Статья в журнале "Персональные данные"

Сегодня вышла моя статья "Прохождение внеплановой проверки Роскомнадзора без предписаний", журнал доступен по подписке по адресу http://www.privacy-journal.ru/. В статье я даю советы о том, как подготовиться к приходу регуляторов и пережить проверку с минимальными потерями. Надеюсь, она будет Вам полезной!

Семинар Интертакс "Живые встречи": выступление представителя Роскомнадзора

23 декабря прошел семинар "Живые встречи", на котором прозвучало 3 доклада: о защите персональных данных, о сетевых атаках с точки зрения нарушителя, а также о сетевых атаках с точки зрения специалиста по защите.

Наибольший интерес для меня представлял доклад О.В. Костынюк, представителя Роскомнадзора по Красноярскому краю. Хочу поделиться с вами заметками на полях, при создании системы защиты персональных данных знать мнение Роскомнадзора может быть очень полезным :-)

1. В первой половине 2012 года планируется выход 4 документов:

• Первый будет определять обязательные требования для муниципальных и госорганов.
• Второй документ определит уровни защищенности в зависимости от угроз.
• Третий документ определяет требования к защите.
• Последний устанавливает порядок согласования с ФСБ и ФСТЭК по определению дополнительных угроз безопасности.

2. Оператором является также юр лицо, которому поручили обработку ПДн.

3. № квартиры, сумма долга на подъезде - персональные данные, а следовательно их разглашение - нарушение.

4. Общедоступный источник - перечни, справочники и информация на сайте. А общедоступные ПДн - определяет субъект для общедоступного размещения.

5. ПДн ни в коем случае не должны быть избыточными! Нельзя собирать сведения о родственниках сотрудников без их согласия. А также запрещено собирать сведения о судимости.

6. При обработке на основании договора согласия на обработку можно не брать, исключение для трудовых отношений - банковские карты, для перечисления зарплаты необходимо брать согласие.

7. Проиграно дело по факту незаконной передачи оператором ПДн абонентов третьему лицу для печати и рассылки квитанций.

8. Взыскать долг с привлечением коллектором незаконно без согласия субъекта.

9. "Судим" и "не судим", "здоров" и "не здоров" - не Пдн специальной категории.

10 По родственникам можно брать только ФИО и контакты (по форме Т2).

11. Неавтоматизированная обработка ПДн - обработка с применением систематизации и классификации. 

12. Телефонная книга на компьютере = обработка ПДн.

13. Хорошая практика: прописать в локальном акте, как заполнять форму по учету кадров.

14. Необходимо обязательно размещать для общедоступного пользования политику по защите ПДн.

15. Для официальных запросов ПДн: запрос должен содержать конкретные лица - на кого передавать ПДн, цель, статью законодательства.

16. Электронные пропуска = биометрия.

17. Биометрия - только если используем для идентификации, ксерокопии паспорта не являются биометрией.

18. Обращения граждан о нарушениях: 2009 год - 146 обращений, 2011 - более 1700.

19. Необходимо указывать сведения о СЗИ в уведомлении.

Основные нарушения:

1. Неподача уведомления.

2. Обработка без согласия субъекта, несоответствие письменной формы согласия требованиям законодательства.

3. В договоре отсутствует перечень действий, целей обработки.

4. Сотрудники допущены к неавтоматизированной обработке ПДн без подписи.

Семинар на мой взгляд был очень полезным и позволил узнать мнение контролирующего органа (в нашем регионе) по некоторым спорным вопросам.

План проверок Роскомнадзора на 2012 год

На сайте Роскмонадзора появился план проверок на 2012 год -  http://www.rsoc.ru/plan-and-reports/contolplan/ . Из предприятий газовой промышленности - Закрытое акционерное общество "Газпром межрегионгаз Астрахань".

