28 февраля, воскресенье 04:24
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проверка роскомнадзора

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Проверка роскомнадзора

    Ребята, приезжает проверка роскомнадзора, у кого он был? Скажите, что проверяют, какие документы требуют (какие документы в заявке).

    Проверяют ли железо или это удел ФСТЭК и ФСБ?
    У кого какие средства защиты используются в настоящее время для защиты ПДн(secret net, континент, сертифицированная windows)?

  • #2
    http://www.ispdn.ru/forum/index.php?...&FID=4&TID=802

    Комментарий


    • #3
      uamigo,
      Отпишитесь после проверки.
      Удачи!

      Комментарий


      • #4
        Я проверку проходил в 2009, отчёт где-то на форуме лежит.
        Но с того времени уже сильно всё, думаю, поменялось.

        Комментарий


        • #5
          Тоже в 2009 году была проверка РКН. И многое новое вошло с тех пор.

          Комментарий


          • #6
            Последняя проверка кредитной организации, где проводил работы была в апреле 2011.
            Все запрашиваемые документы в рамках административного регламента РКН. Пока ничего нового

            Комментарий


            • #7
              Dmitry leviev, В регламенте РКН это п.64 ??? Если возможно могли бы Вы дать более развернутый список документов и мероприятий

              Особый интерес вызывает пп 64.2. "Исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней." Неужели будут проверять средства защиты ИСПДн (их же уполномочены проверять ФСТЭКовцы, а если ещё и криптозащита то и ФСБ). Что значит вообще обследование, смотреть какие ПДн присутствуют в ИСПДн?

              АИБ, Спасибо этот список я видел))) Думал может что-либо новое появилось?

              Комментарий


              • #8
                surfer, обязательно!

                Комментарий


                • #9
                  Примерный список запрашиваемых документов при проверке Роскомнадзором Оператора персональных данных
                  1. учредительные документы Оператора;
                  2. копия уведомления об обработке персональных данных;
                  3. положение о порядке обработки персональных данных;
                  4. положение о подразделении, осуществляющем функции по организации защиты персональных данных;
                  5. должностные регламенты лиц, имеющих доступ к персональным данным;
                  6. план мероприятий по защите персональных данных;
                  7. план внутренних проверок состояния защиты персональных данных;
                  8. приказ о назначении ответственных лиц по работе с персональными данными;
                  9. типовые формы документов, предполагающие или допускающие содержание персональных данных;
                  10. журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
                  11. договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
                  12. приказы об утверждении мест хранения материальных носителей персональных данных;
                  13. письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
                  14. распечатки электронных шаблонов полей, содержащие персональные данные; справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
                  15. заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
                  16. приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
                  17. журналы (книги) учета обращений граждан (субъектов персональных данных);
                  18. акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
                  19. иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.

                  Комментарий


                  • #10
                    Скажите правомочны ли действия Роскомнадзора - спросили устраиваем ли на работу, ответили что да, где резюме - показали - владельцы резюме не оставили ни даты хранения ни подписи с разрешением на хранение - приказали всё уничтожить тем самым лишив потенциальных работников возможности устроиться на работу. Хотя мы считали что человек принося резюме явным образом выражает своё согласие на хранение его перс данных. Сотрудники Роскомнадзора сказали что в этом не видят явного согласия и нужны подписи и сроки хранения. С таким подходом лучьше вообще только родственников да друзей устраивать, а роскомнадзору говорить что на работу ни кого не принимаем. Плюс попросили уведомить официально почтой что собираем сведения соискателей работы. Вобщем нам грозят административные штрафы за неправомочное хранение информации и интересно на какую сумму.

                    Комментарий


                    • #11
                      Сообщение от Mr.S Посмотреть сообщение
                      Скажите правомочны ли действия Роскомнадзора - спросили устраиваем ли на работу, ответили что да, где резюме - показали - владельцы резюме не оставили ни даты хранения ни подписи с разрешением на хранение - приказали всё уничтожить тем самым лишив потенциальных работников возможности устроиться на работу. Хотя мы считали что человек принося резюме явным образом выражает своё согласие на хранение его перс данных. Сотрудники Роскомнадзора сказали что в этом не видят явного согласия и нужны подписи и сроки хранения. С таким подходом лучьше вообще только родственников да друзей устраивать, а роскомнадзору говорить что на работу ни кого не принимаем. Плюс попросили уведомить официально почтой что собираем сведения соискателей работы. Вобщем нам грозят административные штрафы за неправомочное хранение информации и интересно на какую сумму.
                      Раньше можно было сослаться на ст.341 решения Росархива от 06.10.2000. А вот сейчас хз, отменили его, а в новом говорится только о резюме работников.

