Персональные данные и малый бизнес.
Originally posted by infomaker at Персональные данные и малый бизнес.
Сегодня очень серьезный пост. Аж тошнит меня самого.
1 июля вступает в действие ФЗ-152 "О защите персональных данных" в той ее части, которая отвечает за автоматизацию ИСПДн - Информационной системы персональных данных. В госдуме лежат очередные поправки к этому закону, но они не приняты, и вряд ли их примут до конца месяца.
А это значит, что закон вступает в силу в той его части, которая касается абсолютно всех предпринимателей и все коммерческие организации, включая ИП.
24 июня, по приглашению Игоря Белоусова inbelousov (Игорь, спасибо!), я был на семинаре по защите персональных данных. На этом семинаре выступали представители регуляторов, которые ответственны за контроль исполнения данного закона, а именно - Роскомнадзор http://www.rsoc.ru/ и ФСТЭК http://www.fstec.ru/.
Далее, я изложу тезисно основную информацию, которую почерпнул на данном семинаре. Включая примеры. Эта информация будет полезна всем и каждому директору и собственнику. Также, по тексту я буду давать ссылки на страницы сайта http://ispdn.ru/, который очень полезен для изучения по данной тематике.
ПД (персональные данные) - любая комбинация ФИО, паспортных данных, ИНН, инвалидной справки, судимости не дай бог, и т.д. и т.п. Комбинация ПД может быть общедоступной или конфиденциальной. Общедоступность ПД может быть подтверждена субъектом (человеком) ПД только письменно и никак иначе. http://ispdn.ru/basis/520/#text
Если вы ИП или собственник (директор) компании, и у вас есть сотрудники, то вы - оператор персональных данных. http://ispdn.ru/basis/525/#text
Любые действия с ПД сотрудников в любой компании подпадают под определение обработки и хранения ПД.
Каждый оператор должен уведомить регулятора Роскомнадзор о том, что он является таковым - т.е. оператором ПД. Это требование закона Ст.22 Ч.2. В законе есть исключения, снимающие требование об уведомление, в т.ч. не нужно уведомлять регулятора, если вы используете ПД сотрудников только в рамках трудовой деятельности. Но тут есть много нюансов. Например, если вы оформляете сотрудника полисы ДМС, то по определению передаете ПД сотрудников третьим лицам. И тут уже непонятно, в рамках или не в рамках трудовой деятельности вы это делаете. Нужно внимательно изучать соответствующую статью закона.
В любом случае, любые операции с ПД своих сотрудников вы должны делать только с их письменного согласия. И это не шутка. Это касается всех нас.
Пример 1. При увольнении сотрудника вы не взяли с него подписку о том, что его ФИО, ИНН и информация о начисленной зарплате может хранится в архиве компании 75 лет (это реальный срок хранения таких данных). Если сотрудник на что-либо обижен, работая у вас, то он легко может написать жалобу в Роскомнадзор. И Роскомнадзор придет к вам с проверкой - документальной или выездной.
Пример 2. Вы организовали группу своей компании вКонтакте, и вывесили туда фотки своих сотрудников со ссылкой на их страницы. Или сделали тоже самое на своем корпоративном сайте. Если вы сделали все это без письменного согласия своих сотрудников, и они написали на вас жалобу, то Роскомнадзор будет рассматривать это, как нарушение. Без шуток. Представительница Роскомнадзора сказала, что уже давно дружит с вКонтактом семьями.
Штрафы сейчас вроде как маленькие, но будут большие - сотни тысяч рублей. Нарушения необходимо устранять в срок - 3 дня.
Если вы прекратили обрабатывать персональные данные человека (например, заказчика в Турфирме), то вы должны уничтожить их в срок 3 дня. Либо он должен подписать вам согласие, что вы можете обрабатывать и хранить его данные вечность. Это касается всех, кто оказывает услуги клиентам частным лицам - турфирмы, юристы, ТСЖ и т.д.
ПД - если они не являются общедоступными с письменного согласия субъекта, то они являются конфиденциальной информацией.
Совокупность субъект (человек) + организационно-правовые бумаги + средства автоматизации = автоматизированная система ПД - ИСПДн.
Если вы работает в 1С:Бухгалтерии или в чем то подобном, и начисляете своим сотрудникам зарплату (или выписываете счета клиентам физическим лицам), то вы используете автоматизированную ИСПДн.
Автоматизированную ИСПДн нужно защищать техническими средствами. Именно в этой части и вступает в действие закон с 1июля.
Техническая защита ИСПДн = деятельность по технической защите конфиденциальной информации - ТЗКИ.
