Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 След.
Ответить
RSS
Какие документы проверяет РКН при проверке?
Подскажите пожалуйста, какие документы необходимо предоставить РКН при проверке?
какие попросит такие и придется предоставить :)
Эт, конешна хорошо, но на самом деле?

Ведь наверняка попросит положение о защите ПДн, приказ о назначении ответственных лиц и т.д.,
Так вот что именно в этом списке должно быть??
учредительные документы Оператора;
копия уведомления об обработке персональных данных;
положение о порядке обработки персональных данных;
положение о подразделении, осуществляющем функции по организации защиты персональных данных;
должностные регламенты лиц, имеющих доступ к персональным данным;
план мероприятий по защите персональных данных;
план внутренних проверок состояния защиты персональных данных;
приказ о назначении ответственных лиц по работе с персональными данными;
типовые формы документов, предполагающие или допускающие содержание персональных данных;
журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;
договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;
выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);
приказы об утверждении мест хранения материальных носителей персональных данных;
письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма);
распечатки электронных шаблонов полей, содержащие персональные данные;
справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;
заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);
приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов);
журналы (книги) учета обращений граждан (субъектов персональных данных);
акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);
иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных.
Спасибо!
Перечень запрашиваемых документов определен в Административной регламенте РКН. Здесь на форуме приводил перечень запрашиваемых документов по результатам 2009 года.
http://www.rsoc.ru/chamber-of-commerce/administrative-reglament/

Вот тут все регламенты.

Но конкретно в нашем случае, нам нужен
http://www.rsoc.ru/docs/doc_488.doc
Цитата
Регламент:
64. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
64.1. Рассмотрение документов Оператора, в том числе:
64.1.1. Уведомление об обработке персональных данных.
64.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.
64.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.
64.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.
64.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
64.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
64.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.

В явном виде регламент требует уведомление, письменное согласие (которого законно может и не быть), документы , подтверждающие уничтожение ПДн и - главное - локальные акты Оператора, регламентирующие порядок обработки Оператором ПДн.

Т.е. требовать безумный список из поста №4 с какими-то "распечатками электронных шаблонов полей" или "приказ о назначении мест хранения магнитных носителей" - незаконно.
Равно как и требовать вообще какой-то заранее заготовленный список приказов и актов, основанный "на предыдущих проверках".

Набор локальных актов Оператора может быть в каждом случае свой, у кого-то список из 40 позиций, а у кого-то приказ о назначении ответственных за обработку, да само положение об обработке ПДн Оператором.


А вот интересное место в Регламенте:

Цитата
Пункт 65. Должностные лица Службы или ее территориального органа при проведении проверок вправе в пределах своей компетенции:
65.6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.

Как же так? Выходит, РКН при проверке обеспечил себе лазейку получать доступ к персональным данным, обрабатываемым оператором?? Лазейку, противоречащую федеральному закону.

Согласно тому же регламенту и 294-ФЗ предметом проверок являются сведения и меры по исполнению оператором обязательных требований, установленными нормативными актами в области персональных данных. Не сами перс.данные, а меры по их защите.

Кроме того 294-ФЗ в статье 15 говорится , что проверяющие "не вправе требовать представления документов, информации, <...>, если они не являются объектами проверки или не относятся к предмету проверки, а также изымать оригиналы таких документов;"
Изменено: Андрей [Пилотов] - 16.06.2010 14:51:44
В свете последних событий хочу оживить, на мой взгляд, эту важную тему. Особенно интересует список документов, который показывали РКНу, организации уже прошедшие проверку.
Изменено: Антон - 29.07.2011 11:15:10
Места хранения ПДн
Что лежит в личном деле работника
Типовые формы всех документов содержащих ПДн
Перечень ИС в которой обрабатываются ПДн и скриншоты ее
ДИ тех кто работает с ПДн
Копию договора по страховым компаниям(это когда ПДн передаются третьим лицам)
Копию приказа о назначении генерального директора генеральным директором
Копию уведомления о обработке ПДн
Список лиц допущенных к обработке Пдн
Положение о безопасности ПДн
Приказы о назначении ответственных лиц за обработку ПДн


В общем все то, что касается бумажной обработки

Ну и учредительные документы компании. Юристы знают о чем ведется речь. Устав предприятия, изменения в устрав, если они есть

У нас они запросили доки по двум отделам. Отдел кадров и Служба Безопасности(отдел пропусков)
Изменено: Александр Пучков - 29.07.2011 11:45:34
Александр, спасибо. (мне кажется, давно нужно рейтинг прикрутить, к сообщениям). Как давно у Вас была проверка?
И вообще кто знает. они четко проверяют по списку( есть ли он вообще?)
В данный момент идет проверка. Внеплановая. Документы им предоставили ждем результатов
Добрый день.

Есть сайт автообъявлений, данные которые используются - имя, телефон ( информация о машине с фото )

коснется ли проверка такого сайта и если да то привести сайт в соответствие с нормами нового закона?

Спасибо
Возьмите согласие (пункт в правилах размещения объявлений) субъекта, что данные становятся общедоступными.
Сомневаюсь что это возможно...

"В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных."
Да Господи модератора на вас нет :evil: .... Кстати вопрос он вообще есть :?:
Тема же посвящена вопросу, какие документы спрашивают, а должен или нет тот или иной сайт соблюдать 152ФЗ, это уже совершенно другая тема.
Это касается всех сайтов и газет с объявлениями о купле-продаже. ИМХО имя (псевдоним) + контактная информация (тел., мыло) обезличенные ПДн.
Цитата
Александр Пучков пишет:
В данный момент идет проверка. Внеплановая. Документы им предоставили ждем результатов

Запросили конкретные документы? или сказали давайте что есть?
Сомневаюсь что это возможно...

"В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных."






Всех сажаем на ЭЦП! Х)
Это касательно сайтов и т.д. =)
Господа, подскажите, пожалуйста, каков должен быть перечень документов в организации с классом ПДН К3?
Страницы: 1 2 3 4 След.
Ответить
Читают тему (гостей: 3, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.