Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Персональные данные и малый бизнес

1 июля вступает в действие ФЗ-152 "О защите персональных данных" в той ее части, которая отвечает за автоматизацию ИСПДн - Информационной системы персональных данных. В госдуме лежат очередные поправки к этому закону, но они не приняты, и вряд ли их примут до конца месяца.

А это значит, что закон вступает в силу в той его части, которая касается абсолютно всех предпринимателей и все коммерческие организации, включая ИП.

24 июня, по приглашению Игоря Белоусова [info]inbelousov (Игорь, спасибо!), я был на семинаре по защите персональных данных. На этом семинаре выступали представители регуляторов, которые ответственны за контроль исполнения данного закона, а именно — Роскомнадзор http://www.rsoc.ru/ и ФСТЭК http://www.fstec.ru/.

Далее, я изложу тезисно основную информацию, которую почерпнул на данном семинаре. Включая примеры. Эта информация будет полезна всем и каждому директору и собственнику. Также, по тексту я буду давать ссылки на страницы сайта http://ispdn.ru/, который очень полезен для изучения по данной тематике.

ПД (персональные данные) — любая комбинация ФИО, паспортных данных, ИНН, инвалидной справки, судимости не дай бог, и т.д. и т.п. Комбинация ПД может быть общедоступной или конфиденциальной. Общедоступность ПД может быть подтверждена субъектом (человеком) ПД только письменно и никак иначе. http://ispdn.ru/basis/520/#text

Если вы ИП или собственник (директор) компании, и у вас есть сотрудники, то вы — оператор персональных данных. http://ispdn.ru/basis/525/#text

Любые действия с ПД сотрудников в любой компании подпадают под определение обработки и хранения ПД.

Каждый оператор должен уведомить регулятора Роскомнадзор о том, что он является таковым — т.е. оператором ПД. Это требование закона Ст.22 Ч.2. В законе есть исключения, снимающие требование об уведомление, в т.ч. не нужно уведомлять регулятора, если вы используете ПД сотрудников только в рамках трудовой деятельности. Но тут есть много нюансов. Например, если вы оформляете сотрудника полисы ДМС, то по определению передаете ПД сотрудников третьим лицам. И тут уже непонятно, в рамках или не в рамках трудовой деятельности вы это делаете. Нужно внимательно изучать соответствующую статью закона.

В любом случае, любые операции с ПД своих сотрудников вы должны делать только с их письменного согласия. И это не шутка. Это касается всех нас.

Пример 1. При увольнении сотрудника вы не взяли с него подписку о том, что его ФИО, ИНН и информация о начисленной зарплате может хранится в архиве компании 75 лет (это реальный срок хранения таких данных). Если сотрудник на что-либо обижен, работая у вас, то он легко может написать жалобу в Роскомнадзор. И Роскомнадзор придет к вам с проверкой — документальной или выездной.

Пример 2. Вы организовали группу своей компании вКонтакте, и вывесили туда фотки своих сотрудников со ссылкой на их страницы. Или сделали тоже самое на своем корпоративном сайте. Если вы сделали все это без письменного согласия своих сотрудников, и они написали на вас жалобу, то Роскомнадзор будет рассматривать это, как нарушение. Без шуток. Представительница Роскомнадзора сказала, что уже давно дружит с вКонтактом семьями.

Штрафы сейчас вроде как маленькие, но будут большие — сотни тысяч рублей. Нарушения необходимо устранять в срок — 3 дня.

Если вы прекратили обрабатывать персональные данные человека (например, заказчика в Турфирме), то вы должны уничтожить их в срок 3 дня. Либо он должен подписать вам согласие, что вы можете обрабатывать и хранить его данные вечность. Это касается всех, кто оказывает услуги клиентам частным лицам — турфирмы, юристы, ТСЖ и т.д.

ПД — если они не являются общедоступными с письменного согласия субъекта, то они являются конфиденциальной информацией.

