Статья Защита персональных данных, ФЗ-152, Проверка РКН, подготовка документов

Статья для раздела "Законодательство в области ИБ"

Всем привет! Основываясь на опыте, хотел бы поделиться поэтапным планом подготовки документов и других вещей, в случае если ваша организация попала в список РКН по защите персональных данных. Сразу оговорюсь - это не эталонный план, в каждой организации всё индивидуально. ФЗ-152 не единственный документ который описывает защиту персональных данных, есть и Постановления Правительства (далее – ПП), Приказы ФСТЭК, ФСБ итд.

У РКН есть несколько видов проверок:

• Плановая (вас предупредят заблаговременно, за трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки)
• Внеплановая (если поступила жалоба на вашу организацию по утечке ПДн, или же несоблюдение требований)
• Документарная (РКН отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку)
• Выездная (РКН сами едут к вам)

Сразу хочу заметить, что подготовку к проверке лучше начинать за 8-10 месяцев (всё зависит от того, какая у вас организация, численность сотрудников, какие и сколько ИСПДн) как говорится – не спеша. Можно не париться и обратиться в специализированную организацию, которая за короткий срок проведет аудит, подготовит все документы, и скажет Вам, что проверка пройдет на Ура. В Москве цена таких услуг 100к-300к рублей. Это не наш вариант, мы всё сделаем сами и бесплатно.

Итак поехали.

1. Заходим на сайт РКН и смотрим документ: «План проверок за 2020 год».
Если нашей организации там нет, значит можно не торопясь сделать все документы и не переживать о проверке (исключение – внеплановая проверка). Если наша организация есть, то незамедлительно приступаем к разработке организационных и технических мер.

2. Проверяем свою организацию в реестре операторов РКН, если есть, смотрим устаревшие данные, направляем уведомление в РКН с исправлениями. Если нету, быстро его создаем и отправляем в РКН.

Открываем ФЗ 152 ст 18.1 и 19 и начинаем его прорабатывать.

2. Создаем комиссию. Готовим приказ о создании комиссии и пишем: Сформировать комиссию по оценке деятельности (ООО) Рога и Копыта в соответствии с требованиями законодательства Российской Федерации в области персональных данных (далее – комиссия) в составе… итд. Типовых бланков приказов в сети много.

3. Делаем приказ о назначении ответственных лиц (примеры приказа в сети).

4. Далее проводим обследование ИСПДн какие у нас есть. Определения и понятия ИСПДн есть в ФЗ-152. Составляем акт обследования ИСПДн.
В акт входят пункты (по каждой ИСПДн отдельно):

• Состав и структура объектов защиты
• Конфигурация и структура информационной системы
• Режим обработки персональных данных
• Перечень лиц, участвующих в обработке персональных данных
• Права доступа лиц, допущенных к обработке персональных данных
• Существующие меры защиты персональных данных
• Список необходимых мер защиты персональных данных

5. Разрабатываем Модель угроз на каждую ИСПДн. МУ можно делать по базовой модели угроз ФСТЭК или же открыть БДУ ФСТЭК и пройтись по каждой угрозе отдельно. МУ можно делать какую душе угодно, на согласование в ФСТЭК её отправлять не нужно (это если у вас не ГИС). Так же сталкивался с еще одной разновидностью МУ - Отраслевая модель угроз. По мне так тоже ничего.

6. Далее по ПП 1119 определяем УЗ для каждой ИСПДн. Определили, составили акт (пример акта в сети). Для каждого УЗ в ПП определен ряд требований, который нужно соблюсти.

В ФЗ-152 указано, что все средства защиты должны пройти процедуру оценки соответствия. Лично моё мнение, что речь идет про сертификацию ТС, кому интересно можете почитать ФЗ-184, там есть несколько процедур оценки соответствия.

Если вы задаётесь таким вопросом, нужно ли вам сертифицированное ПО или нет, то прочитайте внимательно ПП 1119. В ПП 1119 есть пункт : "использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз". Если у вас нет угроз для нейтрализации которых нужны такие средства тогда данный пункт можно обойти. МУ и угрозы мы выбираем сами.


6. По 21 приказу ФСТЭК делаем ТЗ и ТП по обеспечению безопасности персональных данных. Подбираем технические средства для ИСПДн согласно их УЗ, в 21 приказе всё доходчиво расписано. Оформляем закупочную ведомость и отдаем на согласование руководству.

