российской Федерации в области персональных данных (далее – комиссия) в составе… итд. Типовых бланков приказов в сети много.
3. Делаем приказ о назначении ответственных лиц (примеры приказа в сети).
4. Далее проводим обследование ИСПДн какие у нас есть. Определения и понятия ИСПДн есть в ФЗ-152. Составляем акт обследования ИСПДн.
В акт входят пункты (по каждой ИСПДн отдельно):
6. Далее по ПП 1119 определяем УЗ для каждой ИСПДн. Определили, составили акт (пример акта в сети). Для каждого УЗ в ПП определен ряд требований, который нужно соблюсти.
В ФЗ-152 указано, что все средства защиты должны пройти процедуру оценки соответствия. Лично моё мнение, что речь идет про сертификацию ТС, кому интересно можете почитать ФЗ-184, там есть несколько процедур оценки соответствия.
Если вы задаётесь таким вопросом, нужно ли вам сертифицированное ПО или нет, то прочитайте внимательно ПП 1119. В ПП 1119 есть пункт : "использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз". Если у вас нет угроз для нейтрализации которых нужны такие средства тогда данный пункт можно обойти. МУ и угрозы мы выбираем сами.
6. По 21 приказу ФСТЭК делаем ТЗ и ТП по обеспечению безопасности персональных данных. Подбираем технические средства для ИСПДн согласно их УЗ, в 21 приказе всё доходчиво расписано. Оформляем закупочную ведомость и отдаем на согласование руководству.
Этот пункт по сути самый долгий. На разработку ТЗ уйдет не так много времени, а вот с ТП придется посидеть. И после всего этого, убедить руководство закупить ТС, согласовать цену, связаться с поставщиками, оформить договор на закупку итд. После получения ТС, установить его и настроить.
Единственный плюс в том, что РКН не компетентен в вопросах технической защиты, тем более основанных на приказах ФСТЭК. Однако основываясь на ФЗ 152 ст. 19 ч.1 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. При желании РКН может запросить документы или подтверждение реализуемых технических мер. Проверяющие разные бывают, запросят доки, вы им откажете, мол типа это не в вашей компетенции проверять ТЗ и ТП на мою систему защиту, они пойдут на принцип и пошлют весточку в местный ФСТЭК. А те возьмут и придут с проверкой неожиданно. Я не спорю, можно рассчитывать на авось, что ничего такого не будет, это всё паранойя итд. Но лично считаю, что подстраховаться стоит. Подготовить доки, всё оформить. внедрить средства защиты, а вот после это всего гнуть свою линию, что РКН не компетентен и вообще пусть не лезут куда не надо.
7. Далее переходим к 378 приказу ФСБ. Если не хотите связываться с СКЗИ, то исключите угрозу нарушения конфиденциальности из актуальных угроз и вам не понадобится применение СКЗИ. МУ мы же делаем сами какую захотим, и актуальные угрозы выбираем сами. Единственное что придется выполнять из 378 это организационные меры которые разъясняют ПП 1119. Но и тут можно всё свести к минимуму. Ставим неактуальными угрозы 1 и 2 типа и подгоняем под 3-4 УЗ.
Также если используется криптография делаем приказ об обеспечении выполнения требований по использованию и обслуживанию СКЗИ в ИСПДн, назначаем ответственного сотрудника, обычно это администратор ИБ, и готовим положение о работе с СКЗИ. Если СКЗИ. например "КриптоПро CSP" используется на предприятии, для формирования ЭЦП, проверке ЭЦП и/или шифрования своей входящей и исходящей корреспонденции, то предприятию никакие лицензии ФСБ не нужны.
Но если предприятие предоставляет услугу по передаче шифрованной корреспонденции (получил от одной организации и передал другой) то нужна лицензия ФСБ на услуги в области шифрования.
8. Делаем приказ об утверждении перечня документов по защите персональных данных. Лично у меня перечень состоит из 20-25 документов. Все инструкции, положение по обработке и защите персональных данных, перечни сотрудников, порядок доступа в помещения, технические паспорта ИСПДн итд.
Опубликовываем на сайте положение по обработке ПД согласно ФЗ-152 ст. 18.1 ч.2
Готовим журналы по персональным данным, примеры есть в сети (Журнал учета СЗИ, Журнал поэкземплярного учета криптосредств, Журнал проведения инструктажа по информационной безопасности итд.)