Совокупность субъект (человек) + организационно-правовые бумаги + средства автоматизации = автоматизированная система ПД — ИСПДн.

Если вы работает в 1С:Бухгалтерии или в чем-то подобном, и начисляете своим сотрудникам зарплату (или выписываете счета клиентам физическим лицам), то вы используете автоматизированную ИСПДн.

Автоматизированную ИСПДн нужно защищать техническими средствами. Именно в этой части и вступает в действие закон с 1июля.

Техническая защита ИСПДн = деятельность по технической защите конфиденциальной информации — ТЗКИ.

А теперь внимание! Деятельность ТЗКИ по действующему законодательству является лицензируемым видом деятельности. Это самый большой косяк ФЗ-152 и его подзаконных актов. Формально получается, что любой оператор ПД (любая компания или ИП) должен подучать лицензию на ТЗКИ. А это,братцы мои, большие бабки.

Вопрос — зачем и надо ли???

На семинаре этот вопрос я усиленно задавал представителю ФСТЭК. Он дал следующий ответ — если компания оператор ПД делает ТЗКИ только для внутреннего употребления, то с его точки зрения лицензия ТЗКИ не нужна. Вопрос о том, что такое "внутреннее употребление" в законе и подзаконных актах четко не раскрыт.

Все как обычно — российское законодательство несовершенно настолько же, насколько необязательно его выполнять.

Еще раз повторюсь — это личное мнение высокопоставленного представителя ФСТЭК Санкт-Петербурга. В законе тема получения лицензии ТЗКИ простым ИП из Усть-Илимска, у которого 10 сотрудников, куча клиентов физ-лиц и большой сервер с 1С, четко не раскрыта!

Теперь переходим к технической защите конфиденциальной информации — ТЗКИ.

С точки зрения закона о ПД, ваша автоматизированная ИСПДн должна быть классифицирована и защищена в соответствие своему классу сертифицированными техническими средствами. Простыми словами, на вашем сервере или компьютере должно быть установлено лицензионное и сертифицированное ФСТЭК программное обеспечение.

Пример. 1С выпустила специальную сертифицированную платформу 1С: Предприятие 8.2z, которая стоит дополнительных 10 тс. руб.

После того, как вы классифицировали и защитили свою ИСПДн, вы должны сдать ее в эксплуатацию регулятору. Т.е. получить аттестацию ФСТЭК. Или продекларировать регултору соответствие вашей ИСПДн всем требованиям безопасности ПД и КИ.

Запутались? :))) я тоже :)))

Попробую изложить по шагам:

С точки зрения закона, любому оператору ПД из микро, малого и среднего бизнеса, который использует средства автоматизации своей деятельности, т.е. компьютеры, программы и интернет, необходимо http://ispdn.ru/basis/524/#text :

1. Классификация ИСПДн. Класс автоматизированной ИСПДн для любого оператора из микро, малого и среднего бизнеса — это класс 3. http://ispdn.ru/basis/522/#text

2. Мероприятия по ТЗКИ. Т.е. приведение вашего компьютерного хозяйства в соответствие с подзаконными актами ФЗ-152.

3. Декларирование соответствия или обязательная аттестация по требованиям безопасности информации регулятору (ФСТЭК).

Вот с этим декларированием соответствия тоже не все идеально. А точнее все не идеально. Цитаты http://ispdn.ru/basis/527/#text :

Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", ФСТЭК России, 2008 г., п.3.11).

К сожалению, в настоящее время процесс декларации соответствия не регламентирован. Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. "Основные мероприятия по организации...", п. 3.3).

При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. "Основные мероприятия по организации...", пп. 4.2, 4.3).

2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.

Все поняли? :))) Я лично уже давно ничего не понимаю про эти ПД.

Краткий итог всей этой глупости и мути:

1. С 1 июля наступает для всего российского малого и не только бизнеса очень дурная правовая ситуация, связанная с использованием компьютеров и программ при обработке ПД.