Этот пункт по сути самый долгий. На разработку ТЗ уйдет не так много времени, а вот с ТП придется посидеть. И после всего этого, убедить руководство закупить ТС, согласовать цену, связаться с поставщиками, оформить договор на закупку итд. После получения ТС, установить его и настроить.

Единственный плюс в том, что РКН не компетентен в вопросах технической защиты, тем более основанных на приказах ФСТЭК. Однако основываясь на ФЗ 152 ст. 19 ч.1 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. При желании РКН может запросить документы или подтверждение реализуемых технических мер. Проверяющие разные бывают, запросят доки, вы им откажете, мол типа это не в вашей компетенции проверять ТЗ и ТП на мою систему защиту, они пойдут на принцип и пошлют весточку в местный ФСТЭК. А те возьмут и придут с проверкой неожиданно. Я не спорю, можно рассчитывать на авось, что ничего такого не будет, это всё паранойя итд. Но лично считаю, что подстраховаться стоит. Подготовить доки, всё оформить. внедрить средства защиты, а вот после это всего гнуть свою линию, что РКН не компетентен и вообще пусть не лезут куда не надо.

7. Далее переходим к 378 приказу ФСБ. Если не хотите связываться с СКЗИ, то исключите угрозу нарушения конфиденциальности из актуальных угроз и вам не понадобится применение СКЗИ. МУ мы же делаем сами какую захотим, и актуальные угрозы выбираем сами. Единственное что придется выполнять из 378 это организационные меры которые разъясняют ПП 1119. Но и тут можно всё свести к минимуму. Ставим неактуальными угрозы 1 и 2 типа и подгоняем под 3-4 УЗ.
Также если используется криптография делаем приказ об обеспечении выполнения требований по использованию и обслуживанию СКЗИ в ИСПДн, назначаем ответственного сотрудника, обычно это администратор ИБ, и готовим положение о работе с СКЗИ. Если СКЗИ. например "КриптоПро CSP" используется на предприятии, для формирования ЭЦП, проверке ЭЦП и/или шифрования своей входящей и исходящей корреспонденции, то предприятию никакие лицензии ФСБ не нужны.
Но если предприятие предоставляет услугу по передаче шифрованной корреспонденции (получил от одной организации и передал другой) то нужна лицензия ФСБ на услуги в области шифрования.

8. Делаем приказ об утверждении перечня документов по защите персональных данных. Лично у меня перечень состоит из 20-25 документов. Все инструкции, положение по обработке и защите персональных данных, перечни сотрудников, порядок доступа в помещения, технические паспорта ИСПДн итд.
Опубликовываем на сайте положение по обработке ПД согласно ФЗ-152 ст. 18.1 ч.2
Готовим журналы по персональным данным, примеры есть в сети (Журнал учета СЗИ, Журнал поэкземплярного учета криптосредств, Журнал проведения инструктажа по информационной безопасности итд.)
Проводим учет машинных носителей ПД, заносим в журнал. Все машины должны быть опечатаны, жесткие диски пронумерованы.
Аналогично со съемными носителями.
Не забываем про 687 ПП. Документ не большой и понятный.

9. На посту охраны, ведется ли сбор ПД, журналы, СКУД итд.

10. Ознакомление сотрудников с документами под роспись.

11. Перед проверкой проходим по кабинетам смотрим, где находятся перс. данные сотрудников и клиентов, как хранятся итд. Все должно быть в шкафах, сейфах итд. На всякий случай делаем памятку для сотрудников по ПД (выжимку из инструкции пользователя). Заходим в кадры смотрим где лежат трудовые книжки и личные дела сотрудников.

12. Молимся

Все акты, приказы, документы подписываются комиссией и руководителем организации.

Подводим итоги, мы имеем краткий план по реализации требований при проверке РКН. Он не эталонный, для каждой организации имеются свои нюансы. Типовой пример таких нюансов, с которым я сталкивался – СКУД с фото и без. Без фото это одна ИСПДн с одним УЗ, с фото это уже биометрия, т.е. выше УЗ, а значит и требования к защите.
С 2019г подняли штрафы за неисполнения требований по защите персональных данных, поэтому, неважно в списке РКН ваша организация или нет, отнестись к этому вопросу нужно серьезно. Если начинать с нуля, то работы много, поэтому лучше не стоит откладывать на потом.