Проводим учет машинных носителей ПД, заносим в журнал. Все машины должны быть опечатаны, жесткие диски пронумерованы.
Аналогично со съемными носителями.
Не забываем про 687 ПП. Документ не большой и понятный.
9. На посту охраны, ведется ли сбор ПД, журналы, СКУД итд.
10. Ознакомление сотрудников с документами под роспись.
11. Перед проверкой проходим по кабинетам смотрим, где находятся перс. данные сотрудников и клиентов, как хранятся итд. Все должно быть в шкафах, сейфах итд. На всякий случай делаем памятку для сотрудников по ПД (выжимку из инструкции пользователя). Заходим в кадры смотрим где лежат трудовые книжки и личные дела сотрудников.
12. Молимся
Все акты, приказы, документы подписываются комиссией и руководителем организации.
Подводим итоги, мы имеем краткий план по реализации требований при проверке РКН. Он не эталонный, для каждой организации имеются свои нюансы. Типовой пример таких нюансов, с которым я сталкивался – СКУД с фото и без. Без фото это одна ИСПДн с одним УЗ, с фото это уже биометрия, т.е. выше УЗ, а значит и требования к защите.
За неисполнения требований по защите персональных данных предусмотрен не маленький штраф, поэтому, неважно в списке РКН ваша организация или нет, отнестись к этому вопросу нужно серьезно. Если начинать с нуля, то работы много, поэтому лучше не стоит откладывать на потом.
У РКН есть несколько видов проверок:
- Плановая (вас предупредят заблаговременно, за трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки)
- Внеплановая (если поступила жалоба на вашу организацию по утечке ПДн, или же несоблюдение требований)
- Документарная (РКН отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку)
- Выездная (РКН сами едут к вам)
Итак поехали.
1. Заходим на сайт РКН и смотрим документ: «План проверок за 202* год».
Если нашей организации там нет, значит можно не торопясь сделать все документы и не переживать о проверке (исключение – внеплановая проверка). Если наша организация есть, то незамедлительно приступаем к разработке организационных и технических мер.
2. Проверяем свою организацию в реестре операторов РКН, если есть, смотрим устаревшие данные, направляем уведомление в РКН с исправлениями. Если нету, быстро его создаем и отправляем в РКН.
Открываем ФЗ 152 ст 18.1 и 19 и начинаем его прорабатывать.
2. Создаем комиссию. Готовим приказ о создании комиссии и пишем: Сформировать комиссию по оценке деятельности (ООО) Рога и Копыта в соответствии с требованиями законодательства Российской Федерации в области персональных данных (далее – комиссия) в составе… итд. Типовых бланков приказов в сети много.
3. Делаем приказ о назначении ответственных лиц (примеры приказа в сети).
4. Далее проводим обследование ИСПДн какие у нас есть. Определения и понятия ИСПДн есть в ФЗ-152. Составляем акт обследования ИСПДн.
В акт входят пункты (по каждой ИСПДн отдельно):
- Состав и структура объектов защиты
- Конфигурация и структура информационной системы
- Режим обработки персональных данных
- Перечень лиц, участвующих в обработке персональных данных
- Права доступа лиц, допущенных к обработке персональных данных
- Существующие меры защиты персональных данных
- Список необходимых мер защиты персональных данных
6. Далее по ПП 1119 определяем УЗ для каждой ИСПДн. Определили, составили акт (пример акта в сети). Для каждого УЗ в ПП определен ряд требований, который нужно соблюсти.
В ФЗ-152 указано, что все средства защиты должны пройти процедуру оценки соответствия. Лично моё мнение, что речь идет про сертификацию ТС, кому интересно можете почитать ФЗ-184, там есть несколько процедур оценки соответствия.
Если вы задаётесь таким вопросом, нужно ли вам сертифицированное ПО или нет, то прочитайте внимательно ПП 1119. В ПП 1119 есть пункт : "использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз". Если у вас нет угроз для нейтрализации которых нужны такие средства тогда данный пункт можно обойти. МУ и угрозы мы выбираем сами.
6. По 21 приказу ФСТЭК делаем ТЗ и ТП по обеспечению безопасности персональных данных. Подбираем технические средства для ИСПДн согласно их УЗ, в 21 приказе всё доходчиво расписано. Оформляем закупочную ведомость и отдаем на согласование руководству.