А теперь внимание! Деятельность ТЗКИ по действующему законодательству является лицензируемым видом деятельности. Это самый большой косяк ФЗ-152 и его подзаконных актов. Формально получается, что любой оператор ПД (любая компания или ИП) должен подучать лицензию на ТЗКИ. А это,братцы мои, большие бабки.
Вопрос - зачем и надо ли???
На семинаре этот вопрос я усиленно задавал представителю ФСТЭК. Он дал следующий ответ - если компания оператор ПД делает ТЗКИ только для внутреннего употребления, то с его точки зрения лицензия ТЗКИ не нужна. Вопрос о том, что такое "внутреннее употребление" в законе и подзаконных актах четко не раскрыт.
Все как обычно - российское законодательство несовершенно настолько же, насколько необязательно его выполнять.
Еще раз повторюсь - это личное мнение высокопоставленного представителя ФСТЭК Санкт-Петербурга. В законе тема получения лицензии ТЗКИ простым ИП из Усть-Илимска, у которого 10 сотрудников, куча клиентов физ-лиц и большой сервер с 1С, четко не раскрыта!
Теперь переходим к технической защите конфиденциальной информации - ТЗКИ.
С точки зрения закона о ПД, ваша автоматизированная ИСПДн должна быть классифицирована и защищена в соответствие своему классу сертифицированными техническими средствами. Простыми словами, на вашем сервере или компьютере должно быть установлено лицензионное и сертифицированное ФСТЭК программное обеспечение.
Пример. 1С выпустила специальную сертифицированную платформу 1С: Предприятие 8.2z, которая стоит дополнительных 10 тс. руб.
После того, как вы классифицировали и защитили свою ИСПДн, вы должны сдать ее в эксплуатацию регулятору. Т.е. получить аттестацию ФСТЭК. Или продекларировать регултору соответствие вашей ИСПДн всем требованиям безопасности ПД и КИ.
Запутались? :))) я тоже :)))
Попробую изложить по шагам:
С точки зрения закона, любому оператору ПД из микро, малого и среднего бизнеса, который использует средства автоматизации своей деятельности, т.е. компьютеры, программы и интернет, необходимо http://ispdn.ru/basis/524/#text :
1. Классификация ИСПДн. Класс автоматизированной ИСПДн для любого оператора из микро, малого и среднего бизнеса - это класс 3. http://ispdn.ru/basis/522/#text
2. Мероприятия по ТЗКИ. Т.е. приведение вашего компьютерного хозяйства в соответствие с подзаконными актами ФЗ-152.
3. Декларирование соответствия или обязательная аттестация по требованиям безопасности информации регулятору (ФСТЭК).
Вот с этим декларированием соответствия тоже не все идеально. А точнее все не идеально. Цитаты http://ispdn.ru/basis/527/#text :
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", ФСТЭК России, 2008 г., п.3.11).
К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. "Основные мероприятия по организации...", п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. "Основные мероприятия по организации...", пп. 4.2, 4.3).
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
Все поняли? :))) Я лично уже давно ничего не понимаю про эти ПД.
Краткий итог всей этой глупости и мути:
1. С 1 июля наступает для всего российского малого и не только бизнеса очень дурная правовая ситуация, связанная с использованием компьютеров и программ при обработке ПД.
2. Закон и подзаконные акты в части защиты ИСПДн, в существующем виде очень запутаны, усложнены и несовершенны.
3. Осуществить техническую защиту ПД с точки зрения закона и подзаконных актов, в рамках малого и не очень бизнеса, не представляется возможным. Хотя бы потому, что большинство новых версий антивирусных программ не имеют сертификатов ФСТЭК. Ровно такие же слова сказал третий выступающий на семинаре - представитель компании ПетербургГаз, который занимается практической деятельностью в области ТЗКИ и ИСПДн.
4. Техзащита вашей ИСПДн должна сопровождаться огромным количество юридических бумаг, составить которые вы сможете, если не будете спать, есть и выполнять основную работу. Либо надо нанимать юриста, но он тоже всего лишь человек.
5. В любом случае, требования и мероприятия к технической безопасности ПД должны быть подкреплены огромным количеством административных и организационных мер, о которых в реальной жизни никто из нас не думает.
В конце, пример о том - как весь этот бред может коснуться нас всех?
Кто-то из ваших сотрудников или клиентов решит, что вы слили его ПД на сторону. И напишет на вас жалобу в Роскомнадзор. Прям на сайте Роскомнадозора это можно сделать.