Организация межсетевого взаимодействия локальных вычислительных сетей, подключение к Интернет, сетевая безопасность

Сегодня пригласили на семинар http://meeting.intertax.ru/seminar/3, обязательно пойду, также советую идти и другим специалистам по ЗИ в Красноярске. Выступает Оксана Васильевна Костынюк - начальник отдела надзора в сфере информационных технологий и защиты прав субъектов персональных данных Управления Роскомнадзора по Красноярскому краю. Интересно будет узнать ее точку зрения, ведь именно Оксана Васильевна отвечает на вопросы по защите персональных данных в Красноярском крае. У меня даже сохранились официальные письма ее авторства - так что готовлюсь ко встрече с легендой :-)

В плане мероприятия О.В. Костынюк выступит со следующим докладом:

1. Законодательство в области персональных данных;
2. Контроль и надзор за обработкой персональных данных;

3. Уведомление об обработке персональных данных;

4. Судебная практика по применению ФЗ № 152 "О персональных данных".

Так, до 23 декабря осталось время, какие бы каверзные вопросы придумать... :-)

ЗЫ. Участие в семинаре бесплатное, на данный момент осталось еще 10 мест.

С наступающим новым годом всех защитников информации!

Атмосфера в Красноярске уже по-настоящему новогодняя: снег, мороз, массовые закупки подарков и т.д.:)

А что можно пожелать в будущем году специалистам по защите информации?

Первое, что приходит в голову:

1. Изменений в законе о персональных данных - чтобы меры по защите определял Оператор, а ответственность была только за произошедшие утечки, фотографии, подписи и пропуска - исключили из биометрии, а работу в Word подвели под неавтоматизированную обработку, чтобы можно было применять несертифицированные СЗИ! Если вы представитель интегратора - то Вам надо желать прямо противоположного!:)

2. Безопасной дистанционной работы с банками - чтобы украденные со счетов деньги возвращали, даже если мы спохватились через месяц!:)

3. Высокой зарплаты - чтобы нам добавляли не только за гостайну, но и за защиту персональных данных, коммерческой тайны и за то, что мы есть! (как в песне Булановой: "Ах как хочется быть, быть, быть и за это получать цветы"):)

4. Правильно организованного режима коммерческой тайны и ни одной утечки, ну если только предотвращенной в самый последний момент (а нам за это премию и уважение начальства)!

5. Лояльных сотрудников, но чтобы не заскучать - мелких инцидентов!:)

А что хотели бы Вы?:)

Нарушения в области обработки персональных данных

 В августе этого года бурно обсуждалась плановая проверка Управлением Роскомандзора по Саратовской области ООО «Центра здоровья «Европласт» http://64.rsoc.ru/news/news27226.htm. Данная проверка меня заинтересовала как прецедент и я решила отследить, чем же закончилось дело. Новость от 26 августа на сайте Прокуратуры Волжского района http://sarprok.ru/ViewNews.aspx?NewsID=18915:

Обществом нарушен установленный законом порядок сбора, хранения и использования информации о гражданах.Прокуратурой Волжского района принято решение о возбуждении в отношении ООО "Центр здоровья "Европласт" дела об административном правонарушении по ст. 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения и использования информации о гражданах (персональных данных).Так, при проведении территориальным управление Роскомнадзора проверки ООО не представлены: сведения о назначении ответственного за организацию обработки персональных данных клиентов ООО "Центр здоровья "Европласт"; документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, а также иные нарушения.Материалы проверки направлены мировому судье для принятия решения по существу.

 Новость от 8 сентября на сайте Управления Роскомнадзора по Саратовской области http://64.rsoc.ru/news/news28181.htm:

 По материалам проведенной Управлением Роскомнадзора плановой выездной проверки клиники ООО "Центр здоровья "Европласт" прокуратурой Волжского района г. Саратова возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Постановлением мирового судьи ООО "Центр здоровья "Европласт" признано виновным и подвергнуто административному наказанию в виде штрафа в размере 5000 рублей.

 Какие мы можем сделать из этого выводы? Во-первых - наказание по все той же 13.11, штраф в размере 5000. Во-вторых можно выделить основные направления работы над недочетами:

• Назначить ответственного за организацию обработки персональных данных, прописать его обязанности в дополнении к трудовому договору.
•  Создать политику в отношении обработки персональных данных.
• Создать «локальные акты, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, в отношении персональных данных». Думаю, что подойдет раздел в положении о защите персональных данных.
• Оценить вред субъектам персональных данных. Здесь каждый может придумать свою методику, единого стандарта пока нет.
• Завести журнал и собрать подписи об ознакомлении с нормами законодательства и локальными нормативными актами.
• Создать положение о неавтоматизированной обработке.