Надеюсь, что статья кому-нибудь пригодится. Спасибо, что дочитали до конца.
Если понравится направление продолжу его развивать дальше.

 

[zakrush]

Добрый день. Интереса ради вопрос: вы из ГОСов или работали в интергаторе и потом перешли куда-то? Очень веет этим статья. А теперь позволю немного критики:
В целом ход мыслей правильный, но в статье с ссылками "открываем, читаем и все понятно", на самом деле не так, и в принципе со статьями основанными на законодательстве так нельзя делать, приведите доводы. Некоторые моменты, озвученные вами как "простые и понятные" до недавнего времени были спорными, некоторые до сих пор остаются спорными, а вы их очень опустили. На какой-то дали не верное толкование в стиле "интеграторов которые разводят на бабки". А где-то еще и вредные советы надавали.

• п.4. Как можно составить список необходимых мер защиты в Акте до построения Модели угроз и определения УЗ? Это делается на этапе тех проекта в случае его наличия, либо отдельным актом.
• МУ строится до п.5 т.е. до тех проекта, Как можно написать тех проект, не зная актуальных угроз? или вы сначала защищаете, а потом под защиту МУ подстраиваете? И без модели угроз невозможно определить УЗ, т.к. надо обосновать выбранный актуальный тип угроз.
• 378 ФСБ приказ выполняется в любом случае, не зависимо от наличия криптографии. Вопрос в объеме его исполнения. Раз упомянули криптографию, то тогда добро пожаловать в 152й приказ ФАПСИ. 8й центр ФСБ очень его любит при проверках, хоть он и древний, как г. мамонта.

• В ФЗ-152 указано, что все средства защиты должны пройти процедуру оценки соответствия, т.е. сертифицированы. Если вы задаётесь таким вопросом, нужно ли вам сертифицированное ПО или нет, то прочитайте внимательно ПП 1119 и вопросы отпадут

  Вот оно коварное мышление присущее ГОСАМ или интеграторам, которые любят "впаривать". Все сообщество до недавнего времени читало ПП 1119 и вопросы не отпадали. А у вас все очень "просто". Сертификация не равно оценка соответствия. Это разные определения в законодательстве РФ. Сертификация является лишь одним из способов проведения оценки соответствия. Понятие оценка соответствия регулируется 184 ФЗ. В коммерческих организация достаточно мало сертифицированных средсв. Очень дорого и не оправданно, еще и гемороя много. Их применение оправдано только когда предприятием приняты угрозы от тех. разведок иностранных государств ИМХО (т.к. там вероятность закладок меньше встретить) это все к ГИС, МИС и КИИ.
• Не упомянуто 687 ПП правительства.
• Позиция ФСТЭК что в МУ в любом случае должны присутствовать БДУ ФСЭК. МУ можно делать в т.ч. в свободной форме.
• Дан вредный совет по поводу обслуживания СКЗИ. СКЗИ обслуживать администратор не имеет право, только в случае наличия ЛИЦЕНЗИЙ у Компании и внесении администратора в "криптографический орган" но это обычно люди у которых как минимум есть 500 часов спец образования.(тут врать не буду, вроде требования к лицензии такие + опыт работы в лицензиатах). За это могут хорошо накрячить вплоть до уголовной отвественности. Могут только лицензиаты, т.е. договор как минимум должен быть с Лицензиатом + акты услуг, заполнение ими формуляров и вот это вот все.
• Раз упомянули Тех. проект, то логично, он должен завершаться ПМИ - Протокол - Акт(заключение). Иначе тех. проект какой то не полный.

Мое мнение, Автор. Выбери что-то одно, например минимальный список необходимых документов, и что в них должно быть отображено кратенько. Какие то обязательные вещи и заметки (например что ПДн нельзя относить к коммерческой тайне, об первичной обработке на территории РФ(штрафы тут максимальные)). Расскажи о том, какие бывают проверки РКН (Выездные и просто документальные(чаще происходит второе)). Если до конца не разобрался, обойди спорные моменты стороной, только вредит. С 2012 года варюсь в ПДн и до сих пор. одни вопросы, чем дальше, тем больше.

Тех. Защиту и СКЗИ тоже пока в первой части стороной обойти. Это отдельные темы которые РКН не имеет права проверять. Только по привлечению органов. ФСТЭК сейчас вообще не до ПДн, ФСБ придет, только если в уведомлении указали что защищаете ПДн с помощью СКЗИ (не советую это делать).