2. Закон и подзаконные акты в части защиты ИСПДн, в существующем виде очень запутаны, усложнены и несовершенны.

3. Осуществить техническую защиту ПД с точки зрения закона и подзаконных актов, в рамках малого и не очень бизнеса, не представляется возможным. Хотя бы потому, что большинство новых версий антивирусных программ не имеют сертификатов ФСТЭК. Ровно такие же слова сказал третий выступающий на семинаре — представитель компании ПетербургГаз, который занимается практической деятельностью в области ТЗКИ и ИСПДн.

4. Техзащита вашей ИСПДн должна сопровождаться огромным количество юридических бумаг, составить которые вы сможете, если не будете спать, есть и выполнять основную работу. Либо надо нанимать юриста, но он тоже всего лишь человек.

5. В любом случае, требования и мероприятия к технической безопасности ПД должны быть подкреплены огромным количеством административных и организационных мер, о которых в реальной жизни никто из нас не думает.

В конце, пример о том — как весь этот бред может коснуться нас всех?

Кто-то из ваших сотрудников или клиентов решит, что вы слили его ПД на сторону. И напишет на вас жалобу в Роскомнадзор. Прям на сайте Роскомнадозора это можно сделать.

Роскомнадзор обязан прийти к вам с проверкой. Первое, что он сделает, это проверит ваши административные и организационные бумаги в части защиты ПД. Если на этом этапе он не выявит нарушений, то вам повезло. Если же нарушения найдутся, то Роскомнадзор предъявит вам претензию и сообщит в том числе о ваших нарушениях во ФСТЭК. Дальше продолжать? :)

Запасайтесь терпеньем :) С 1 июля наш бизнес станет еще более уязвим со стороны регулятров.

ВАЖНЫЙ АПДЭЙТ.

Реальные примеры в области ПД, которые с точки зрения регуляторов, необходимо учитывать при защите ИСПДн, и на которые указал уважаемый [info]max_t.

Пример. Если на предприятии обрабатываются ПДн работников, то уведомлять Роскомнадзор в общем случае не надо. Но если в личных делах содержится скан фотографии (сканы паспорта делают все!) или данные из больничных листков, то это уже биометрические данные и данные о состоянии здоровья, а их надо защищать уже по высшему классу, с аттестацией фстэк и получением лицензии. ))

Чтобы этого избежать, необходимо подписывать согласие сотрудника на сканирование паспорта и т.д. Тоже самое относится к системам контроля доступа в помещения (СКУД).

Пример. В этом же ракурсе присмотримся к компьютеру дома или, тем более, на работе. Записная книжка аутлука, бата или тандерберда используется? )) защитите сертифицированными средствами немедленно.

Да, этот пример, увы, тоже относится к ИСПДн. Т.е. на ваш компьютер должен быть, как минимум, сертификат ФСТЭК на Виндоуз (таковой есть в природе), плюс куча всяких бумажек, в которых вы пишете о том, что вам разрешено вести клиентскую базу данных в служебных целях на этом компьютере, в этих программах, а модель угроз вашей ИСПДн не предполагает, что ваш компьютер представляет канал утечки ПД.

Комментарий: На самом деле, конечно, не все так страшно. В принципе, защитить систему обработки ПДн для небольшой компании не очень сложно и дорого.

Для малой компании действительно не все так сложно и дорого. Скорее всего хватит бумажек и сертификатов на тот же Windows. Но вот эти бумажки вы готовы сами писать? Например — Модель угроз для ИСПДн? У вас есть на это время? А деньги, чтобы купить пакет каких-то типовых документов? Лично я не готов. Пока не готов.

Оригинал статьи здесь: http://infomaker.livejournal.com/132442.html

Комментарии (20)

  • Аватар

    Рубинштейн Кирилл [krubinshteyn], 29 июня 2011, 18:11

    1
    все сайты, форумы и прочее в принципе можно закрывать.