Статья по информационной безопасности

Недавно вышла моя статья в журнале "Information Security/Информационная безопасность" №5, 2011 год. Электронная версия  - http://www.itsec.ru/imag/insec-5-2011/ (рубрика "В фокусе", стр. 4-5).
Статья посвящена обоснованию необходимости защиты информации в организации перед руководством. Надеюсь, что она будет Вам полезной!

О семинаре Softline

О семинаре Softline. 

28 апреля 2011 года в Красноярске прошел семинар "Код безопасности – комплексные решения для защиты персональных данных, конфиденциальной информации, коммерческой и государственной тайны" компании Softline. Семинар проходил в бизнес-центре Сириус.
Программа была запланирована следующая:
09.30 – 10.00 Регистрация участников, приветственный кофе
10.00 – 10.10 Вступительное слово от компании Softline
10.10 – 10.50 "Средства для защиты рабочих мест от несанкционированного доступа и сетевых угроз: Secret Net, SSEP"
10.50 – 11.40 "Сертифицированные средства межсетевого экранирования и организации VPN: АПКШ "Континент", Trust Access"
11.40 – 12.00 Перерыв
12.00 – 12.40 Аппаратно-программный модуль доверенной загрузки: электронный замок "Соболь"
12.40 – 13.20 "vGate 2 - новая версия программного решения для защиты информации, выполнения требований законодательства и отраслевых стандартов, а также для управления политиками безопасности виртуальных инфраструктур на базе платформ VMware Infrastructure 3 и vSphere 4"
13.20 – 13.40 Сессия вопросов и ответов
Хочу поделиться своими впечатлениями от данного мероприятия, ибо зацепило :-)

Об организации

Организовано мероприятие было на достаточно высоком уровне, временной регламент соблюдался, плюшки на кофе-брейке были, журнальчики агитационные выдали :-) Из минусов только расположение самого бизнес-центра, до которого добраться без машины не так-то просто, но здание красивое (к слову с другой стороны находится Лексус-центр). А еще в зале было достаточно прохладно, но это уже мое субъективное мнение :-)
Докладов было больше, чем заявлено в программе. И доклады были действительно интересные, на предложения послушать еще презентации или идти домой, все просили рассказывать дальше. Спасибо Альберту Нурутдинову, рассказывать в течение многих часов и не усыпить аудиторию, задача непростая :-) Презантации были показаны на двух экранах одновременно, что очень удобно, учитывая что зал был практически полным, что удивило и порадовало. «Для физиков 10 человек на конференции уже Вудсток» (вольная интерпретация фразы из «Теории большого взрыва»).
Что характерно для Красноярска, на таких мероприятиях можно встретить множество знакомых лиц, как мне говорили когда-то, будешь работать в безопасности, поймешь, насколько это узкий круг:-)В частности были представители ГУВД по Красноярскому краю, где я когда-то проходила летнюю практику и где я впервые познакомилась с защитой персональных данных :-)

О докладах

Лично я шла на мероприятие ради двух докладов – по Континенту и SecretNet, ибо это практически стандарт и классика для информационной безопасности.
Доклады были на следующие темы:
1. Secret Net;
2. Security Studio Endpoint Protection;
3. АПКШ "Континент";
4. TrustAccess;
5. vGate;
6. Honeypot Manager;
7. "Код Безопасности: Инвентаризация".
На сайте Кода Безопасности можно ознакомиться с презентациями по данным продуктам, многие слайды презентаций повторяют то, что было показано 28 апреля в Сириусе, что и не удивительно :-)
Но в семинарах всегда самое интересное – обсуждения. Ради них все и собираются. Агитационные листовки мы уже и так не раз видели :-)

Вопросы из зала

Были вопросы про Linux, цены продуктов, лицензии на криптографию, ошибки, возможности обхода защиты, резервировании и т.д. 

Рецепт 2. Разработка формы согласия на обработку ПДн

Рецепт 2. Разработка формы согласия на обработку ПДн

Ингридиенты: субъекты персональных данных, персональные данные, ваша организация, ответственное лицо.

