Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Касперский перенесет данные пользователей в Швейцарию

15/05/2018

«Лаборатория Касперского» перенесет в Швейцарию хранение и обработку данных пользователей из Европы и еще пяти регионов мира. Об этом сообщается в пресс-релизе,опубликованном на сайте российской антивирусной компании во вторник, 15 мая.

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Обезличивание ПДн
Всем приветик. Такая ситуация: назначили меня ответственным за безопасность ПДн в нашем маленьком предприятие. Я в этом ни сном не духом, да и посоветоваться тут не с кем, ни кто не разу такого не делал. Вообщем я тут сам по себе.

Интересует такой вопрос. Мы провайдеры, предоставляем услуги доступа в интернет пользователям (физическим лицам) Есть биллинговая система в которую внесены все клиенты с персональными данными ФИО, адрес (город, улица, дом), номер телефона (домашний+мобильник)

Хочу обезличить эти данные, т.е. за место ФИО прописать номер договора а остальные данные оставить как есть. А сами договора хранить в бумажном виде в сейфе.

Будет ли это считаться обезличиванием?
ст.3 152ФЗ: обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Да это будут обезличенные данные, НО есть проект постановления правительства по уровням защищенности, где очень интересный постулат: тип 4 – результат обезличивания персональных данных, представляющего
действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (далее – обезличенные персональные данные). В случае, если имеется возможность получения оператором такой дополнительной информации, информационная система считается обрабатывающей персональные данные того типа содержания, который был определен до прохождения процедуры обезличивания.
Как это толковать - честно не знаю, получается, что обезличивание бесполезно, надеюсь из окончательного варианта этот довесок уберут.
В 211ПП для госов есть такой пункт: согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ

То есть РКН должен разработать требования и методы обезличивания, может тогда что и прояснится, а пока, по действующей нормативке, то, что вы предлагаете вполне нормально.
Спасибо большое за исчерпывающий ответ. Ну это пока просто проект и кто знает что будет в будущем, поэтому наверное мы и оттолкнемся от того что сейчас есть. Ну и еще один вопрос, наверное не в тему этому топику.

Подскажите вот в принципе вообще с чего надо начинать работать в сфере безопастности ПДн на предприятие, за что надо хвататься первым делом?
Правильно ли я делаю, что начал с самого первого это написание модели угроз для нас, далее после написания модели угроз я начну штамповать все возможные приказы и распоряжения как закрыть все "дырки" которые описанны в угрозах, потом письмо пишу что наше предприятие начинает обрабатывать ПДн ну и далее сижу и жду проверок. Ну вот наверное и все действия которые я должен сделать. Верно мое понимание? Или я что то совсем не так делаю?
Покурите форум - задайте в поиске "перечень документов при проверке". Основным регулятором является РКН, и как раз на модели угроз заканчивается его область проверки (хотя они пытаются перетянуть на себя и проверку технических мер путем привлечения экспертов, но это так, лирическое отступление). Рыбы документов - есть у минздрава, банков, пенсионного, опсосов, если погуглить, то найти можно и переделать под себя.
Еще вопрос такого характера. Имеем предприятие, договора заключаем на бумажках и прячим их в сейф, в биллинге прописываем, номер договора клиента, адрес и телефон. ФИО - нет. Итак как я понимаю мне надо написать две модели угроз: 1. для документов в сейфе, 2 - для обезличенных данных в биллинге. Верно?
Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Для документов в сейфе модель угроз не нужна, выполняйте требования 687ПП и все.
Цитата

Для документов в сейфе модель угроз не нужна, выполняйте требования 687ПП и все.

Вот в этих требованиях вообще ни фига ни чего не понятно.. какая то сплошная "вода" вроде что то и написанно а вроде и нет.




Цитата

4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

Это как? У меня есть самый обычный договор на предоставление услуг заключенный с физическим лицом. КАК я ПДН из договора на отдельных полях зафисксирую?

Цитата

5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.


Ну у меня категория одна. У меня только договора на предоставление услуг которые включают в себя ФИО, адрес, телефон для связи и паспортные данные. С этим все понятно, ПДн будут в договоре на бумажке


Цитата
6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Вот тут я должен просто в письменной форме проинформировать своих работников кто занимается с ПДн клиентов под роспись.

Цитата

7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Тут опять ни чего не понятно. Я ведь заключаю договор с физическими лицами о предоставление услуг. Значит этот пункт меня совсем не касается? Верно?

Цитата
8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:
а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.