                      Комментарий


                      • #12
                        Сообщение от Mr.S Посмотреть сообщение
                        Хотя мы считали что человек принося резюме явным образом выражает своё согласие на хранение его перс данных.
                        А из чего следует, что он дал согласие именно на хранение, а не на "разок посмотреть"? На хранение в течние какого срока? С какой целью? А если передумает - как отозвать свое согласие

                        Это я к тому, что "конклюдентное действие" - штука тонкая. Своим действием человек соглашается на что-то определенное, и это "что-то" вы должны с ним предварительно каким-то образом обговорить.

                        Комментарий


                        • #13
                          При обработке резюме, вы действительно можете не получать согласие (причем ссылаясь не на конклюдентность, а на нормы ФЗ-152), т.к. обработка ведется "для заключения договора" (трудового). Но... никто не отменял всех остальных действий - определение целей, сроков и т.д. Поэтому правильнее сделать было так - на сайте разместить некую оферту по работе с резюме. А еще правильнее осветить этот момент в публичной политике по работе с персданными, которую вы должны делать по ст.18.1.

                          Комментарий


                          • #14
                            Сообщение от Mr.S Посмотреть сообщение
                            Скажите правомочны ли действия Роскомнадзора - спросили устраиваем ли на работу, ответили что да, где резюме - показали - владельцы резюме не оставили ни даты хранения ни подписи с разрешением на хранение - приказали всё уничтожить тем самым лишив потенциальных работников возможности устроиться на работу. Хотя мы считали что человек принося резюме явным образом выражает своё согласие на хранение его перс данных. Сотрудники Роскомнадзора сказали что в этом не видят явного согласия и нужны подписи и сроки хранения. С таким подходом лучьше вообще только родственников да друзей устраивать, а роскомнадзору говорить что на работу ни кого не принимаем. Плюс попросили уведомить официально почтой что собираем сведения соискателей работы. Вобщем нам грозят административные штрафы за неправомочное хранение информации и интересно на какую сумму.
                            Отправляя резюме субъект дает согласие своей волей и в своем интересе, отправляет резюме на определенную вакансию с целью обработки ПДн по преддоговорным отношениям, если вакансия закрывается, цель обработки достигнута ПДн всех кандидатов должны быть удалены, того кого приняли - уже на договорных отношениях - согласия опять не нужно!
                            В противном случае - пусть закрывают соц. сети!
                            Еще интересный вопрос при проверках - телефонный справочник организации, некоторые счетают их общедоступными (но на самом деле используется только внутри организации), а при создании общедоступных источников необходимо письменное согласие... Тоже думаю что его не нужно брать!

                            Комментарий


                            • #15
                              А мы при заключении ТД берем сразу согласие с работников на то что ФИО, должность, рабочий телефон переводятся в ранг общедоступных для размещения в справочниках организации.
                              Но вот созрел еще вопрос. Зачастую от имени директора поздравляют сотрудников других компаний, с которыми налажены хорошие взаимоотношения. Как быть с таким справочником. Не собирать же у всех этих людей согласие, на то, чтобы их можно было в будущем поздравить с днем рождения?!

                              Комментарий


                              • #16
                                Сообщение от Uomo Посмотреть сообщение
                                А мы при заключении ТД берем сразу согласие с работников на то что ФИО, должность, рабочий телефон переводятся в ранг общедоступных для размещения в справочниках организации.
                                Но вот созрел еще вопрос. Зачастую от имени директора поздравляют сотрудников других компаний, с которыми налажены хорошие взаимоотношения. Как быть с таким справочником. Не собирать же у всех этих людей согласие, на то, чтобы их можно было в будущем поздравить с днем рождения?!
                                Если тел. справочник - общедоступный источник - значит к нему имеет доступ неогр. круг лиц?


                                Возможно сотрудники других компаний - юр. лица для вас? и вы максимум - обязаны обеспечивать конфиденциальность, если в договоре с компанией это прописано!

                                Комментарий


                                • #17
                                  Сообщение от Uomo Посмотреть сообщение
                                  А мы при заключении ТД берем сразу согласие с работников на то что ФИО, должность, рабочий телефон переводятся в ранг общедоступных для размещения в справочниках организации.
                                  Мы тоже так делаем

                                  Сообщение от Uomo Посмотреть сообщение
                                  Но вот созрел еще вопрос. Зачастую от имени директора поздравляют сотрудников других компаний, с которыми налажены хорошие взаимоотношения. Как быть с таким справочником. Не
                                  собирать же у всех этих людей согласие, на то, чтобы их можно было в будущем поздравить с днем рождения?!
                                  в договорах с компаниями предусмотреть пункт, что получение согласия владельцев ПДн в части ПДн сотрудников, передаваемых третьим лицам (т. е. вам) лежит на компании. Ну и обязаться соблюдать конфиденциальность. И не забыть указать, в том числе, цели (сейчас в голову не приходит, как назвать цель поздравить с днем рождения).
                                  Тем более, что сотрудники бывают разные Я вот очень рассержусь, если меня посторонняя организация неожиданно с днем рождения поздравит.

                                  Комментарий


                                  • #18
                                    Сообщение от whirlwind Посмотреть сообщение
                                    Возможно сотрудники других компаний - юр. лица для вас? и вы максимум - обязаны обеспечивать конфиденциальность, если в договоре с компанией это прописано!
                                    Ни разу не правда.

                                    Комментарий


                                    • #19
                                      Сообщение от whirlwind Посмотреть сообщение
                                      Если тел. справочник - общедоступный источник - значит к нему имеет доступ неогр. круг лиц?


                                      Возможно сотрудники других компаний - юр. лица для вас? и вы максимум - обязаны обеспечивать конфиденциальность, если в договоре с компанией это прописано!
                                      Часть телефонного справочника висит перед охраной, чтобы можно было позвонить отдельным сотрудникам и договориться о проходе на территорию организации - так что по сути к нему имеют доступ неограниченное количество лиц и он является общедоступным источником. Не весь конечно, но в данном случае, наверное лучше перебдеть, т.к. это наверное первые ПДн которые попадают в глаза при проходе в организацию.

                                      Сотрудники других компаний, по сути могут выступать в качестве представителей юр. лица с которым у нас существуют договорные отношения, но:
                                      во-первых обычно при продаже продукции, или покупке каких-либо товаров или услуг мы не включаем в договор условия сохранения конфиденциальности ПДн, т.к. обычно передача ПДн не входит в одну из целей заключения договора. И чтобы полностью нейтрализовать данную угрозу, понадобится перезаключение всех договоров. В принципе - это возможно как вариант, но только в течении нескольких лет.;
                                      во-вторых не со всеми организациями существуют договорные отношения. Например есть администрация области, города, других структур, которые могут оказывать влияние на деятельность организации. И везде не последнюю роль играют личные взаимоотношения.

                                      Комментарий


                                      • #20
                                        Сообщение от Dolphina12 Посмотреть сообщение
                                        в договорах с компаниями предусмотреть пункт, что получение согласия владельцев ПДн в части ПДн сотрудников, передаваемых третьим лицам (т. е. вам) лежит на компании. Ну и обязаться соблюдать конфиденциальность. И не забыть указать, в том числе, цели (сейчас в голову не приходит, как назвать цель поздравить с днем рождения).
                                        Тем более, что сотрудники бывают разные Я вот очень рассержусь, если меня посторонняя организация неожиданно с днем рождения поздравит.
                                        Вы навели меня на одну ситуацию, которая возникла в нашей организации.
                                        Одно время, часть помещений принадлежащих организации сдавались в аренду сторонним компаниям. Сотрудники этих компаний имели доступ на нашу территорию и проходили через нашу проходную. Для них создавались электронные пропуска, с ФИО, должностью и фотографией. С организациями заключались договора на аренду. И возник вопрос - кто должен собирать согласия на обработку ПДн (в том числе биометрических - это фотография по которой охранник идентифицировал проходящих через проходную людей) сотрудников данных компаний.
                                        Чтобы расставить все точки над i, было принято решение проконсультироваться непосредственно у регулятора (Роскомнадзора). Представитель Роскомнадзора в ходе телефонного разговора сообщил, что обязанность на сбор согласия на обработку ПДн целиком и полностью лежит на операторе, в данном случае оператором является организация-работодатель, которая арендует помещения. Наша же организация в данном случае несет ответственность за обеспечение защиты полученных ПДн в рамках договора между организациями.
                                        Поэтому возможно в случае с днями рождениями сотрудников сторонних организаций с которыми имеются договорные отношения - можно также решить этот вопрос - обосновать, что ПДн были переданы в рамках договорных отношений, а согласие с субъекта ПДн должна получать организация-работодатель.

                                        Комментарий


                                        • #21
                                          Всегда ли фотография является ПДн? Если просто наклеивают ее дело сотрудника в отделе кадров и хранят потом, никуда не передают и т.д.? Или ее всегда надо включать в список ПДн?

                                          Комментарий


                                          • #22
                                            Сообщение от Pavelb73 Посмотреть сообщение
                                            Всегда ли фотография является ПДн? Если просто наклеивают ее дело сотрудника в отделе кадров и хранят потом, никуда не передают и т.д.? Или ее всегда надо включать в список ПДн?
                                            Краснодарский РКН расценивает фото как биоментрические персональные данные, поэтому включать надо + отдельно согласие на обработку биометрических ПДн.

                                            Комментарий


                                            • #23
                                              Не стоит забывать про обработку данных из больничного листа - это сведения ос состоянии здоровья!!!

                                              Комментарий


                                              • #24
                                                Сообщение от Dmitry leviev Посмотреть сообщение
                                                Не стоит забывать про обработку данных из больничного листа - это сведения ос состоянии здоровья!!!
                                                да ладно?
                                                вводится только с когда и по когда был больняк, а по какой причине там ничего не указано. Он вообще может быть по уходу за членом семьи.

                                                Комментарий


                                                • #25
                                                  Сообщение от Joystick Посмотреть сообщение
                                                  да ладно?
                                                  вводится только с когда и по когда был больняк, а по какой причине там ничего не указано. Он вообще может быть по уходу за членом семьи.
                                                  По закону - это ЛЮБАЯ информация О СОСТОЯНИИ здоровья. И ни слова о диагнозе. Уже тот факт, что вы болели (и не важно чем) уже состояние здоровья.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    По закону - это ЛЮБАЯ информация О СОСТОЯНИИ здоровья. И ни слова о диагнозе. Уже тот факт, что вы болели (и не важно чем) уже состояние здоровья.
                                                    наличие больничного не = вы болели!!!!!
                                                    болеть мог член семьи!!!!!

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                      По закону - это ЛЮБАЯ информация О СОСТОЯНИИ здоровья. И ни слова о диагнозе. Уже тот факт, что вы болели (и не важно чем) уже состояние здоровья.
                                                      а что есть состояние здоровья?) это же какое-то более менее постоянное свойство.
                                                      мне кажется наличие болезни временной в какой-либо момент времени может и не отражаться на состоянии здоровья)

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Conspy Посмотреть сообщение
                                                        а что есть состояние здоровья?) это же какое-то более менее постоянное свойство.
                                                        мне кажется наличие болезни временной в какой-либо момент времени может и не отражаться на состоянии здоровья)
                                                        Не загоняйте себя в угол. Так вы придете к мысли, что состояние "здоров" - это тоже состояние здоровья ;-) А значит факт нахождения вас на работе является сведениями о состоянии здоровья со всеми вытекающими

                                                        Комментарий


                                                        • #29
                                                          Нас сейчас проверяют. Вынесли мозг уже полностью - мол Стандарт Банка России не легитимен, и почему это мы АБС не классифицировали как ИСПДн. А еще жгут - почему это в Акте классификации не стоит К1-К4, а ИСПДн-И, к примеру.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от spirtuoso Посмотреть сообщение
                                                            Нас сейчас проверяют. Вынесли мозг уже полностью - мол Стандарт Банка России не легитимен, и почему это мы АБС не классифицировали как ИСПДн. А еще жгут - почему это в Акте классификации не стоит К1-К4, а ИСПДн-И, к примеру.
                                                            Расскажите, чем закончится вопрос с классификацией.

                                                            Комментарий

                                                            Обработка...
                                                            X