И еще, все озвученное вами за 3 месяца не сделать. Бумаги подготовить, выбрать СрЗИ, ее построить и внедрить. Ну такое себе. А еще учтите, что надо все договора пересмотреть и переделать + доп. согласия на обработку и передачу собрать с сотрудников если необходимо (а то там как оказывается много куда данные передаются и обрабатываются на стороне).

 

[Archi00]

Интереса ради вопрос: вы из ГОСов или работали в интергаторе и потом перешли куда-то?

Не там , не там.

МУ строится до п.5 т.е. до тех проекта,

С этим согласен, только щас заметил, что пункты перепутал.

378 ФСБ приказ выполняется в любом случае, не зависимо от наличия криптографии.

А вот здесь я с вами не согласен. Если мы не используем СКЗИ, зачем нам выполнять требования 378?
Исключите угрозу нарушения конфиденциальности из актуальных и вам не понадобится применение СКЗИ. МУ мы же делаем сами какую захотим, и актуальные угрозы выбираем сами. Единственное что придется выполнять из 378 это организационные меры которые разъясняют ПП 1119. Но и тут можно всё свести к минимуму. Ставим неактуальными угрозы 1 и 2 типа и подгоняем под 3-4 УЗ.

Вот оно коварное мышление присущее ГОСАМ или интеграторам, которые любят "впаривать"

Никому ничего "впарить" я не собирался. Я не говорил, что нужно в обязательном порядке использовать сертифицированные средства. Я написал прочитайте внимательно ПП 1119 и вопросы отпадут. Я хотел чтобы читатель сам нашел пункт в ПП 1119 где написано:
"использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз".

Сертификация не равно оценка соответствия. Это разные определения в законодательстве РФ. Сертификация является лишь одним из способов проведения оценки соответствия. Понятие оценка соответствия регулируется 184 ФЗ.

Я в курсе про ФЗ 184, и что есть три способа подтверждения соответствия. Да только Декларирование соответствия самому выполнить я думаю не так то просто. Особенно если учесть, что данная процедура должна проходить в соответствии с техническим регламентом (пункт 2 статья 28).
Технический Регламент - документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации. Я не нашел не одного технического регламента на СЗИ.
Быть может вы всё это прошли и поделитесь своими знаниями. Было бы интересно услышать как можно заменить сертификацию на Декларирование соответствия?
Другой вопрос, что применения сертифицированных средств для ПДн не обязательно, это да.

Не упомянуто 687 ПП правительства

Спасибо за уточнение, запамятовал

Позиция ФСТЭК что в МУ в любом случае должны присутствовать БДУ ФСЭК.

Я не говорил, что МУ обязательно нужно делать по ФСТЭК, это одно из решений.

Дан вредный совет по поводу обслуживания СКЗИ. СКЗИ обслуживать администратор не имеет право, только в случае наличия ЛИЦЕНЗИЙ у Компании и внесении администратора в "криптографический орган" но это обычно люди у которых как минимум есть 500 часов спец образования.

Не понимаю, почему администратор безопасности не может обслуживать СКЗИ? Зачем Компании лицензия ФСБ, чтобы использовать СКЗИ для своих целей (например тот же криптопро, для ЭЦП руководителя).
Если СКЗИ "КриптоПро CSP" используется на предприятии, для формирования ЭЦП, проверке ЭЦП и/или шифрования своей входящей и исходящей корреспонденции, то предприятию никакие лицензии ФСБ не нужны.
Но если предприятие предоставляет услугу по передаче шифрованной корреспонденции (получил от одной организации и передал другой) то нужна лицензия ФСБ на услуги в области шифрования. По моему вы немного запутались.

Это отдельные темы которые РКН не имеет права проверять. Только по привлечению органов

Основываясь на ФЗ 152 ст. 19 ч.1 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Так почему же РКН не может запросить документы или подтверждение реализуемых технических мер. Проверяющие разные бывают, запросят доки, вы им откажете, мол типа это не в вашей компетенции проверять ТЗ и ТП на мою систему защиту, они пойдут на принцип и пошлют весточку в местный ФСТЭК. А те возьмут и придут с проверкой неожиданно. Я не спорю, можно рассчитывать на авось, что ниче такого не будет, это всё паранойя итд. Но лично считаю, что подстраховаться стоит. Подготовить доки, всё оформить. внедрить средства защиты, а вот после это всего гнуть свою линию, что РКН не компетентен и вообще пусть не лезут куда не надо.

