8-800-333-27-53
Заказать звонок
resp@ec-rs.ru
Режим работы
Пн.-Пт.: с 8:00 до 17:00
400001, г. Волгоград, ул. Социалистическая, д. 17
ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
Компания
  • О компании
  • Лицензии
  • Вендоры
  • Карта партнера
  • Конфиденциальность
  • Политика
Направления
  • Информационная безопасность организаций
    • Аудит информационной безопасности (ИБ) и анализ защищённости
    • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
    • Построение систем обеспечения информационной безопасности (СОИБ)
    • Построение систем управления информационной безопасностью (СУИБ)
    • Специализированные отраслевые решения
  • Информационные технологии
    • Дата-центр
    • ИТ-инфраструктура
    • Информационные системы инфраструктурного уровня
    • Информационные системы прикладного уровня
    • Аутсорсинг и сервисные услуги
  • Инженерно-технические средства защиты объектов
    • Инженерные системы
    • Инженерные средства охраны
    • Технические средства охраны
    • Средства антитеррористической защиты
Продукты
  • Информационная безопасность
    • InfoWatch
      • Arma
      • Appercut
      • Attack Killer
      • Person Monitor
      • Endpoint Security
      • Vision
      • Traffic Monitor
    • Positive Technologies
      • PT ISIM
      • PT Sandbox
      • PT Network Attack Discovery (PT NAD)
      • PT MultiScanner
      • PT Application Inspector
      • PT Anti-APT
      • XSpider
      • PT Application Firewall
      • MaxPatrol SIEM
      • MaxPatrol 8
    • Газинформсервис
      • Ankey SIEM
      • Ankey IDM
      • Блокхост-Сеть 2.0
      • Efros Config Inspector
      • SafeERP
    • Код Безопасности
      • АПКШ Континент 3.M2
      • Континент-АП
      • Континент WAF
      • Континент TLS
      • АПКШ Континент
  • Инфраструктурные решения
    • Газинформсервис
      • Litoria DVCS
      • Litoria Crypto Platform
      • Litoria Desktop 2
      • СУБД «Jatoba»
      • Monitor3S
      • АСЗП
Решения
  • DOCSHELL – интеллектуальный сервис защиты информации
  • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
  • BIM - проектирование
  • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
  • Аудит защищенности сети
  • Обеспечение информационной безопасности
  • Безопасность критической информационной инфраструктуры (КИИ)
  • PENTEST – анализ реальной защищенности информационной системы
  • Аудит информационной безопасности
  • SIEM – Система управления событиями и инцидентами безопасности
  • DLP – система предотвращения утечек конфиденциальной информации
  • Защита персональных данных
Опыт
  • Выполненные проекты
  • Отзывы
  • Заказчики
  • Вопросы и ответы
  • Категорирование объектов
  • Пентест
Карьера
  • Вакансии
Блог
  • Новости
  • Блог
Контакты
    ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
    Компания
    • О компании
    • Лицензии
    • Вендоры
    • Карта партнера
    • Конфиденциальность
    • Политика
    Направления
    • Информационная безопасность организаций
      • Аудит информационной безопасности (ИБ) и анализ защищённости
      • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
      • Построение систем обеспечения информационной безопасности (СОИБ)
      • Построение систем управления информационной безопасностью (СУИБ)
      • Специализированные отраслевые решения
    • Информационные технологии
      • Дата-центр
      • ИТ-инфраструктура
      • Информационные системы инфраструктурного уровня
      • Информационные системы прикладного уровня
      • Аутсорсинг и сервисные услуги
    • Инженерно-технические средства защиты объектов
      • Инженерные системы
      • Инженерные средства охраны
      • Технические средства охраны
      • Средства антитеррористической защиты
    Продукты
    • Информационная безопасность
      • InfoWatch
        • Arma
        • Appercut
        • Attack Killer
        • Person Monitor
        • Endpoint Security
        • Vision
        • Traffic Monitor
      • Positive Technologies
        • PT ISIM
        • PT Sandbox
        • PT Network Attack Discovery (PT NAD)
        • PT MultiScanner
        • PT Application Inspector
        • PT Anti-APT
        • XSpider
        • PT Application Firewall
        • MaxPatrol SIEM
        • MaxPatrol 8
      • Газинформсервис
        • Ankey SIEM
        • Ankey IDM
        • Блокхост-Сеть 2.0
        • Efros Config Inspector
        • SafeERP
      • Код Безопасности
        • АПКШ Континент 3.M2
        • Континент-АП
        • Континент WAF
        • Континент TLS
        • АПКШ Континент
    • Инфраструктурные решения
      • Газинформсервис
        • Litoria DVCS
        • Litoria Crypto Platform
        • Litoria Desktop 2
        • СУБД «Jatoba»
        • Monitor3S
        • АСЗП
    Решения
    • DOCSHELL – интеллектуальный сервис защиты информации
    • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
    • BIM - проектирование
    • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
    • Аудит защищенности сети
    • Обеспечение информационной безопасности
    • Безопасность критической информационной инфраструктуры (КИИ)
    • PENTEST – анализ реальной защищенности информационной системы
    • Аудит информационной безопасности
    • SIEM – Система управления событиями и инцидентами безопасности
    • DLP – система предотвращения утечек конфиденциальной информации
    • Защита персональных данных
    Опыт
    • Выполненные проекты
    • Отзывы
    • Заказчики
    • Вопросы и ответы
    • Категорирование объектов
    • Пентест
    Карьера
    • Вакансии
    Блог
    • Новости
    • Блог
    Контакты
      ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ | Системный интегратор
      • Компания
        • Назад
        • Компания
        • О компании
        • Лицензии
        • Вендоры
        • Карта партнера
        • Конфиденциальность
        • Политика
      • Направления
        • Назад
        • Направления
        • Информационная безопасность организаций
          • Назад
          • Информационная безопасность организаций
          • Аудит информационной безопасности (ИБ) и анализ защищённости
          • Построение систем защиты в соответствии с требованиями законодательства, отраслевых регуляторов, национальных и международных стандартов
          • Построение систем обеспечения информационной безопасности (СОИБ)
          • Построение систем управления информационной безопасностью (СУИБ)
          • Специализированные отраслевые решения
        • Информационные технологии
          • Назад
          • Информационные технологии
          • Дата-центр
          • ИТ-инфраструктура
          • Информационные системы инфраструктурного уровня
          • Информационные системы прикладного уровня
          • Аутсорсинг и сервисные услуги
        • Инженерно-технические средства защиты объектов
          • Назад
          • Инженерно-технические средства защиты объектов
          • Инженерные системы
          • Инженерные средства охраны
          • Технические средства охраны
          • Средства антитеррористической защиты
      • Продукты
        • Назад
        • Продукты
        • Информационная безопасность
          • Назад
          • Информационная безопасность
          • InfoWatch
            • Назад
            • InfoWatch
            • Arma
            • Appercut
            • Attack Killer
            • Person Monitor
            • Endpoint Security
            • Vision
            • Traffic Monitor
          • Positive Technologies
            • Назад
            • Positive Technologies
            • PT ISIM
            • PT Sandbox
            • PT Network Attack Discovery (PT NAD)
            • PT MultiScanner
            • PT Application Inspector
            • PT Anti-APT
            • XSpider
            • PT Application Firewall
            • MaxPatrol SIEM
            • MaxPatrol 8
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Ankey SIEM
            • Ankey IDM
            • Блокхост-Сеть 2.0
            • Efros Config Inspector
            • SafeERP
          • Код Безопасности
            • Назад
            • Код Безопасности
            • АПКШ Континент 3.M2
            • Континент-АП
            • Континент WAF
            • Континент TLS
            • АПКШ Континент
        • Инфраструктурные решения
          • Назад
          • Инфраструктурные решения
          • Газинформсервис
            • Назад
            • Газинформсервис
            • Litoria DVCS
            • Litoria Crypto Platform
            • Litoria Desktop 2
            • СУБД «Jatoba»
            • Monitor3S
            • АСЗП
      • Решения
        • Назад
        • Решения
        • DOCSHELL – интеллектуальный сервис защиты информации
        • Оценка и приведение к требованиям по Положению 684-П некредитных финансовых организаций
        • BIM - проектирование
        • Решения для кредитных финансовых организаций. Выполнение требований Положения №683-П
        • Аудит защищенности сети
        • Обеспечение информационной безопасности
        • Безопасность критической информационной инфраструктуры (КИИ)
        • PENTEST – анализ реальной защищенности информационной системы
        • Аудит информационной безопасности
        • SIEM – Система управления событиями и инцидентами безопасности
        • DLP – система предотвращения утечек конфиденциальной информации
        • Защита персональных данных
      • Опыт
        • Назад
        • Опыт
        • Выполненные проекты
        • Отзывы
        • Заказчики
        • Вопросы и ответы
        • Категорирование объектов
        • Пентест
      • Карьера
        • Назад
        • Карьера
        • Вакансии
      • Блог
        • Назад
        • Блог
        • Новости
        • Блог
      • Контакты
      400001, г. Волгоград, ул. Социалистическая, д. 17
      8-800-333-27-53
      resp@ec-rs.ru
      Режим работы
      Пн.-Пт.: с 9:00 до 18:00

      Оператор персональных данных – что делать, когда придут. Руководство к действию.

      • Главная
      • Блог - Мы пишем о том, что делаем!
      • Оператор персональных данных – что делать, когда придут. Руководство к действию.
      9 апреля 2020
      // Защита персональных данных
      Согласно закону N 152-ФЗ, оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

      Получить оценку защищенности

      Оператор персональных данных – один в поле воин

      Оператор обязан обеспечить защиту персональных данных в соответствии с N 152- ФЗ «О защите персональных данных» от 26.01.2007г.

      Оператор персональных данных обязан предпринять ряд организационных и технических мер для выполнения требований законодательства РФ, связанных с обработкой и обеспечением защиты ПДн.

      Контроль за выполнением требований законодательства РФ в области защиты ПДн обеспечивают:

      1. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных, осуществляет надзор по защите персональных данных согласно требованиям законодательства РФ.
      2. Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.
      3. Федеральная служба безопасности (ФСБ) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.
      4. Прокуратура осуществляет контроль за организационными и техническими мерами защиты ПДн, выполнением оператором условий по защите ПДн.

      Частый гость по персональным данным

      В связи с тем, что наиболее частыми являются проверки со стороны Роскомнадзора, рассмотрим более детально именно это направление.

      Проверка проводится в отношении документов и локальных актов оператора персональных данных, указанных в ст. 18.1. Федерального закона «О персональных данных» от 27.07.2006 N 152- ФЗ., а также в отношении деятельности оператора и информационных систем персональных данных оператора, касающихся обработки.

      Проверка Роскомнадзора может быть как плановая, так и внеплановая. Проверить, есть ли Организация в плане Роскомнадзора на проверку в текущем году, можно на сайте ведомства. Срок проведения плановой проверки не может превышать 20 рабочих дней, но может быть продлена еще на 20 дней.

      Как показывает практика, процент проведения внеплановых проверок растет, о проверке нельзя узнать с достаточным запасом времени, как следствие, нельзя должным образом подготовиться. Срок проведения внеплановой проверки не может превышать 10 рабочих дней, однако может быть продлена еще на 10 дней. Решение о проведение внеплановой проверки может быть принято, если, например, на Организацию поступали жалобы со стороны субъектов ПДн.

      Как проверяет Роскомнадзор

      По виду, проверка Роскомнадзора по персональным данным как регулятора, может быть документарной или выездной.

