Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 След.
RSS
Какие документы проверяет РКН при проверке?
Подскажите пожалуйста, какие документы необходимо предоставить РКН при проверке?
какие попросит такие и придется предоставить :)
Эт, конешна хорошо, но на самом деле?

Ведь наверняка попросит положение о защите ПДн, приказ о назначении ответственных лиц и т.д.,
Так вот что именно в этом списке должно быть??
учредительные документы Оператора;
копия уведомления об обработке персональных данных;
положение о порядке обработки персональных данных;
положение о подразделении, осуществляющем функции по организации защиты персональных данных;
должностные регламенты лиц, имеющих доступ к персональным данным;
план мероприятий по защите персональных данных;
план внутренних проверок состояния защиты персональных данных;
приказ о назначении ответственных лиц по работе с персональными данными;
типовые формы документов, предполагающие или допускающие содержание персональных данных;
журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
приказы об утверждении мест хранения материальных носителей персональных данных;
письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
распечатки электронных шаблонов полей, содержащие персональные данные;
справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
журналы (книги) учета обращений граждан (субъектов персональных данных);
акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.
Спасибо!
Перечень запрашиваемых документов определен в Административной регламенте РКН. Здесь на форуме приводил перечень запрашиваемых документов по результатам 2009 года.
http://www.rsoc.ru/chamber-of-commerce/administrative-reglament/

Вот тут все регламенты.

Но конкретно в нашем случае, нам нужен
http://www.rsoc.ru/docs/doc_488.doc
Цитата
Регламент:
64. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
64.1. Рассмотрение документов Оператора, в том числе:
64.1.1. Уведомление об обработке персональных данных.
64.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.
64.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.
64.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.
64.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
64.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
64.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.

В явном виде регламент требует уведомление, письменное согласие (которого законно может и не быть), документы , подтверждающие уничтожение ПДн и - главное - локальные акты Оператора, регламентирующие порядок обработки Оператором ПДн.

Т.е. требовать безумный список из поста №4 с какими-то "распечатками электронных шаблонов полей" или "приказ о назначении мест хранения магнитных носителей" - незаконно.
Равно как и требовать вообще какой-то заранее заготовленный список приказов и актов, основанный "на предыдущих проверках".

Набор локальных актов Оператора может быть в каждом случае свой, у кого-то список из 40 позиций, а у кого-то приказ о назначении ответственных за обработку, да само положение об обработке ПДн Оператором.


А вот интересное место в Регламенте:

Цитата
Пункт 65. Должностные лица Службы или ее территориального органа при проведении проверок вправе в пределах своей компетенции:
65.6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.

Как же так? Выходит, РКН при проверке обеспечил себе лазейку получать доступ к персональным данным, обрабатываемым оператором?? Лазейку, противоречащую федеральному закону.

Согласно тому же регламенту и 294-ФЗ предметом проверок являются сведения и меры по исполнению оператором обязательных требований, установленными нормативными актами в области персональных данных. Не сами перс.данные, а меры по их защите.

Кроме того 294-ФЗ в статье 15 говорится , что проверяющие "не вправе требовать представления документов, информации, <...>, если они не являются объектами проверки или не относятся к предмету проверки, а также изымать оригиналы таких документов;"
Изменено: Андрей [Пилотов] - 16.06.2010 14:51:44
В свете последних событий хочу оживить, на мой взгляд, эту важную тему. Особенно интересует список документов, который показывали РКНу, организации уже прошедшие проверку.
Изменено: Антон - 29.07.2011 11:15:10
Места хранения ПДн
Что лежит в личном деле работника
Типовые формы всех документов содержащих ПДн
Перечень ИС в которой обрабатываются ПДн и скриншоты ее
ДИ тех кто работает с ПДн
Копию договора по страховым компаниям(это когда ПДн передаются третьим лицам)
Копию приказа о назначении генерального директора генеральным директором
Копию уведомления о обработке ПДн
Список лиц допущенных к обработке Пдн
Положение о безопасности ПДн
Приказы о назначении ответственных лиц за обработку ПДн


В общем все то, что касается бумажной обработки

Ну и учредительные документы компании. Юристы знают о чем ведется речь. Устав предприятия, изменения в устрав, если они есть

У нас они запросили доки по двум отделам. Отдел кадров и Служба Безопасности(отдел пропусков)
Изменено: Александр Пучков - 29.07.2011 11:45:34
Александр, спасибо. (мне кажется, давно нужно рейтинг прикрутить, к сообщениям). Как давно у Вас была проверка?
И вообще кто знает. они четко проверяют по списку( есть ли он вообще?)
В данный момент идет проверка. Внеплановая. Документы им предоставили ждем результатов
Добрый день.

Есть сайт автообъявлений, данные которые используются - имя, телефон ( информация о машине с фото )

коснется ли проверка такого сайта и если да то привести сайт в соответствие с нормами нового закона?

Спасибо
Возьмите согласие (пункт в правилах размещения объявлений) субъекта, что данные становятся общедоступными.
Сомневаюсь что это возможно...

"В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных."
Да Господи модератора на вас нет :evil: .... Кстати вопрос он вообще есть :?:
Тема же посвящена вопросу, какие документы спрашивают, а должен или нет тот или иной сайт соблюдать 152ФЗ, это уже совершенно другая тема.
Это касается всех сайтов и газет с объявлениями о купле-продаже. ИМХО имя (псевдоним) + контактная информация (тел., мыло) обезличенные ПДн.
Цитата
Александр Пучков пишет:
В данный момент идет проверка. Внеплановая. Документы им предоставили ждем результатов

Запросили конкретные документы? или сказали давайте что есть?
Сомневаюсь что это возможно...

"В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных."






Всех сажаем на ЭЦП! Х)
Это касательно сайтов и т.д. =)
Господа, подскажите, пожалуйста, каков должен быть перечень документов в организации с классом ПДН К3?
Страницы: 1 2 3 4 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)