ФСБ придет, только если в уведомлении указали что защищаете ПДн с помощью СКЗИ (не советую это делать).

Первый раз такое слышу. ФСБ к вам придет, если у вас есть лицензия ФСБ, или же на вашу организацию в ФСБ поступила претензия об утечке данных.
Если вы используете тот же самый криптопро у себя на работе для своих целей, то просто так ФСБ не придет, не запугивайте людей.

И еще, все озвученное вами за 3 месяца не сделать.

Опять таки, я написал, что это не эталонный план. Всё индивидуально. Если у вас компания 1000+ работников, 4 ИСПДн с 1-2 УЗ, много актуальных угроз, в том числе угрозы нарушения конфиденциальности где понадобится ввод СКЗИ, тогда да, я с вами согласен 3 месяца маловато.
Если же у вас компания 100+ сотрудников, 2 ИСПДн (одна из них кадры и бухгалтерия с 4 УЗ, а другая клиенты, тоже 4 УЗ) актуальных угроз минимум, СКЗИ можно не вводить итд, то тогда 3 месяца за глаза, я за 1-2 месяца бы сделал всё.
Я же написал в статье, что всё индивидуально.

 

[zakrush]

Вот видите сколько у вас всего есть. Лучше расширьте всеми доводами мне свою статью(прямо в пунктах впишите), тогда она будет значительно полезнее и объемнее. Во многих моментах не согласен но спорить не буду. У каждого свое мнение. Про 378й приказ. Он уточняет 1119 ПП, поэтому надо исполнять. Почитайте Емельянникова

Про лицензирование и обслуживание, да там отдельная тема.
В ФЗ "О тех. регулировании" не 3 способа а значительно больше. Ст. 7 п.3 вроде.

"Оценка соответствия проводится в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме."

Выбирай любой. Я обычно издавал приказ о построении СЗИ ИСПДн, в конце проводили испытания с заключением и вводили в экплуатацию. Замечу, что судебных решений за все время еще не было.
По РКН конечно вы им документы дадите. Только вот предъявлять, что у вас тут вот эта угроза не учтена, такие то СрЗИ не применены они не будут.

Про все эти дискуссии конечно лучше внутри сделать. Но статью советую дополнить ими. Молодец что открыл данную ветку.

 

[Archi00]

Молодец что открыл данную ветку.

Спасибо за комментарии и возражения Все учимся на ошибках.
А вот по поводу ветки, думаю она здесь не популярна. Форум больше технический. Мне и самому техническая часть больше нравится, просто порой приходится возиться с бумагами.

 

[zakrush]

А вот по поводу ветки, думаю она здесь не популярна. Форум больше технический. Мне и самому техническая часть больше нравится, просто порой приходится возиться с бумагами.

Зря. Ветка новая. Она актуальна и может привлечь начинающих бумажников которые в итоге смогут понимать больше "футболок". Как и футболки смогут понимать боль "пиджаков". А бумагами тут занимаются как оказалось больше, чем ты думаешь поэтому ветка полезная. Ветку ввели только пару недель назад. Наполнением пока некому заниматься как я понял. Все заняты. Я пока по другому циклу статей работаю. Сюда когда-то наверное тоже доберусь. Есть интересные материальчики.

 

[Сергей Попов]

Права на редактирование статьи выдал. Очень надеюсь, что у нас появится первая статья в разделе Законодательство в области ИБ

 

[Archi00]

Хорошо, завтра приступлю к редактированию

 

[Cyifi6]

Оставляю тут ссыль на очень хорошую книжку по перс данным. Мне, как человеку далекому от бумаги очень понравилось качество подачи
Электронная книга "Персональные данные: как перестать беспокоиться и начать защищать?" Рекомендую

 

[desaes]

Оставляю тут ссыль на очень хорошую книжку по перс данным. Мне, как человеку далекому от бумаги очень понравилось качество подачи
Электронная книга "Персональные данные: как перестать беспокоиться и начать защищать?" Рекомендую

Есть ее пиратское исполнение?) Сумма символичная, но я пират до последнего.