Конференция по вопросам информационной безопасности Воскресенье, 24.11.2024, 01:13
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Kostik, anvolkov  
Плановые проверки Роскомнадзор
Andrey_cm (Андрей)Дата: Пятница, 24.12.2010, 09:01 | Сообщение # 1
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
В плане проверок (по ПДн) на 2011 год я нашел пять Череповецких компаний:

"проверка соблюдения обязательных требований: при использовании радиочастотного спектра, в сфере обработки персональных данных" у "Регион - Медиа", "Средняя общеобразовательная школа №11", "Шексна-М" (Возможно ПДн добавили за компанию ;))

И чисто "в сфере обработки персональных данных" у "Персонал-Ресурс", "Вологодский областной наркологический диспансер № 2".

Судя по тому, что в план попал "Персонал-Ресурс", - рушится миф о том, что в плановые проверки попадут только крупные компании.

Похоже решение было взять по одной из классических операторов ПДн: школа, страховая, сми, кадровое агентство, медицина wink

http://rsoc.ru/docs/3_Plan_proverok_2011.zip

PS может им позванить, обрадовать? wink

Сообщение отредактировал Andrey_cm - Пятница, 24.12.2010, 09:02
 
anvolkov (Алексей Волков)Дата: Пятница, 24.12.2010, 09:43 | Сообщение # 2
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote (Andrey_cm)
может им позванить, обрадовать

Не портите сурприз smile

 
Andrey_cm (Андрей)Дата: Пятница, 24.12.2010, 14:26 | Сообщение # 3
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
ФСТЭК тоже опубликовал, но Череповца пока нет в списке, хотя должен быть (по крайней мере нас предупреждали, и даже месяц сказали).
 
anvolkov (Алексей Волков)Дата: Пятница, 24.12.2010, 15:35 | Сообщение # 4
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Приедут с внеплановой smile
 
Kostik (Иванов Константин)Дата: Суббота, 25.12.2010, 21:22 | Сообщение # 5
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Чувствую скоро появятся реальные сведения как проходят проверки... dry
 
Andrey_cm (Андрей)Дата: Среда, 12.01.2011, 10:43 | Сообщение # 6
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Всё, сегодня точно узнал, что проверка ФСТЭК будет в сентябре... Список проверяемых документов дали. Почти всё есть в вашем пакете. Но как мне сказали, это не официальный список (нет утвержденного еще).

PS Документов, которые проверяет РКН (судя по их сайту), в списке ФСТЭК нету. Видать чотко разграничивают свои сферы влияния wink

Сообщение отредактировал Andrey_cm - Среда, 12.01.2011, 10:53
 
anvolkov (Алексей Волков)Дата: Среда, 12.01.2011, 14:24 | Сообщение # 7
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote (Andrey_cm)
проверка ФСТЭК будет в сентябре

А что проверять-то будут? И на каком основании? И с генпрокуратурой согласовали ли?

 
Andrey_cm (Андрей)Дата: Среда, 12.01.2011, 15:24 | Сообщение # 8
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Плановая проверка по ПДн и гос. тайне. 3 года с прошлой проверки уже прошло. Основание - проверка организации защиты информации в муниципальном образовании.
Я как бы не против проверки, пусть приезжают, кофе с пирожными есть wink Тем более (по данным разведки) проверяющие - девушки wink
 
anvolkov (Алексей Волков)Дата: Среда, 12.01.2011, 16:56 | Сообщение # 9
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Quote (Andrey_cm)
плановая проверка

Она д.б. в едином плане проверок, который должен быть с генпрокуротурой согласован и у нее же на сайте выложен. Не знаю правда муниципалов касается это или нет...

Quote (Andrey_cm)
гос.тайне

С каких пор они гостайну начали проверять? surprised У Вас аттестованная муниципальная АС так ее проверять и будут...

Quote (Andrey_cm)
проверяющие - девушки

Везет wink Расскажете потом как было wink

 
Andrey_cm (Андрей)Дата: Четверг, 03.02.2011, 16:55 | Сообщение # 10
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Quote (anvolkov)
С каких пор они гостайну начали проверять? У Вас аттестованная муниципальная АС так ее проверять и будут..

проверка РСП, а не саму работу с гос. тайной wink По гос. тайне нас ФСБшники щемят wink

Добавлено (03.02.2011, 16:53)
---------------------------------------------

В Обществе с ограниченной ответственностью «Центр кадровых предложений» выявлены нарушения прав субъектов персональных данных. В результате плановой выездной проверки, проведенной в январе 2011 года, выявлены следующие нарушения: • представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные или недостоверные сведения; • нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в части обработки персональных данных без согласия субъекта персональных данных, а именно образцы соглашения об использовании персональных данных между соискателем и ООО «Центр кадровых предложений» содержат не полный перечень категорий персональных данных обрабатываемых оператором; • в договоре ООО «Центр кадровых предложений» № 07п – 476 с АК Сберегательный банк Российской Федерации «о зачислении денежных средств на счета физических лиц в соответствии с реестрами, предоставляемым по системе «Клиент-Сбербанк» отсутствует существенное условие о соблюдении конфиденциальности и безопасности персональных данных в случае, если оператор поручает обработку персональных данных третьему лицу; • несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации; • несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации, а именно форма анкеты соискателя содержит неполные сведения. По итогам проверки выданы предписания об устранении выявленных нарушений, материалы направлены в органы прокуратуры для принятия мер прокурорского реагирования, и привлечения виновных лиц к ответственности по ст.ст.13.11, 13.14 КоАП РФ.