    Но вот а мне — пофиг. Я сделан из мяса.
  • Аватар

    Прокудин Николай Владимирович [www.serv-comp.ru], 30 июня 2011, 09:25

    2
    Ну естественно, главная цель этого законодательного бреда - расширение базы доения бизнеса чиновниками. У них снова кончились деньги, им стало нечего воровать :(
    • Аватар

      Рубинштейн Кирилл [krubinshteyn], 30 июня 2011, 10:24

      0
      Зачем видеть в каждой иницииативе попытку кого-то обворовать? Чиновничья прослойка, которая ворует у малого бизнеса (а надо признать, что это по иерархии ниже среднего) тупо не догадались бы придумать и протащить такой закон.

      Идея закона очень дельная. Мне вот, например, совсем не хочется видеть базы данных паспортов на горбухе.
      • Аватар

        Яковлев Андрей Михайлович [swtws], 30 июня 2011, 13:47

        0
        Тока реализация этой идею выглядит смесью боевиков про Джеймса Бонда с советским фильмом про удои и надои. Где принцип разумной достаточности??? 
      • Аватар

        Прокудин Николай Владимирович [www.serv-comp.ru], 30 июня 2011, 15:52

        0
        А самое печальное, что базы с нашими данными с горбухи и прочих мест никуда не денутся. Спрос рождает предложение, а спрос на такие вещи будет ВСЕГДА к сожалению.
        • Аватар

          Безносов Илья Николаевич [ilnikbez], 01 июля 2011, 06:25

          0

          Всегда будет это вряд ли. Человеческие реквизиты как и организационные должны быть общедоступны и открыты. Это решило бы множество проблем. Какой смысл скрывать какую либо информацию о себе? Возможность утаивать информацию и рождает искажение смысла. Некачественная информация резко снижает эффективность любого управленческого решения.

          • Аватар

            Рубинштейн Кирилл [krubinshteyn], 01 июля 2011, 08:46

            0
            Довольно таки большое количество мошенничеств (в т.ч. и мелких) основано на приемах из социальной инженерии. И для этих методов очень важна персональная информация -- чем больше вы знаете о человеке, тем эффективнее и шире методы соц. инженерии, которые можно применить по отношении к нему.

            Один из банальных примеров -- звонят чьей-нибудь матери и говорят, что её сын попал в неприятности и ему светит 10 лет колонии, но она все может решить, если передаст человеку, который вот-вот подъедет, N рублей. И чем больше мошенник знает о матери и её сыне, тем с большей вероятностью жертва поверит и отдаст деньги. В телевизоре и инторнетах об этом пару лет назад очень неплохо разгоняли тему.

            Само-собой, при большом желании эта информация найдется и мимо всяких технических средств защиты. Но суть такова.
        • Аватар

          Котельников Илья [iluha], 01 июля 2011, 09:47

          0
          Один мой коллега-безопасник утверждает, что есть базы, на которые существует просто гигантский спрос, но которые до исх пор недоступны для черному рынку. Например, база данных судебных приставов по правам на имущество и должникам. Очень нужна для розницы всех банков, но нет ее нигде...
  • Аватар

    Key Iten [inggvar], 01 июля 2011, 07:23

    1
    закон конечно странный да и хлопот много. но вот пример из жизни в студ годы участвовал на конкурсе лучший студент года. Было это на 5 курсе обосновывали для поиска работы. На конкурсе присутствовали работодатели города. Ну так вот все это удачно прошло. Нас с каждого факультета лучших так сказать опубликовали в сборник. И кто удачно придумал выложить его в инет. А там фото фио адрес проживания телефоны почта и биография ну и так по мелочи. я конечно не шпион и не скрываюсь ни от кого. все же мне показалось это слишком пришел к ним начал объяснять что так не нужно делать смотрели как на дурака. все же убрали. а теперь вон закон под нос и все нет проблем с объяснениями =)
  • Аватар

    Лагутин Максим [piepl], 04 июля 2011, 12:12

    0
    По поводу лицензии на ТЗКИ (техническую защиту конфиденциальной информации), она будет не нужна с ноября этого года - благодаря новому Федеральному закону №99 "О лицензировании отдельных видов деятельности".