Я так понимаю, на входе должен сидеть охранник который ведет журнал учета посетителей и в этот журнал вписывает ФИО человека который пришел а так же время приходя и ухода.

Цитата

9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Это опять нас не касается, так как ПДн у нас только в договоре и мы с ними совсем ни чего не делаем, в ПК вносим только номер договора и в случае надобности по номеру договора уже идентифицируем клиента. Значит этот пункт не для нас.

Цитата

10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уничтожать и обезличивать то н чего не будем, у нас все обезличено в компьютере, а ПДн храняться на бумаге в сейфе.
Цитата

11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

Это нам не надо.

Цитата
12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Утосчнять ни чего не будем. Все необходимые ПДн внесены в самом начале



Цитата
13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Категория ПДн одна. Договора будут храниться в шкафу. Ключ от шкафа на охране. Создаем приказ об допуске определенного круга людей к договорам.

Код
[I]14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
[/I]


Это опять не мне.


Код
[I]15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.[/I]


Тут меры по охране мы устанавливаем сами. Т.е.: 1. Охрана на входе 2.выдача ключа под роспись и только тем сотрудникам которым разрешенно работать с ПДн 3. Решетки на окнах 4. камеры видеонаблюдения как внутри так и снаружи 5. Сигнализация.

Вроде все.

Подскажите, правильно я все расписал? Такие мои действия должны быть? Я ни чего не забыл?

Заранее извиняюсь за тупые вопросы. Но я честно слово, столько законов и подзаконов перечитал и все равно плаваю в этом деле как муравей в море.. вроде понимаю.. а вроде и нет и большая часть 99% все таки не понимаю.. и посоветоваться не с кем.
Изменено: Игорь - 05.09.2012 08:54:49
Цитата
Это как? У меня есть самый обычный договор на предоставление услуг заключенный с физическим лицом. КАК я ПДН из договора на отдельных полях зафисксирую?
Есть типовая форма договора, в нем есть такие разделы как "шапка" и "реквизиты сторон", вот в этих разделах и обособляются персональные данные.
Цитата
Ну у меня категория одна.
ИМХО в этом пункте под категорией понимают наборы ПДн для определенных целей. Пункт нерабочий, я даже придумать не могу случай когда на одном носителе (бумаге) ПДн для разных целей.
Цитата
Вот тут я должен просто в письменной форме проинформировать своих работников кто занимается с ПДн клиентов под роспись.
А для начала составить перечень работников (должностей), допущенных к обработке без использования автоматизации.
Цитата
Тут опять ни чего не понятно. Я ведь заключаю договор с физическими лицами о предоставление услуг. Значит этот пункт меня совсем не касается? Верно?
а) типовая форма договора утверждается каким-то внутренним актом, в котором и прописать цель (оказание услуг), состав (ФИО, адрес и т.д.) ПДн, наименования полей (шапка, реквизиты) для занесения ПДн, и далее по тексту п. а)
б) если письменное согласие не нужно, то вас это не касается, но во многих договорах есть пункт об информировании субъекта об иных товарах и услугах, а на это нужно согласие, причем конкретно на этот пункт, так как он не касается исполнения основного договора,- вот тут галочку и ставим.
в) это для многосторонних договоров или иных "списков" с ПДн.
г)это не про вас.
Код
Я так понимаю, на входе должен сидеть охранник который ведет журнал учета посетителей и в этот журнал вписывает ФИО человека который пришел а так же время приходя и ухода. 

Это зависит от того, как у вас организован пропускной режим, может быть и свободный доступ, могут разовые пропуска (журнал разовых пропусков), может журнал однократного пропуска, как решите, так и будет.
Код
Это опять нас не касается, так как ПДн у нас только в договоре и мы с ними совсем ни чего не делаем
Ну вы как минимум его храните. п.п. 9, 10 для носителей с ПДн разных субъектов, а вот п. 11 - если у вас потребует, к примеру Роспотребнадзор, копию действующего договора, то ПДн в ней нужно вымарать или прикрыть при копировании. п. 12 - а если у субъекта адрес изменился? Либо новый договор, либо допсоглашение, либо в действующем сделать заверенные правки.
Цитата
Категория ПДн одна. Договора будут храниться в шкафу. Ключ от шкафа на охране. Создаем приказ об допуске определенного круга людей к договорам.
И еще приказ о назначении :) этого шкафа местом хранения, а п. 14 - в этом шкафу не должны быть, к примеру, личные дела сотрудников, для них назначьте другой шкаф. п. 15 - все ок.
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку