Кто проверяет 152 фз

Кто проверяет 152 фз

Практическое руководство по выполнению требований 152-ФЗ


Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела.
Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

10 апреля 2015 Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства.

Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход. Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.
Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.

Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.

Каждый из этих подходов имеет свои недостатки. Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов.

На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.

Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций. Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации.

Рассмотрим подход подробнее. Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

  • .
  • .
  • .

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система. Разберем порядок действий на отдельно взятой информационной системе.

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной . Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».
Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с

«Методикой определения актуальных угроз безопасности персональных данных»

. В общем случае алгоритм выглядит так:

  • На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
  • Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  • По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  • На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  • Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.

Необходимо определить, к какому типу относятся актуальные угрозы.

Существуют три типа угроз:

  1. связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  2. связанные с наличием недекларированных возможностей в системном программном обеспечении;
  3. не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся. Следующим шагом необходимо определить категорию обрабатываемых данных.

Существуют следующие категории персональных данных:

  1. биометрические;
  2. общедоступные;
  3. иные.
  4. специальные;

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ. Необходимо определить объем обрабатываемых ПДн.

Здесь возможны 3 вариации:

  1. более 100 тысяч;
  2. ПДн сотрудников Оператора (без привязки по объему).
  3. до 100 тысяч;

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119. Для Определения УЗ можно воспользоваться специальной таблицей: Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013. Для этого определяются дополнительные к предыдущему разделу показатели:

  • Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  • Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21. Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17. В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС.

Назовем его базовый набор мер. Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе.

Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер.

На выходе получаем дополненный адаптированный базовый набор мер. В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации.

Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации.

На этом этапе привлекаются оказывающие соответствующие услуги. При самостоятельном внедрении . Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства. Для ИСПДн оценка соответствия в форме аттестации не обязательна.

Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения.

Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций. Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.
Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации. В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах.

Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно. Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней?

Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.

Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации. Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур» Подписаться × Загрузить ещё

Проверка Роскомнадзора на 2021 год – что проверяют, как подготовиться, виды проверок

» Главная > О Центре > ПубликацииСветлышева Ольга Юрьевна, преподаватель Центра по направлению Управление персоналом и кадровому делу В статье читайте:

  • Где получить дополнительную информацию о проведении проверок Роскомнадзора
  • Что требует проверяющий
  • Как проходит проверка Роскомнадзора
  • Как работодателю подготовиться к проверке Роскомнадзора
  • Какая ответственность за нарушение обработки персональных данных работников введена с 01.07.2017

У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:

  • Защита информации, являющейся государственной тайной.
  • Регистрация СМИ.
  • Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
  • Надзор над предоставлением услуг в области связи.
  • Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
  • Ведение информационной системы, реестров операторов связи.

Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.С 01.07.2017 вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».Данный закон установил семь новых составов административных правонарушений при обработке ПД, затрагивающих основной круг распространенных правонарушений в области ПД.Полная информация об ответственности за нарушение правил обработки ПД приведена в таблице 3:

Роскомнадзор осуществляет следующие формы проверок:

  1. Плановая.

    О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки.

    Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.

  2. Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы.

    Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками.

    О внеплановом контрольном мероприятии фирма предупреждается за сутки.

  3. Выездная. Проверка осуществляется на месте.

    То есть инспекторы сами приезжают в фирмы.

  4. Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.

Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку.

По этой причине нужно готовится заблаговременно.Информация о порядке проведения проверок предоставляется (п. 11 Административного регламента №312):

  1. посредством размещения на официальном сайте Роскомнадзора и его территориальных органов в информационно-телекоммуникационной сети «Интернет» (п. 15 Административного регламента №312)
  2. непосредственно в центральном аппарате Службы и ее территориальных органах.

Место нахождения центрального аппарата Роскомнадзора: 109074, Москва, Китайгородский проезд, д.