    Согласно п.4 ст.8 данного закона "к лицензионным требованиям не могут быть отнесены требования о соблюдении законодательства Российской Федерации в соответствующей сфере деятельности в целом, требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, а также требования к конкретным видам и объему выпускаемой или планируемой к выпуску продукции".

    Такими требованиями является техническая защита персональных данных, а законом - 152 ФЗ "О персональных данных".

    Данная статья вступит в силу только в ноябре этого года - но это существенно облегчит жизнь операторам персональных данных.

    По поводу сложности соответствия - документацию, регламентирующую обработку и защиту персональных данных несложно сделать. Мало того, что в интернете много шаблонов, так и появился сервис, где можно автоматически ее составить - http://www.b-152.ru/.

    С технической защитой нужно повременить, хотя бы до нормализации требований по ней.

    А с документацией всё понятно уже более года.

  • Аватар

    Клименко Иван Константинович [ivan.k], 04 июля 2011, 12:22

    0
    Статья ни о чём, страшилка которая ходит по неокрепшим умам недобезопасников с самого вступления (2008) в силу ФЗ152. Просто по мелочи, по  примеру из апдейта:
    К биометрическим данным можно отнести только то, что может попасть под требования ГОСТа 19794. Всё остальное отсебятина. пусть юристы разминаются на тонкостях формулировок. Больничные листы нынче хранятся в не в формате скана в системе, а в формате "болел" в табеле и всё. Сами же бюллетени  в бумажном виде (687ПП). Группа крови, инвалидности к сведениям о состоянии здоровья не относится даже ВОЗом. "Высшего класса , аттестаций ФСТЭКа и т.п." тоже страшилки из давно почившего 4хкнижья ФСТЭК (вместо него сейчас по сути 58 приказ). Кстати эти требования уже тогда были не законны, а сейчас тем более. Про лицензию на ТЗКИ вообще молчу - нонсенс с нарушением всех мыслимых норм законодательства. Проще говоря, покажите мне в каком месте написано о необходимости всем подряд иметь эту лицензию. Есть только одно место (п 1.3 П58 ФСТЭК) и оно касается только интеграторов. Согласие есть форма договора которое по ГК ст 158 может быть в 3х видах (письменном, устном и в виде конклюдентных действий)... Классификация в текущем виде противоречит ФЗ152, по ней существуют только специальные системы без каких либо классов. Кстати, если почитать рекомендации Минздрава на этот счёт то увидим подпись руководителя фстэк под фразой "типовая медсистема считается специальной 3го класса".. Второй пример, ещё хуже...
    • Аватар

      Севрук Владимир [sevruk.com], 04 июля 2011, 17:45

      0
      Очень может быть, что статья "ни о чем". Я не буду спорить с этим утверждением. 

      Предлагаю вам написать статью "о чем" - сухо, конкретно, по делу и по пунктам - 1, 2, 3. Готовы?
      • Аватар

        Клименко Иван Константинович [ivan.k], 04 июля 2011, 18:05

        0
        Морально готов. Хотя я в комменте "коротко и о чём" вроде написал)... Можно длиннее, но думаю что это больше будет похоже на выжимку ряда известных блогеров по теме. Если есть конкретные вопросы по теме готов ответить с нормативкой в руках. 
        • Аватар

          Севрук Владимир [sevruk.com], 04 июля 2011, 18:31

          0
          В том то и дело, что в данном сообществе пока не было конкретных статей "о чем". Я же уже обращал внимание на эту тему: http://smartsourcing.ru/micro_posts/171

          Касаемо вашего комментария, то лично я ничего не понял... Возможно я тупой, но по моему вы подтвердили лишний раз все то, о чем я написал в моей статье "ни о чем". Не так?
          • Аватар