Способ приготовления:

Начать приготовление формы согласия, на мой взгляд, лучше всего с определения круга лиц, с которых это согласие будет собираться.

Совет: Это могут быть разные категории, чаще всего две: клиенты и сотрудники (кошки и собаки). Но мы можем эти категории детализировать – работники по основному месту работу, совместители, клиенты постоянные и т.д. (перс, сиамская, бульдог, чау-чау и т.д.). Однако зачастую достаточно выделить только внутренних и внешних субъектов, что упростит процедуру разработки документации.

Письменное согласие об обработке персональных данных должно включать в себя следующее:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва;

7) собственноручную подпись субъекта персональных данных.

(ст. 9, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

Совет: как показало общение с представителями Роскомнадзора во время проверки, сбор согласий, не включающих хотя бы один из данных пунктов, является нарушением. К слову сказать, мои формы согласия были оценены как правильные J

Итак, мы определились что у нас в согласии должно быть, приступим к его составлению. Первый пункт понятен, оставляем пустые строчки, для того, чтобы субъект вписал туда свои персональные данные. Второй пункт тоже простой, вспоминаем, как называется наша организация, не забудьте указать форму собственности, а также указываем адрес регистрации.

Далее нам необходимо определить цель обработки. Разработайте разные формы согласий для клиентов и сотрудников, пропишите в каждом согласии конкретную цель. Это будет гораздо удобнее, чем многостраничный универсальный документ для всех, который трудно прочитать и осознать. Тем более, категории обрабатываемых данных клиентов и сотрудников обычно отличаются.

Существует мнение, что для обработки персональных данных сотрудников нет необходимости собирать согласия в письменном виде, так как:

2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:

…

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

(ст. 6, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

 В нашем случае - это трудовой договор. Однако в ходе работы могут возникнут ситуации напрямую не связанные с трудовыми отношениями – оформление доверенности, оформление зарплатных счетов и т.д. Лучше все-таки согласия собрать, тем более что сбор согласий с сотрудников - гораздо более легкое мероприятий, чем сбор согласий с клиентов. Своих все-таки отловить легче, да и лояльнее они, так как понимают, что подписать придется в любом случае.J

Совет: Примеры целей: исполнение договорных отношений с ОАО «ХХХ» или осуществление трудовых отношений с ОАО «ХХХ». К подобной формулировке у Роскомнадзора претензий не было. Если Вами было уже составлено уведомление об обработке, смело можете копипастить информацию оттуда. С другой стороны, если у Вас это уведомление составлено, зачем Вы все это читаете, там все есть J

Теперь мы знаем чьи данные, кто обрабатывает, где обрабатывает и для чего. Определим, что мы обрабатываем. Это процесс нелегкий, особенно если предприятие большое. Я пошла следующим путем – опрос сотрудников, вычленение персональных данных из документов и баз данных.

Совет: Лучше проводить как опрос, так и самостоятельный анализ. Вас может удивить, насколько разную информацию Вы при этом получите J Заодно проверите бизнес-процессы, уберете лишнюю информацию, которая никому не нужна. В общем оптимизация и мир во всем мире J

Чтобы примерно знать где копать – начинайте с бухгалтерии, кадров, отдела по работе с клиентами и юридического отдела. А они уже Вас направят в другие подразделения за дополнительной информациейJ

Перечень действий берем из ФЗ «О персональных данных»:

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

(ст. 3, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 23.12.2010) "О персональных данных" (принят ГД ФС РФ 08.07.2006))

Срок действия можно сформулировать следующим образом:

1) «Согласие вступает в силу с даты передачи мною персональных данных в ОАО «ХХХ» и действует до момента расторжения Договора с погашением задолженности по Договору».

2) Согласие вступает в силу со дня передачи мною персональных данных в ОАО «Красноярсккрайгаз» и до момента расторжения трудового договора.

Совет: Дополнительно укажите, что согласие может быть отозвано и организация обязана прекратить обработку в трехдневный срок в соответствии с законодательством.

Резюме: Сегодня мы с Вами приготовили согласие на обработку персональных данных, подавайте его с личной подписью клиента или сотрудника. Храните в надежном месте.