Этот пункт по сути самый долгий. На разработку ТЗ уйдет не так много времени, а вот с ТП придется посидеть. И после всего этого, убедить руководство закупить ТС, согласовать цену, связаться с поставщиками, оформить договор на закупку итд. После получения ТС, установить его и настроить.
Единственный плюс в том, что РКН не компетентен в вопросах технической защиты, тем более основанных на приказах ФСТЭК. Однако основываясь на ФЗ 152 ст. 19 ч.1 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. При желании РКН может запросить документы или подтверждение реализуемых технических мер. Проверяющие разные бывают, запросят доки, вы им откажете, мол типа это не в вашей компетенции проверять ТЗ и ТП на мою систему защиту, они пойдут на принцип и пошлют весточку в местный ФСТЭК. А те возьмут и придут с проверкой неожиданно. Я не спорю, можно рассчитывать на авось, что ничего такого не будет, это всё паранойя итд. Но лично считаю, что подстраховаться стоит. Подготовить доки, всё оформить. внедрить средства защиты, а вот после это всего гнуть свою линию, что РКН не компетентен и вообще пусть не лезут куда не надо.
7. Далее переходим к 378 приказу ФСБ. Если не хотите связываться с СКЗИ, то исключите угрозу нарушения конфиденциальности из актуальных угроз и вам не понадобится применение СКЗИ. МУ мы же делаем сами какую захотим, и актуальные угрозы выбираем сами. Единственное что придется выполнять из 378 это организационные меры которые разъясняют ПП 1119. Но и тут можно всё свести к минимуму. Ставим неактуальными угрозы 1 и 2 типа и подгоняем под 3-4 УЗ.
Также если используется криптография делаем приказ об обеспечении выполнения требований по использованию и обслуживанию СКЗИ в ИСПДн, назначаем ответственного сотрудника, обычно это администратор ИБ, и готовим положение о работе с СКЗИ. Если СКЗИ. например "КриптоПро CSP" используется на предприятии, для формирования ЭЦП, проверке ЭЦП и/или шифрования своей входящей и исходящей корреспонденции, то предприятию никакие лицензии ФСБ не нужны.
Но если предприятие предоставляет услугу по передаче шифрованной корреспонденции (получил от одной организации и передал другой) то нужна лицензия ФСБ на услуги в области шифрования.
8. Делаем приказ об утверждении перечня документов по защите персональных данных. Лично у меня перечень состоит из 20-25 документов. Все инструкции, положение по обработке и защите персональных данных, перечни сотрудников, порядок доступа в помещения, технические паспорта ИСПДн итд.
Опубликовываем на сайте положение по обработке ПД согласно ФЗ-152 ст. 18.1 ч.2
Готовим журналы по персональным данным, примеры есть в сети (Журнал учета СЗИ, Журнал поэкземплярного учета криптосредств, Журнал проведения инструктажа по информационной безопасности итд.)
Проводим учет машинных носителей ПД, заносим в журнал. Все машины должны быть опечатаны, жесткие диски пронумерованы.
Аналогично со съемными носителями.
Не забываем про 687 ПП. Документ не большой и понятный.
9. На посту охраны, ведется ли сбор ПД, журналы, СКУД итд.
10. Ознакомление сотрудников с документами под роспись.
11. Перед проверкой проходим по кабинетам смотрим, где находятся перс. данные сотрудников и клиентов, как хранятся итд. Все должно быть в шкафах, сейфах итд. На всякий случай делаем памятку для сотрудников по ПД (выжимку из инструкции пользователя). Заходим в кадры смотрим где лежат трудовые книжки и личные дела сотрудников.
12. Молимся
Все акты, приказы, документы подписываются комиссией и руководителем организации.
Подводим итоги, мы имеем краткий план по реализации требований при проверке РКН. Он не эталонный, для каждой организации имеются свои нюансы. Типовой пример таких нюансов, с которым я сталкивался – СКУД с фото и без. Без фото это одна ИСПДн с одним УЗ, с фото это уже биометрия, т.е. выше УЗ, а значит и требования к защите.
За неисполнения требований по защите персональных данных предусмотрен не маленький штраф, поэтому, неважно в списке РКН ваша организация или нет, отнестись к этому вопросу нужно серьезно. Если начинать с нуля, то работы много, поэтому лучше не стоит откладывать на потом.