            Клименко Иван Константинович [ivan.k], 04 июля 2011, 19:07

            0
            По ссылке, к сожалению, нашла отражение постоянно повторяемая охинения ряда представителей регуляторов на тему лицензии на ТЗКИ. Прошу внимательно отнестись к игре слов,которую затеял регулятор. Лицензия на деятельность в какой либо области даёт ПРАВО ей заниматься. В ФЗ152 оператора ОБЯЗЫВАЮТ заниматься этой деятельностью. Кстати деятельность по ГК = предпринимательская, т.е. к среднестатистическому оператору ПДн не подходит. Касается это только интеграторов по ИБ, т.е. тех кто оказывает услуги, что собственно ФСТЭК и указал в своём приказе 58 Приказе.


          • Аватар

            Клименко Иван Константинович [ivan.k], 04 июля 2011, 19:37

            0
            В своём комменте я разобрал штампы, касающиеся ПДн, нашедшие отражение в частности в примере к статье (из апдейта). К таковым относятся:
            1. Классовость ИСПДн
            2. Необходимость поголовной аттестации и лицензии на ТЗКИ
            3. ФСТЭК с ФСБ всех порвёт
            4. Больничный = сведения о состоянии здоровья -> нужна какая особая мега защита со всеми вытекающими.
            5. Скан паспорта = биометрия.

        • Аватар

          Копченков Виктор [kopchenkov], 07 июля 2011, 11:42

          0
          "О чем" - это будет тогда, когда я или любой другой человек из малого бизнеса прочтет и поймет что и как ему нужно сделать, чтобы решить вопрос соответствия закону и не угробить свое предприятие.
    • Аватар

      Горбунов Иван Викторович [Ardor], 04 июля 2011, 18:14

      0
      Ну возможны вы правы, но именно такое неокрепшее впечатление оставляют регуляторы, которые приезжают и начинают говорить мы вас за все оштрафуем, а уж если кто-то нажалуется то еще и посадим.
      Лично был на одном из таких семинаров, как же было смешно что на весь новосибирский отдел всего 2 спеца и один руководитель..... которые до всех, всех доберутся. На счет медицины, то многие руководители отделений в глаза не видели  "...рекомендации Минздрава на этот счёт...." бегают за спецами кто бы сделал. А на винду есть сертификат и соответствующая версия правда поставляется она через Альбатрос, и антивирь их корпоративный который содержит ядра других антивирей через эту же фирму сертифицирован, каспер чем то таким тоже баловался в версии 9, это все для фстека пойдет. А вот вопрос когда привлекают к проверке фстэк, а когда ФСБ для меня так и остался загадкой.
      • Аватар

        Клименко Иван Константинович [ivan.k], 04 июля 2011, 18:52

        0
        Ну насчёт проверок никаких загадок - 294ФЗ + регламенты служб. Если кратко - до 01.07 во главе РКН, если он в чём сомневается, то может натравить ФСТЭК и ФСБ. Сами эти службы особых прав на проверки не имеют. Разделение же по сферам деятельности вроде как тоже простое - ФСБ отвечает за всё с криптографией, ФСТЭК за всё остальное. Опять таки подробности в регламентах служб. Рекомендации Минздрава открыты и лежат на сайте министерства. Кто такие Альбатрос? Я знаю про сертифицированный Виндовс от НТЦ Атлас. Сертифицированные антивири ФСТЭКом есть и дрвеба и у есета...
        Ну и самое смешное это штрафы - ст. 13.11 до 10тр (сильно надо постараться)... есть ещё варианты попасть на 0,5млн но это в случае злостного неисполнения предписаний и т.п. в Общем надо сильно постараться, чтобы вам действительно стало страшно....

Также рекомендуем

16 апреля 2013 в 11.00

Вебинар Максима Лагутина "Закон "О персональных данных": грядут перемены"

Регистрируйтесь здесь!