Рецепт 1. Общий план мероприятий по защите персональных данных 

Ингридиенты: персональные данные, ваша фирма, лицо ответственное за защиту персональных данных, нормативно-методическая документация.

Способ приготовления:

Тема защиты персональных данных настолько популярная, что просто невозможно избежать соблазна и не написать свое мнение, руководства по данному вопросу выпускают компании даже изначально далекие от защиты информации (например, ЗАО «1С»). 

Совет: не тратьте деньги фирмы на приобретение специализированных учебников, потому что всю необходимую информацию о точках зрения специалистов и неспециалистов можно найти в свободном доступе на различных форумах. А лучше изучайте законодательство, при проверке со стороны регуляторов ссылки на понравившиеся посты с форума будут доказательством менее весомым, чем статья в законе :-)

Теперь о том, почему Вы можете ко мне прислушаться:

1. Защитой персональных данных на практике я занимаюсь с лета 2009 года, многие кто сейчас дает  советы по персоналке, имеют опыт поменьше и даже не видели ДСПшное четверокнижие :-)
2. В вечном споре лицензиатов и владельцев ИСПДн понимаю обе стороны, так как раньше работала в органе по аттестации, а теперь в одной из компаний нефтегазовой отрасли. Удивительно, кстати говоря, как меняется мировоззрение человека на вопросы защиты персональных данных в зависимости от того, оказывает ли он платные услуги по внедрению систем защиты. Появилась мечта увидеть в своем почтовом ящике коммерческое предложение по услугам – «сто АРМ за сто рублей», раньше это было моим кошмаром:-) 

Совет: рассылайте множество запросов на коммерческие предложения в разные города, цены устанавливаются, исходя из жадности лицензиата, и иногда командировочные обходятся дешевле местных. Также обязательно уточняйте, что рассматриваете несколько вариантов, дабы не попасть в графу «те, кому деваться некуда, готовы заплатить сколько скажем» :-)

Можно, конечно же, перечислять другие заслуги, но хвалить себя нехорошо (а еще я аспирант, ну теперь все :-)), поэтому перейдем наконец-то к плану по защите персональных данных.

Основные этапы работ следующие:

1. Разработка формы согласия на обработку ПДн.
2. Получение согласия на обработку ПДн.
3. Определение класса и состава ИСПДн.
4. Подготовка приказа о создании комиссии по классификации ИСПДн.
5. Подготовка актов о классификации ИСПДн.
6. Утверждение актов о классификации ИСПДн.
7. Подготовка перечня общедоступных данных и введение его в действие приказом.
8. Подготовка и согласование приказа о назначении лиц, ответственных обеспечение режима обработки ПДн.
9. Ознакомление сотрудников, участвующих в обработке ПДн с положениями и инструкциями.
10. Подготовка и согласование приказа о введении режима обработки ПДн.
11. Разработка и утверждение актов декларирования соответствия ИСПДн требованиям безопасности информации.
12. Разработка моделей угроз безопасности ПДн по требования ФСТЭК и ФСБ.
13. Утверждение моделей угроз безопасности ПДн.
14. Разработка частного технического задания на систему защиты.
15. Утверждение частных технических заданий.
16. Работа с подрядчиком по поставке, установке и настройке средств защиты.
17. Разработка и утверждение нормативной документации.

 

Этапы можно менять местами, что-то делать одновременно, например, пока лицензиат настраивает систему защиты, Вы разрабатываете документы.

 Совет: Сбор согласий и утверждение положений об обработке и защите персональных данных желательно делать как можно раньше. Роскомнадзор в основном волнуют листочки согласия (Регламент проверок, пункт 64.1), а Положение поможет в случае возникновения инциндентов. Так как работы по созданию комплексной системы защиты затягиваются на многие месяцы, в этот период есть вероятность, что кто-то случайно или преднамеренно будет способствовать утечке персональных данных. Утвержденное положение с листом ознакомления всех сотрудников поможет Вам в нелегком деле служебных расследований:-)

Резюме: Общий план мероприятий готов, подавать начальству с подписями ответственных лиц и указанными сроками.