Необходимый пакет документации по 152-ФЗ – ООО “ЦБИС”

Необходимый пакет документации по 152-ФЗ - ООО "ЦБИС" Сертификаты
На чтение 12 мин. Просмотров 12 Опубликовано
Содержание
  1. Что предлагаем мы?
  2. Что требует закон?
  3. На что ещё обратить внимание
  4. Документ
  5. Зачем нужны облачные решения по защите пдн
  6. Изменения в законе о персональных данных с 1 марта 2021 года
  7. Какие документы необходимо разработать по 152-фз?
  8. Комплекс услуг по созданию с нуля системы защиты персональных данных
  9. Лайфхак по правильной разработке пакета орд
  10. Пакет орд по 152-фз: цена вопроса
  11. Подзаконные нормативно-правовые акты по персональным данным
  12. Примеры защиты пдн для разных организаций
  13. Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных
  14. Уровни защищённости персональных данных
  15. Выводы

Что предлагаем мы?

Мы предлагаем вам типовой набор организационно-распорядительной документации, необходимый для соответствия требованиям 152-ФЗ и прохождения проверки Роскомнадзора, за 45 тысяч рублей с гарантией по договору. 

Что требует закон?

Закон вступил в силу 7 июня 2006 г. и требует, чтобы каждый оператор разработал пакет организационно-распорядительной документации (ОРД) по обработке и защите персональных данных. О чем конкретно должна быть документация, сказано в статьях 18.1 и 19 закона.

Вроде все просто: открываем статьи 18.1 и 19 закона, читаем, что там написано, и пишем необходимую документацию применительно к нашей организации, конечно, не забывая перед этим прочитать весь закон целиком. При таком подходе, как показывает практика, операторы разрабатывают 3-5 документов, считая, что они выполнили требования закона и, проверка Роскомнадзора им не страшна.

Однако в жизни не все так просто. Чтобы понять, что описанный выше подход не является верным, достаточно сказать, что полноценный пакет ОРД насчитывает около 40 документов!

Почему же так много документов, и что в них должно содержаться? Давайте разбираться.

На что ещё обратить внимание

В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — ЦОД выбранного облачного провайдера должен находиться в России. Уже имеющиеся данные можно хранить и обрабатывать на зарубежных серверах. Но первичное накопление и обработка должны выполняться на серверах, которые физически находятся на территории РФ.

Если обеспечить соответствие УЗ-4 и даже УЗ-3 сравнительно нетрудно, то обеспечить более высокий уровень защиты локальных физических серверов по силам далеко не всем. Потребуется специализированное оборудование, сертифицированный софт, а также компетентные сотрудники, которые способны настроить систему должным образом и следить за её работоспособностью. Чтобы получить нужный уровень защиты быстро и за разумные деньги, стоит воспользоваться облачными услугами.

Не все облачные провайдеры могут обеспечить такой уровень защиты. Поэтому в обязательном порядке запрашивайте у подрядчика сертификаты и аттестаты, подтверждающие заявленный уровень защищённости. Нередки случаи, когда провайдер обещает УЗ-1 для хранения ПДн клиента по ФЗ-152, а по факту его инфраструктура находится на уровне УЗ-3. Или УЗ-2, что уже лучше, но всё равно недостаточно.

Обратите на это внимание: из крупных облачных провайдеров в России на уровне УЗ-1 аттестовано не более 5 провайдеров, чуть больше —на уровне УЗ-2. Так что обязательно нужно запрашивать сертификаты.

Важный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат гарантирует, что инфраструктура облака действительно соответствует требованиям приказов ФСТЭК, а данные надёжно защищены. Поэтому на этапе выбора рекомендуем отдавать предпочтение провайдерам, имеющим аттестацию и лицензии ФСТЭК и ФСБ. Если данные лежат в аттестованном облаке, то это свидетельствует о достаточном уровне защиты.

Для уровней УЗ-4 и УЗ-3 требования по защите легко выполняются, если вы размещаете информационную систему в уже аттестованном ЦОД. При этом вам достаточно выполнить минимальный набор организационных и технических мер.

Документ

Федеральный закон от 30.12.2020 № 519-ФЗ

Зачем нужны облачные решения по защите пдн

Силами компании бывает непросто обеспечить нужный уровень защиты персональных данных и поддерживать его в дальнейшем. Поэтому многие коммерческие и государственные организации выбирают облачные решения. В чём преимущество такого выбора?