Роскомнадзор обязан прийти к вам с проверкой. Первое, что он сделает, это проверит ваши административные и организационные бумаги в части защиты ПД. Если на этом этапе он не выявит нарушений, то вам повезло. Если же нарушения найдутся, то Роскомнадзор предъявит вам претензию и сообщит в том числе о ваших нарушениях во ФСТЭК. Дальше продолжать? :)
Запасайтесь терпеньем :) С 1 июля наш бизнес станет еще более уязвим со стороны регулятров.
ВАЖНЫЙ АПДЭЙТ.
Реальные примеры в области ПД, которые с точки зрения регуляторов, необходимо учитывать при защите ИСПДн, и на которые указал уважаемый max_t.
Пример. Если на предприятии обрабатываются ПДн работников, то уведомлять Роскомнадзор в общем случае не надо. Но если в личных делах содержится скан фотографии (сканы паспорта делают все!) или данные из больничных листков, то это уже биометрические данные и данные о состоянии здоровья, а их надо защищать уже по высшему классу, с аттестацией фстэк и получением лицензии. ))
Чтобы этого избежать, необходимо подписывать согласие сотрудника на сканирование паспорта и т.д. Тоже самое относится к системам контроля доступа в помещения (СКУД).
Пример. В этом же ракурсе присмотримся к компьютеру дома или, тем более, на работе. Записная книжка аутлука, бата или тандерберда используется? )) защитите сертифицированными средствами немедленно.
Да, этот пример, увы, тоже относится к ИСПДн. Т.е. на ваш компьютер должен быть, как минимум, сертификат ФСТЭК на Виндоуз (таковой есть в природе), плюс куча всяких бумажек, в которых вы пишете о том, что вам разрешено вести клиентскую базу данных в служебных целях на этом компьютере, в этих программах, а модель угроз вашей ИСПДн не предполагает, что ваш компьютер представляет канал утечки ПД.
Комментарий: На самом деле, конечно, не все так страшно. В принципе, защитить систему обработки ПДн для небольшой компании не очень сложно и дорого.
Для малой компании действительно не все так сложно и дорого. Скорее всего хватит бумажек и сертификатов на тот же Windows. Но вот эти бумажки вы готовы сами писать? Например - Модель угроз для ИСПДн? У вас есть на это время? А деньги, чтобы купить пакет каких-то типовых документов? Лично я не готов. Пока не готов.
В комментариях готов отвечать на вопросы по теме.
***
Сегодня очень серьезный пост. Аж тошнит меня самого.
1 июля вступает в действие ФЗ-152 "О защите персональных данных" в той ее части, которая отвечает за автоматизацию ИСПДн - Информационной системы персональных данных. В госдуме лежат очередные поправки к этому закону, но они не приняты, и вряд ли их примут до конца месяца.
А это значит, что закон вступает в силу в той его части, которая касается абсолютно всех предпринимателей и все коммерческие организации, включая ИП.
24 июня, по приглашению Игоря Белоусова inbelousov (Игорь, спасибо!), я был на семинаре по защите персональных данных. На этом семинаре выступали представители регуляторов, которые ответственны за контроль исполнения данного закона, а именно - Роскомнадзор http://www.rsoc.ru/ и ФСТЭК http://www.fstec.ru/.
Далее, я изложу тезисно основную информацию, которую почерпнул на данном семинаре. Включая примеры. Эта информация будет полезна всем и каждому директору и собственнику. Также, по тексту я буду давать ссылки на страницы сайта http://ispdn.ru/, который очень полезен для изучения по данной тематике.
ПД (персональные данные) - любая комбинация ФИО, паспортных данных, ИНН, инвалидной справки, судимости не дай бог, и т.д. и т.п. Комбинация ПД может быть общедоступной или конфиденциальной. Общедоступность ПД может быть подтверждена субъектом (человеком) ПД только письменно и никак иначе. http://ispdn.ru/basis/520/#text
Если вы ИП или собственник (директор) компании, и у вас есть сотрудники, то вы - оператор персональных данных. http://ispdn.ru/basis/525/#text
Любые действия с ПД сотрудников в любой компании подпадают под определение обработки и хранения ПД.
Каждый оператор должен уведомить регулятора Роскомнадзор о том, что он является таковым - т.е. оператором ПД. Это требование закона Ст.22 Ч.2. В законе есть исключения, снимающие требование об уведомление, в т.ч. не нужно уведомлять регулятора, если вы используете ПД сотрудников только в рамках трудовой деятельности. Но тут есть много нюансов. Например, если вы оформляете сотрудника полисы ДМС, то по определению передаете ПД сотрудников третьим лицам. И тут уже непонятно, в рамках или не в рамках трудовой деятельности вы это делаете. Нужно внимательно изучать соответствующую статью закона.
В любом случае, любые операции с ПД своих сотрудников вы должны делать только с их письменного согласия. И это не шутка. Это касается всех нас.
Пример 1. При увольнении сотрудника вы не взяли с него подписку о том, что его ФИО, ИНН и информация о начисленной зарплате может хранится в архиве компании 75 лет (это реальный срок хранения таких данных). Если сотрудник на что-либо обижен, работая у вас, то он легко может написать жалобу в Роскомнадзор. И Роскомнадзор придет к вам с проверкой - документальной или выездной.
Пример 2. Вы организовали группу своей компании вКонтакте, и вывесили туда фотки своих сотрудников со ссылкой на их страницы. Или сделали тоже самое на своем корпоративном сайте. Если вы сделали все это без письменного согласия своих сотрудников, и они написали на вас жалобу, то Роскомнадзор будет рассматривать это, как нарушение. Без шуток. Представительница Роскомнадзора сказала, что уже давно дружит с вКонтактом семьями.
Штрафы сейчас вроде как маленькие, но будут большие - сотни тысяч рублей. Нарушения необходимо устранять в срок - 3 дня.
Если вы прекратили обрабатывать персональные данные человека (например, заказчика в Турфирме), то вы должны уничтожить их в срок 3 дня. Либо он должен подписать вам согласие, что вы можете обрабатывать и хранить его данные вечность. Это касается всех, кто оказывает услуги клиентам частным лицам - турфирмы, юристы, ТСЖ и т.д.
ПД - если они не являются общедоступными с письменного согласия субъекта, то они являются конфиденциальной информацией.
Совокупность субъект (человек) + организационно-правовые бумаги + средства автоматизации = автоматизированная система ПД - ИСПДн.
Если вы работает в 1С:Бухгалтерии или в чем то подобном, и начисляете своим сотрудникам зарплату (или выписываете счета клиентам физическим лицам), то вы используете автоматизированную ИСПДн.
Автоматизированную ИСПДн нужно защищать техническими средствами. Именно в этой части и вступает в действие закон с 1июля.
Техническая защита ИСПДн = деятельность по технической защите конфиденциальной информации - ТЗКИ.
А теперь внимание! Деятельность ТЗКИ по действующему законодательству является лицензируемым видом деятельности. Это самый большой косяк ФЗ-152 и его подзаконных актов. Формально получается, что любой оператор ПД (любая компания или ИП) должен подучать лицензию на ТЗКИ. А это,братцы мои, большие бабки.
Вопрос - зачем и надо ли???
На семинаре этот вопрос я усиленно задавал представителю ФСТЭК. Он дал следующий ответ - если компания оператор ПД делает ТЗКИ только для внутреннего употребления, то с его точки зрения лицензия ТЗКИ не нужна. Вопрос о том, что такое "внутреннее употребление" в законе и подзаконных актах четко не раскрыт.
Все как обычно - российское законодательство несовершенно настолько же, насколько необязательно его выполнять.
Еще раз повторюсь - это личное мнение высокопоставленного представителя ФСТЭК Санкт-Петербурга. В законе тема получения лицензии ТЗКИ простым ИП из Усть-Илимска, у которого 10 сотрудников, куча клиентов физ-лиц и большой сервер с 1С, четко не раскрыта!
Теперь переходим к технической защите конфиденциальной информации - ТЗКИ.
С точки зрения закона о ПД, ваша автоматизированная ИСПДн должна быть классифицирована и защищена в соответствие своему классу сертифицированными техническими средствами. Простыми словами, на вашем сервере или компьютере должно быть установлено лицензионное и сертифицированное ФСТЭК программное обеспечение.
Пример. 1С выпустила специальную сертифицированную платформу 1С: Предприятие 8.2z, которая стоит дополнительных 10 тс. руб.
После того, как вы классифицировали и защитили свою ИСПДн, вы должны сдать ее в эксплуатацию регулятору. Т.е. получить аттестацию ФСТЭК. Или продекларировать регултору соответствие вашей ИСПДн всем требованиям безопасности ПД и КИ.
Запутались? :))) я тоже :)))
Попробую изложить по шагам:
С точки зрения закона, любому оператору ПД из микро, малого и среднего бизнеса, который использует средства автоматизации своей деятельности, т.е. компьютеры, программы и интернет, необходимо http://ispdn.ru/basis/524/#text :
1. Классификация ИСПДн. Класс автоматизированной ИСПДн для любого оператора из микро, малого и среднего бизнеса - это класс 3. http://ispdn.ru/basis/522/#text
2. Мероприятия по ТЗКИ. Т.е. приведение вашего компьютерного хозяйства в соответствие с подзаконными актами ФЗ-152.
3. Декларирование соответствия или обязательная аттестация по требованиям безопасности информации регулятору (ФСТЭК).
Вот с этим декларированием соответствия тоже не все идеально. А точнее все не идеально. Цитаты http://ispdn.ru/basis/527/#text :
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", ФСТЭК России, 2008 г., п.3.11).
К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. "Основные мероприятия по организации...", п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. "Основные мероприятия по организации...", пп. 4.2, 4.3).
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
Все поняли? :))) Я лично уже давно ничего не понимаю про эти ПД.
Краткий итог всей этой глупости и мути:
1. С 1 июля наступает для всего российского малого и не только бизнеса очень дурная правовая ситуация, связанная с использованием компьютеров и программ при обработке ПД.
2. Закон и подзаконные акты в части защиты ИСПДн, в существующем виде очень запутаны, усложнены и несовершенны.
3. Осуществить техническую защиту ПД с точки зрения закона и подзаконных актов, в рамках малого и не очень бизнеса, не представляется возможным. Хотя бы потому, что большинство новых версий антивирусных программ не имеют сертификатов ФСТЭК. Ровно такие же слова сказал третий выступающий на семинаре - представитель компании ПетербургГаз, который занимается практической деятельностью в области ТЗКИ и ИСПДн.
4. Техзащита вашей ИСПДн должна сопровождаться огромным количество юридических бумаг, составить которые вы сможете, если не будете спать, есть и выполнять основную работу. Либо надо нанимать юриста, но он тоже всего лишь человек.
5. В любом случае, требования и мероприятия к технической безопасности ПД должны быть подкреплены огромным количеством административных и организационных мер, о которых в реальной жизни никто из нас не думает.
В конце, пример о том - как весь этот бред может коснуться нас всех?
Кто-то из ваших сотрудников или клиентов решит, что вы слили его ПД на сторону. И напишет на вас жалобу в Роскомнадзор. Прям на сайте Роскомнадозора это можно сделать.
Роскомнадзор обязан прийти к вам с проверкой. Первое, что он сделает, это проверит ваши административные и организационные бумаги в части защиты ПД. Если на этом этапе он не выявит нарушений, то вам повезло. Если же нарушения найдутся, то Роскомнадзор предъявит вам претензию и сообщит в том числе о ваших нарушениях во ФСТЭК. Дальше продолжать? :)
Запасайтесь терпеньем :) С 1 июля наш бизнес станет еще более уязвим со стороны регулятров.
ВАЖНЫЙ АПДЭЙТ.
Реальные примеры в области ПД, которые с точки зрения регуляторов, необходимо учитывать при защите ИСПДн, и на которые указал уважаемый max_t.
Пример. Если на предприятии обрабатываются ПДн работников, то уведомлять Роскомнадзор в общем случае не надо. Но если в личных делах содержится скан фотографии (сканы паспорта делают все!) или данные из больничных листков, то это уже биометрические данные и данные о состоянии здоровья, а их надо защищать уже по высшему классу, с аттестацией фстэк и получением лицензии. ))
Чтобы этого избежать, необходимо подписывать согласие сотрудника на сканирование паспорта и т.д. Тоже самое относится к системам контроля доступа в помещения (СКУД).
Пример. В этом же ракурсе присмотримся к компьютеру дома или, тем более, на работе. Записная книжка аутлука, бата или тандерберда используется? )) защитите сертифицированными средствами немедленно.
Да, этот пример, увы, тоже относится к ИСПДн. Т.е. на ваш компьютер должен быть, как минимум, сертификат ФСТЭК на Виндоуз (таковой есть в природе), плюс куча всяких бумажек, в которых вы пишете о том, что вам разрешено вести клиентскую базу данных в служебных целях на этом компьютере, в этих программах, а модель угроз вашей ИСПДн не предполагает, что ваш компьютер представляет канал утечки ПД.
Комментарий: На самом деле, конечно, не все так страшно. В принципе, защитить систему обработки ПДн для небольшой компании не очень сложно и дорого.
Для малой компании действительно не все так сложно и дорого. Скорее всего хватит бумажек и сертификатов на тот же Windows. Но вот эти бумажки вы готовы сами писать? Например - Модель угроз для ИСПДн? У вас есть на это время? А деньги, чтобы купить пакет каких-то типовых документов? Лично я не готов. Пока не готов.
В комментариях готов отвечать на вопросы по теме.
***