      Документарная проверка

      Документарная проверка (запрос документов) может быть только плановой. В Организацию приходит письмо от местного управления Роскомнадзора с какими-либо требованиями. Это может быть запрос на предоставление по почте копии организационно-распорядительной документации (ОРД) по обработке персональных данных, модели угроз и т.п. Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя оператора или уполномоченного представителя. В случае подачи документов в электронном формате, они должны быть подписаны усиленной квалифицированной электронной подписью.

      Ответ Роскомнадзору следует дать в сроки, указанные в письме, обычно это 5 рабочих дней со дня получения запроса. Несвоевременный ответ влечет за собой предупреждение или наложение административного штрафа (для юридических лиц от 3000 – 5000 руб.) по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган (должностному лицу)».

      В том случае, если в ходе документарной проверки выявлены ошибки, противоречия в представленных оператором документах, об этом направляется оператору ПДн соответствующий запрос с требованием представить в течение 3 рабочих дней необходимые пояснения в письменной форме или в форме электронного документа.

      В случае непредставления оператором документов и пояснений в установленные сроки, орган по контролю и надзору издает приказ о проведении выездной проверки. 

      Выездная проверка

      Сотрудники Роскомнадзора проводят проверку непосредственно в Организации. Первым делом проверяющие предъявляют должностные удостоверения, приказ о назначении выездной проверки с полномочиями должностных лиц, проводящих проверку, а также с целями, основаниями, задачами.

      До начала проверки представители регулирующего органа предъявляют письменный запрос о предоставлении необходимых документов (приказы, инструкции, политики, положения, модель угроз) для проведения проверочных мероприятий. Все документы должны быть заверены.

      После ознакомления с составом документов, проверяющие могут просить направить им копии для изучения или предоставить помещение, где будут детально изучать документы.

      Очень важно оказывать содействие проверяющим: предоставлять доступ к помещениям, не препятствовать проведению проверки.

      По итогам проверки устанавливается факт отсутствия нарушений или их наличие с указанием нормативных актов, которые были нарушены. Составляется акт в двух экземплярах, прикладываются протоколы, справки, пояснения оператора и иные документы, подтверждающие результаты проверки. Спорный акт можно обжаловать.  

      План успешной проверки

      Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления документов, связанных с информационным направлением, или воспользоваться услугами стороннего эксперта.

      В качестве плана подготовки к проверке Роскомнадзора предлагается взять за основу следующую последовательность действий: 

      Обеспечить защиту персональных данных субъектов ПДн.

      1. Определить категории ПДн, которые обрабатываются оператором, их количество и тип субъекта ПДн (сотрудник/сторонний человек).
      2. Определить уровень защищенности персональных данных.
      3. Сформировать акты определения УЗ. Согласовать с назначенной приказом комиссией по определению УЗ.
      4. Определить перечень ИС, в которых ведется обработка персональных данных, утвердить перечень приказом.
      5. Определить перечень лиц, которые имеют доступ к ПДн и работают в информационной системе персональных данных (ИСПДн). Назначить их приказом назначить ответственных за работу с ПДн.
      6. Определить актуальные угрозы ИБ ПДн, выявить актуальные категории нарушителей. Разработать модель угроз.
      7. Определить меры по защите ПДн, учитывающие требования к УЗ и позволяющие нейтрализовать актуальные угрозы ИБ. Адаптировать базовый набор мер по защите ПДн.
      8. Подобрать средства защиты. Разработать проект системы защиты информации.
      9. Установить и настроить средства защиты информации. Разработать эксплуатационную документацию.
      10. Разработать пакет ОРД по обработке ПДн. Документы должны быть персонализированы под конкретную организацию и ИСПДн. Должна быть учтена как автоматизированная, так и неавтоматизированная обработка ПДн. Подробнее о составе пакета ОРД мы расскажем в одном из следующих материалов.
      11. Провести оценку эффективности средств защиты информации (СЗИ).
      12. Проводить пересмотр модели угроз раз в 3 года.

      Дорожная карта Оператора по обеспечению защиты ПДн

      Дорожная карта подготовки к проверке Роскомнадзора по персональным данным

      Обеспечить соблюдение организационных мероприятий при взаимодействии с Роскомнадзором:

      1. Проверить наличие и актуальность уведомления об обработке персональных данных в Роскомнадзор. Возможно, внести корректировки. Уведомление должно быть направлено перед началом работы с данными.
      2. Проверить наличие и доступность для субъектов ПДн политики в области обработки персональных данных (разместить на сайте Организации)
      3. Подготовить сотрудников Организации к проверке. Сотрудники должны быть ознакомлены с нормативной документацией по обработке ПДн и установленными правилами поведения.
      4. Проверить правильность хранения, обеспечения конфиденциальности документов, содержащих ПДн.
      5. Вести себя корректно с проверяющими.


      Есть сомнения что сможете пройти проверку? Нет специалистов для выполнения требований законодательства? Мы решим эти и другие вопросы по персональным данным.
      Заказать услугу

      Услуги
      Защита персональных данных
      Защита персональных данных
      Защита персональных данных – это комплекс организационных и технических мероприятий, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъект персональных данных).

      Аудит информационной безопасности
      Аудит информационной безопасности
      Аудит информационной безопасности — это процесс получения объективных оценок о текущем состоянии защищенности информационных ресурсов компании в соответствии с российскими и международными нормативами. В рамках данного мероприятия проводится комплекс работ по определению уязвимостей IT инфраструктуры, анализ защищенности веб приложений и предотвращению потенциальных кабератак.

      • Комментарии
      Загрузка комментариев...

      Назад к списку Следующая статья
      • Новости
      • Блог
        • Новости
        • Блог
      Категории
      • Защита персональных данных12
      • Пентест3
      • КИИ22
      • Информационная безопасность20
      • АСУ3
      • Средства защиты информации5
      • ПО2
      • ГОСТ1
      • ОУД3
      • Другое7
      Это интересно
      • Фишинговый сайт клон государственного сервиса. Будьте внимательны, что бы не потерять свои данные
        15 марта 2022
      • Судебные прецеденты между Операторами персональных данных и Роскомнадзором
        10 сентября 2020
      • Как задокументировать защиту персональных данных или состав организационно-распорядительных документов по защите ПДн.
        13 апреля 2020
      • Персональные штрафы за персональную информацию
        30 марта 2020
      • Закон о защите персональных данных. Наш взгляд на проблемы.
        23 апреля 2019
      • GDPR - как защитить сайт от жалоб со стороны конкурентов?
        11 февраля 2019
      • Автоматизация процесса защиты персональных данных
        22 ноября 2018
      • Что проверяет Роскомнадзор по персональным данным?
        1 октября 2018
      • Что проверяет ФСБ по персональным данным или к нам едет ревизор
        1 октября 2018
      • GDPR – Защита персональных данных по-европейски
        27 июня 2018
      Компания
      О компании
      Лицензии
      Вендоры
      Карта партнера
      Конфиденциальность
      Политика
      Направления
      Информационная безопасность организаций
      Информационные технологии
      Инженерно-технические средства защиты объектов
      Решения
      Положение 684-П ЦБ РФ для НФО
      Безопасность КИИ (187-ФЗ)
      Аудит информационной безопасности
      Защита персональных данных
      Опыт компании
      Выполненные проекты
      Отзывы
      Заказчики
      Вопросы и ответы
      Категорирование объектов
      Пентест
      Наши контакты

      8-800-333-27-53
      Пн. – Пт.: с 8:00 до 17:00
      400001, г. Волгоград, ул. Социалистическая, д. 17
      resp@ec-rs.ru
      © 2023 ООО «ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ». Все права защищены.