7, стр. 2.Почтовый адрес для направления обращений: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.Официальный сайт: https://rkn.gov.ru/ и www.роскомнадзор.рфГрафик работы Роскомнадзора и его территориальных органов: понедельник — четверг 9.00 — 18.00; пятница 9.00 — 16.45 (в предпраздничные дни продолжительность времени работы сокращается на 1 час).Часы приема корреспонденции в экспедиции Роскомнадзора: понедельник — пятница 10.00 — 13.00, 14.00 — 16.00.Телефон Роскомнадзора для получения справок по вопросам проведения проверок за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, электронный адрес: 23.07.2019Государственный орган осуществляет надзор над операторами персональных данных.

Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.СПРАВКА!

Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.Роскомнадзор осуществляет контроль над следующими направлениями:

  1. Наличие локальных нормативных актов.
  2. Сайт организации.
  3. Системы, осуществляющие обработку данных (ПК и программы).
  4. Исполнение положений этих актов.
  5. Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.

Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.Точного перечня бумаг, подлежащих надзору, не существует.

Однако можно назвать примерный ряд бумаг:

  1. Журналы инструктажей относительно мер безопасности.
  2. Уведомление о том, что фирма работает с ПД.
  3. Приказ о допуске таких сотрудников к ПД.
  4. Перечень работников, у которых есть доступ к данным.
  5. Положение об ответственности сотрудников за разглашение ПД.
  6. Учредительная документация (ИНН, устав и прочее).
  7. Перечень ПД, сбор которых осуществляется.
  8. Письменное согласие лиц на обработку.
  9. Документ об обработке ПД.
  10. Журналы учета носителей сведений.
  11. Соглашение о неразглашении ПД.
  12. Инструкции для специалистов, которые работают с данными.
  13. Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).

Роскомнадзор также может затребовать и другие документы.Роскомнадзор по итогам плановой проверки выписал организации (бассейну) предписание с требованием прекратить использование на пропусках клиентов их фотографий.Нарушение заключалось в том, что бассейн не заручился отдельными письменными согласиями пловцов на обработку их биометрических персональных данных в виде фотоизображений (ст.

11 закона № 152-ФЗ).Источник:Журнал «Время Бухгалтера»Рубрика:Защита персональных данныхТеги: персональные данные проверка Роскомнадзора защита персональных данных обработка персональных данныхВерсия для печатиЗаписаться 58509750 ₽–40%Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации.

Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:

  • Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
  • Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
  • Проверка правильности хранения документов, ограниченности доступа к ним.
  • Составление Политики фирмы в отношении обработки ПД.
  • Проверка системы безопасности: наличие замков и сейфов.
  • Назначение лица, ответственного за работу с ПД.
  • Проверка соответствия деятельности информации, прописанной в едином реестре.

Для подготовки бумаг можно использовать специальные онлайн-сервисы.Ежегодные планы инспекций операторов ПД размещены на официальном сайте РКН.

В Постановлении установлен не только порядок реализации проведения проверки Роскомнадзора, но и их периодичность. Для включения оператора в план проверки необходимо, чтобы прошло 3 года с:

  1. госрегистрации в качестве юрлица или ИП;
  2. даты последней проверки.

Не чаще одного раза в 2 года проверяются операторы, осуществляющие:

  1. обработку ПД по поручению иностранного: госоргана, юрлица, физлица, — если они не оформлены в РФ в установленном порядке.
  2. сбор ПД категорий “специальные” и биометрические;
  3. обработку ПД в ИСПДн со статусом государственных инфосистем в соответствии с федеральным законодательством;
  4. трансграничную передачу ПД, если иностранное государство не обеспечивает достаточную защиту прав владельцев данных;

Проверки Роскомнадзора по персональным данным проводятся в форме запроса документов — документарная, или с выездом на место— выездная, что проверяют:

  • Выездная проверка проводится по месту расположения оператора и (или) по месту его фактической деятельности по обработке персональных данных.
  • Документарная — в рамках проведения плановой инспекции анализируются документы и информация, полученная от оператора по письменному запросу РКН, который направлен оператору любым доступным способом. Проводится по месту локализации проверяющего органа.

Важно!О начале плановой проверки Роскомнадзор оповещает оператора за три рабочих дня.

Копия приказа доставляется заказным письмом с уведомлением или в виде электронного сообщения, подписанного усиленной квалифицированной ЭП, если e-mail оператора размещен на его сайте или был предоставлен в РКН ранее.Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие.