  • Экономия времени и средств на аттестацию. Для УЗ-1 и УЗ-2 размещение персональных данных в облаке упрощает длительную процедуру аттестации и сертификации защищённой ИТ-инфраструктуры. Для УЗ-3 и УЗ-4 этот вопрос и вовсе закрывается усилиями провайдера.
  • Корректное определение уровня защищённости. Провайдер поможет точно определить требования к защите данных. Некоторые органы безопасности пытаются излишне защитить данные, указывая более высокий УЗ, которые не требуется по закону и вполне определённым причинам. Так, если для хранения ПДн достаточно УЗ-3, нет смысла обеспечивать УЗ-2, неся сопутствующие издержки. Организация получает тот уровень защиты, который ей действительно требуется.
  • Поддержка по законодательству. Служба безопасности и юристы провайдера следят за изменениями в сфере защиты ПДн, и своевременно вносят изменения в ИТ-инфраструктуру, которые требуются в соответствии с законодательством.
  • Экономия на смене УЗ. С развитием компании могут измениться и требования к защите персональных данных. Менять свою инфраструктуру или провайдера — долго и дорого. Облачную платформу, у которой есть сертификаты на защиту по УЗ-1 — УЗ-4, позволяет безболезненно сменить уровень защиты.
Про сертификаты:  Как переустановить КриптоПро? — Удостоверяющий центр СКБ Контур

В целом, есть смысл выбирать провайдера с более высокими уровнями защиты. Вполне возможно, что бизнес изменится, а УЗ-3 превратится в УЗ-2. И наоборот. Жёсткая привязка провайдера к одному уровняю потребует от клиента миграции в другое облако. А миграция — это всегда боль.

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон.

И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.

2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.

3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.

5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.

6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.

7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Про сертификаты:  Сервер отзыва сертификатов недоступен

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Какие документы необходимо разработать по 152-фз?

В самом ФЗ-152 по большей части требования сформулированы общими фразами, и тем, кто не сталкивался с этим прежде, трудно понять, что же прячется под теми или иными формулировками.

Ниже приведен составленный на основе практического опыта перечень документов, требуемых статьями 18.1 и 19 закона:

Внимание: указанных выше документов не достаточно, чтобы соответствовать 152-ФЗ полностью и пройти проверку Роскомнадзора, так как нужно учитывать иные пункты закона и подзаконных нормативно-правовых актов.

Комплекс услуг по созданию с нуля системы защиты персональных данных

В соответствии с требованиями законодательства (для медучреждений, ВУЗов, средних и крупных компаний, бюджетников).

Организационные мероприятия:

  • оценка  текущего состояния обработки ПДн,   организационно-распорядительной документации и СЗИ на соответствие актуальным требованиям 152-ФЗ
  • моделирование угроз безопасности ПДн, проектирование эффективной работающей системы ИБ

Технические мероприятия по созданию системы защиты персональных данных в соответствии с классом:

  • поставка и внедрение технических средств защиты информации  (сертифицированные межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
  • настройка средств и систем защиты информации в соответствии с требованиями

Дополнительные мероприятия:

  • аттестация информационной системы персональных данных
  • помощь в подготовке к прохождению проверки контролирующих органов (Роскомнадзор, ФСТЭК, ФСБ)

Лайфхак по правильной разработке пакета орд

Чтобы сделать пакет документов действительно соответствующим требованию закона и пройти проверку Роскомнадзора, необходимо сделать следующее:

Пакет орд по 152-фз: цена вопроса

Трудоемкость разработки пакета документации достаточно большая, ввиду большого объема самих документов, а также необходимости анализа целого ряда подзаконных нормативно-правовых актов и практики правоприменения (анализ судебных решений).

Поэтому стоимость типового комплекта документации для одной организации, как правило, составляет от 45 до 150 тысяч рублей.

Подзаконные нормативно-правовые акты по персональным данным

Чтобы соответствовать 152-ФЗ, необходимо выполнить требования не только статей 18.1 и 19 ФЗ-152, но и следующих нормативно-правовых актов:

Примеры защиты пдн для разных организаций

Теория может показаться слишком сложной. Поэтому давайте разберём несколько примеров организации защиты информации в организациях разного типа.

Медицинская информационная система. Можно сказать, что это зона особого внимания, ведь сотрудники медучреждений работают с крайне чувствительной информацией, относящейся к специальной категории данных. В рамках ИТ-инфраструктуры решаются задачи по:

  • Созданию и ведению электронных медицинских карт пациента;
  • Обработке медицинских исследований;
  • Сбору и хранению данных мониторинга состояния пациента, поступающих с медицинских приборов;
  • Коммуникации между сотрудниками медучреждения;
  • Анализу финансовой и административной информации.

В зависимости от типа имеющихся угроз и количества обрабатываемых субъектов ПДн медицинской информационной системе понадобится обеспечить соответствие стандарту безопасности по УЗ-3 или УЗ-2.

Таксопарк. Многие службы такси на рынке уже добрый десяток лет, а их владельцы принимают на работу ИП и физических лиц. Данные о сотрудниках подпадали бы под требования УЗ-4, если бы не обязанность компании осуществлять медицинский контроль сотрудников.

Интернет-магазин. Собираемые имена, телефоны и email относятся к общедоступной категории данных. То есть достаточно УЗ-4. Однако есть нюансы. Например, при заказе продуктов питания клиент может указать свои предпочтения, выбирая халяльные или кошерные товары.

Про сертификаты:  Декларация на пироги, получить сертификат соответствия на пироги в Ростове-на-Дону - Геосерт

Это можно расценить как сведения о религиозной принадлежности и убеждениях. Аналогично можно подвести под категорию иных данных вегетарианские убеждения, хотя это может быть просто жизненной позицией человека, которому просто нельзя употреблять в пищу мясо. Грань очень зыбкая, и определить её крайне сложно.

Дизайн-студия. Компания использует западного облачного провайдера для обработки общедоступных данных клиентов (ФИО, телефон, email). Эти данные относятся к категории персональных. Можно ли хранить бэкапы таких баз данных на зарубежных серверах? Да, можно.

Компании с госучастием. Частная организация, которая работает со специфичными данными из госучреждений, должна позаботиться о более высоком уровне защиты информации. Если в компании обрабатываются данные о гражданах, получающих пособия от, к примеру, ФСБ, и есть опасения, что в используемом ПО может быть «закладка», способная скомпрометировать эти данные, необходимо обеспечить как минимум УЗ-12.

Облачные провайдеры также могут предложить гибридное решение, когда клиент разворачивает частное облако на своей инфраструктуре, а провайдер обеспечивает её защищённость и помогает получить необходимые сертификаты.

Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ).

Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Уровни защищённости персональных данных

Поскольку категории ПДн бывают разные, требования по их защите тоже отличаются. В соответствии с законодательством РФ определены 4 уровня защищенности (УЗ) персональных данных. Мы рассмотрим их основные особенности, детальнее можно ознакомиться в тексте закона.

Выводы

На что опираться при выборе облачного провайдера, предлагающего услуги по защите персональных данных? Предлагаем базовый перечень требований, которым вы можете руководствоваться при выборе подрядчика.

  • Возможность заключить с провайдером договор с описанием прав и обязанностей сторон, SLA и зон ответственности в вопросе обработки персональных данных. Не забудьте про поручение на обработку ПДн.
  • У провайдера должна быть подготовлена и аттестована инфраструктура с уровнем защищённости не ниже требуемого вам. Если уровень лучше – тем лучше. Не стесняйтесь запрашивать аттестаты, нередки случаи, когда провайдеры публикуют лишь первую его страницу, скрывая другие важные данные — кем была проведена аттестация, срок действия аттестата, его уровень. Бывает так, что реальный уровень защиты ниже заявленного.
  • Убедитесь, что провайдер использует сертифицированные СЗИ и СКЗИ. Информация про используемые программно-технические средства и архитектуру обычно прячется от внешних глаз, но клиентам эти сведения необходимы. Например, чтобы наладить удалённое подключение к системе.
  • Провайдер должен быть готов предоставить тест инфраструктуры. Это позволит вам оценить уровень защиты «изнутри», найти возможные уязвимости.
  • Если провайдер предлагает дополнительные услуги по защите — это хороший признак. Наличие решений по защите от DDoS-атак, антивирусное ПО — чем больше дополнительных сервисов, тем лучше. Ведь тогда клиент может не отвлекаться на организацию защитных систем, занимаясь своими задачами.
  • Провайдер должен быть лицензиатом ФСТЭК и ФСБ. Обычно об этих документах говорится прямо на сайте, но на всякий случай уточните и попросите продемонстрировать их. Наличие сертификатов подтверждает надёжность провайдера.
  • Провайдер должен быть готов предоставить документы, разрешающие ему обеспечивать хранение данных высокого уровня (УЗ-, УЗ-2), а также хранить данные государственных информационных система.
защита персональных данных изменения 2021 изменения в законодательстве персональные данные сбор персональных данных
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат