В связи с тем, что необходимо подавать данные об ответственном за обработку персональных данных лице, решила я сходить в Роскомнадзор и отнести им информационное письмо об изменениях в уведомлении. Как составить такое письмо я писала ранее здесь. Однако я допустила ошибку в связи с тем, что наивно полагала аналогичными пункты:
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Как мне объяснила специалист из Росконадзора - это разные вещи и указывать необходимо разную информацию. Причем, если Вы ранее посылали информацию о мерах защиты и она была указана в Вашем уведомлении в реестре, то сейчас ситуация изменилась и эти данные не отображаются, зато появились пустые поля, которые необходимо заполнить до января 2013 года.
Пример уведомления |
Итак, что же нужно писать в пункте про меры (18.1, 19): это назначение ответственного лица, издание локальных документов, внутренний контроль, оценка вреда (?), ознакомление работников, определение угроз безопасности, применение средств защиты, прошедших процедуру оценки соответствия и т.д (см. ФЗ "О персональных данных").
Сведения об обеспечения безопасности персональных данных по требованиям Правительства - это не требования согласно планируемым документам, а как мне вчера объяснили - Постановление 687 и Постановление 781. Причем даже выдали памятку о том, что примерно нужно писать в этом пункте :)
Обязательного требования предоставлять информацию о классификации системы нет. На мой вопрос по поводу введения новых уровней был ответ, что этим занимается другая организация, они не в курсе дела. Так что мне посоветовали классифицировать ИСПДн по приказу трех. А еще сказали, что вносить изменения можно частями: определили ответственного - подали изменения в уведомление, такие изменения можно делать хоть каждый месяц.
Что бы ни указывал оператор в уведомлении, главное не переборщить. Писать нужно минимум - назначили ответственного,приняли положения, утвердили инструкции... Это первое, что спросит регулятор, начиная проверку (тьфу-тьфу, не дай Бог:)). А в графе "сведения об обеспечении безопасности..." можно указать "реализованы меры защиты в соответствии с 152-ФЗ, ПП 781,ПП 687 и политикой ПДн оператора"
ОтветитьУдалитьСогласна с Вами, Ирина! Хотя я проверку уже пережила, ничего страшного ;)
ОтветитьУдалить