Сначала инспекторы проверяют документы, связанные с информационным направлением.

Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней.

Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора.

Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.Во время проверки:

  • Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  • Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  • Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  • Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  • Не паникуйте;
  • Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  • Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Согласно ч. 1 ст. 14 закона № 294 обязательным условием для начала проверки является издание руководством территориального органа Роскомнадзора соответствующего приказа. Перечень требований к данному приказу обозначен в ч.

2 ст. 14 закона № 294. В приказе о проведении проверки должен быть указан исчерпывающий перечень документов, которые организации нужно представить для достижения цели проверки.Для справки!

В законодательстве нет конкретного перечня документов, которые вправе истребовать проверяющие сотрудники Роскомнадзора, или ограничений по истребованию отдельных видов документов. Поэтому в рамках проверки может быть запрошен любой документ (кроме уже имеющихся в Роскомнадзоре), но только в пределах проверяемых Роскомнадзором направлений.В то же время порядок истребования документов установлен достаточно подробно и выглядит он следующим образом:

  1. согласно чч. 4 и 5 ст. 11 закона № 294 Роскомнадзор должен направить в проверяемую организацию письменный запрос и копию приказа о проведении проверки с указанием списка всех необходимых документов;
  2. после получения такого запроса организация должна в течение 10 дней направить заверенные ее руководителем копии указанных документов.

Важно! Копии документов можно отправить как по почте, так и в электронном виде, заверив их усиленной ЭЦП, если такая возможность есть у организации.Подпишитесь на рассылкуЯндекс.Дзен ВКонтакте TelegramВ свою очередь, Роскомнадзору запрещается запрашивать оригиналы документов или требовать их нотариального удостоверения.В случае если при проверке представленных документов обнаружатся противоречия между ними, Роскомнадзор может назначить выездную проверку.В ходе выездной проверки сотрудники Роскомнадзора имеют право знакомиться с документами, получать их копии.

В то же время истребовать документы, которые есть в распоряжении Роскомнадзора или иных государственных органов, согласно п. 8 ст. 15 закона № 294, проверяющие не вправе.Если проверка была проведена не по правилам, то руководитель предприятия может обжаловать её результаты.

Важно обратить внимание на сроки уведомления, аккредитацию инспекторов, соблюдение ими правил проверки.

Если что-то из этого было нарушено, а предприятие пострадало, составить возражение можно в течение 15 дней.

Не нужно бояться инспекцииС персональной информацией работают все – образование, здравоохранение, общепит, и даже небольшое ИП с одним сотрудником. Утечка личных карточек может нанести серьёзный вред, и именно на его предотвращение направлена инспекция Роскомнадзора.В Трудовом Кодексе РФ 14 глава называется: «Защита персональных данных работника».

Государственная инспекция труда проводит контрольно-надзорные мероприятия по поводу выполнения требований всего Трудового кодекса и, соответственно, не может обойти стороной главу 14. На проверках обращают внимание на требование пункта 8 статьи 86:

«работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области»

.

Таким образом, проверяют наличие такого документа и факт ознакомления с ним всех работников.Административная ответственность за нарушение этих требований предусмотрена статьей 5.27. КоАП — штраф в размере от 30 000 до 50 000 рублей.Статья 19 федерального закона «О персональных данных» устанавливает меры по обеспечению безопасности персональных данных при их обработке.В части 3 статьи 19 сказано, что Правительство РФ устанавливает уровни защищенности персональных данных при их обработке в информационных системах персональных данных (далее — ИСПДн) и требования к защите персональных данных в ИСПДн.

Таким образом, у нас появилось Постановление Правительства №1119 от 01.11.2012, определяющее эти требования.В части 4 статьи 19 установлено, что состав и содержание необходимых для выполнения установленных Правительством требований, организационных и технических мер по обеспечению безопасности персональных данных, при их обработке в ИСПДн устанавливают ФСТЭК и ФСБ в рамках их полномочий.

Во исполнение этого требования у нас появились:

  1. приказ ФСБ РФ от 10.07.2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите».
  2. приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Фактически между ФСБ И ФСТЭК разделили полномочия в этой сфере, где ФСБ определяет меры по защите ИСПДн, при использовании в них средств криптографической защиты, а ФСТЭК — меры по всем остальным вопросам обеспечения безопасности.В части 8 статьи 19 федерального закона «О персональных данных» закреплен важный момент: «Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных».Выходит, ФСБ и ФСТЭК могут проверять только организации, эксплуатирующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен.

Сказано лишь, что ФСТЭК И ФСБ «решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».Проверки ФСТЭК и ФСБ могут быть как плановыми, так и внеплановыми.В рамках проверок ФСБ обращает внимание на:

  1. организационные меры, установленные в соответствии с приказом ФСБ № 378 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
  2. документацию на средства криптографической защиты информации (лицензии, сертификаты, формуляры и пр.).
  3. наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ;
  4. наличие средств криптографической защиты информации, порядок их учета и эксплуатации;

В рамках проверок ФСТЭК обращает внимание на:

  1. наличие модели нарушителя и угроз, актов установления уровней защищенности для ИСПДн;
  2. наличие средств защиты информации, порядок их учета и эксплуатации;
  3. материалы аттестационных испытаний (в ГИС).
  4. организационные меры, установленные в соответствии с приказом ФСТЭК России № 21 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.);
  5. документацию на средства защиты информации (лицензии, сертификаты, формуляры и пр.);

За нарушение данных требований установлена ответственность в соответствии со статьей 13.12 КоАП РФ:

  1. за нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации — штраф до 15 000 рублей для юридических лиц.
  2. за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации — штраф до 25 000 рублей для юридических лиц;

Повод для обжалования — любое нарушение сотрудником Роскомнадзора правил, предписанных Постановлением. Ревизоры не показали приказ о проверке, не пускали вас в помещение и не давали высказаться, превысили допустимые сроки проверки?

Все это достаточные основания.Кроме того, вы можете подать жалобу, если РКН запретил вам работать с персональными данными, а вы уверены, что ничего не нарушали.

ПримерПодбирая сотрудников, организация публикует вакансии на работных сайтах, а принятые резюме хранит на рабочих компьютерах в HR-отделе. Проверяющий заключил, что компания нарушила требования по защите персональных данных, поскольку не сообщила ведомству, что работает с личными сведениями таким способом. Однако суд с ведомством не согласился и вынес решение в пользу компании.Суд пояснил, что правоотношения между соискателем и потенциальным работодателем регулирует закон о занятости населения.

Согласно ему, работодатели должны помогать гражданам в трудоустройстве, поддерживая госполитику обеспечения работой населения.

При этом можно брать на работу соискателей, непосредственно обратившихся в организацию, на равных с присланными службой занятости. Таким образом, работодатель имеет право обрабатывать и хранить личные данные соискателей при наличии их письменного согласия.С жалобой можно обратиться в ведомство лично в устной форме либо отправить письмо по почте или e-mail.Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора.

Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.У ведомства есть 30 дней на рассмотрение жалобы со дня ее регистрации.

РКН может согласиться с претензией полностью, частично или вообще не согласиться.Если вы подавали жалобу в региональный Роскомнадзор, и он с ней не согласился, обращайтесь в федеральное управление. Если и там результат отрицательный, идите в суд.Проводится тайно.

Не предупреждая оператора, инспекторы смотрят, какую информацию компания/человек публикует в интернете и СМИ, какие документы предоставляет в Роскомнадзор.

Например, сотрудники ведомства могут изучить пользовательское соглашение или форму подписки на вашем сайте.Работники ведомства имеют право проводить наблюдение только по заданию.Основанием могут стать следующие события:

  1. В СМИ появилась информация, что оператор нарушает закон о защите персональных данных.
  2. Граждане (пользователи, сотрудники) обратились с жалобой в РКН.
  3. Президент, правительство или руководитель федерального РКН поручили наблюдать за оператором.

Если при наблюдении проверяющий выявил нарушения, то докладывает о них руководству отделения Роскомнадзора. После этого могут назначить проверку вне графика или просто сразу попросить устранить нарушения, уточнить, заблокировать или удалить недостоверные или неправомерно полученные данные.

Как правило, на это дается 10 дней.