Добавлено (03.02.2011, 16:55)
---------------------------------------------
http://35.rsoc.ru/news/news20362.htm

Сообщение отредактировал Andrey_cm - Четверг, 03.02.2011, 16:55
 
Kostik (Иванов Константин)Дата: Суббота, 12.02.2011, 21:17 | Сообщение # 11
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Ну что же, господа, теперь я на собственной шкуре знаю что такое проверка Роскомнадзора по ПДн. smile
Делюсь свежими впечатлениями.

Согласно регламенту проверок, организация была заранее предупреждена, был направлен список документов, которые необходимы при проверке (хотя. как оказалось позже, то далеко не полный). И вот дождались - проверка приехала.

День первый.
Приехала комиссия из трех человек. Предъявили оригинал приказа о проверке, показали свои удостоверения.
Дальше действовали по проекту проверки, т.е. подробно по пунктам делали опрос что проводится, что нет, рассматривали документы. В итоге первого дня попросили:
1. Копию реально заключенного согласия субъекта ПДн (по каждой ИСПДн)
2. Заполненную копию трудового договора.
3. Копию удостоверения сотрудника.
4. Копии всех договоров, заключенных при передаче ПДн третьим лицам (банки например).
5. Копию заявления на перечисление зарплаты.
6. В перечне ПДн попросили каждый пункт ПДн, которые обрабатываются, раскрыть на основании какого документа (Кодекс, ФЗ, ПП, или внутреннего нормативного документа) происходит обработка.
7. Копии различных журналов (карточек посещений и т.п.)
8. Копию гражданско-правового договора.
9. Копию должностных инструкций.
10. Копии иных типовых форм, где содержатся ПДн.
11. Копии всех документов, которые разработаны в ходе организационного этапа защиты ПДн.
Естественно, все копии необходимо было заверить.

Беседа проводилась за "круглым столом" с руководством, для того чтобы составить общую картину работы организации и раскрыть меры, предпринятые для защиты ПДн.
Сообщили интересный факт: фотография - это биометрия! Правда только в том случае, если к ней применяются специальные требования (сослались на ГОСТ о биометрических данных).

День второй.
Комиссия разделилась на несколько групп. Одна из которых проверяла техническую сторону, другая оценивала организационную. Т.к. я являюсь техническим специалистом, то присутствовал с первой группой.
Проверяющие подходили к каждому рабочему месту, где проводится обработка ПДн, и проводили:
1. Опрос сотрудника о процедуре обработки ПДн.
2. Снимали скрин-шоты с экранов (где видны поля для заполнения ПДн).
3. Сверяли картину с документацией.
4. Запросили копии всех цифровых сертификатов.
5. Запросили копии договоров на все установленные средства защиты информации (в том числе и криптографические).
6. Запросили электронный журнал обращений к каждой БД (логи).
7. Дали несколько полезных советов по поводу работы со средствами защиты (которые могут помочь пройти проверку ФСБ и ФСТЭК, если таковые будут).

Долго дискутировали по поводу правомерности объединения нескольких разных БД в одну ИСПДн. В основном из-за того, что проверяющие говорили о том что цели обработки в данном случае различны, но мы не соглашались с тем что цели противоречат друг другу (а по 152-ФЗ только при несовместимости целей БД нельзя объединять в одну ИСПДн).

День третий.
Снова собрали "круглый стол". Отдали проверяющим все запрошенные ими документы, прояснили недостаточно освещенные в документах вопросы, подвели черту работы комиссии. Проверяющие уехали с документацией для детального ее изучения и сравнения с картиной, которую получили во время проведения проверки. Сообщили, что акт о проведении проверки будет примерно через неделю. Что же, крайне интересно что будет в этом акте.

 
Andrey_cm (Андрей)Дата: Среда, 16.02.2011, 15:57 | Сообщение # 12
Лейтенант
Группа: Пользователи
Сообщений: 47
Репутация: 18
Статус: Offline
Я сейчас тоже документацию в порядок привожу, к проверкам.
Костя, а Вы как в РКН писали по электронке или с формы на сайте? А то сейчас принял все дела на себя, смотрю в реестре операторов, а там такой ужас написан про учреждение, что сам не знаю откуда взялось. Копию уведомления у секретаря взял, в нем всё норм написано, а откуда данные в реестре такие не понятно wink Вот надо бы разобраться, по телефону думаю мне сложнее будет объяснить им их недочеты wink
 
Kostik (Иванов Константин)Дата: Среда, 16.02.2011, 18:57 | Сообщение # 13
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Здравствуйте, Андрей!
Когда я приступил к делам, то получилось практически все с точностью до наоборот smile в форме, которую мне распечатали, были сведения далекие от идеала, а на сайте РКН оказались вполне вменяемые данные. Как мне объяснили позже, то просто организация все утрясала по электронке. Думаю и Вам тоже стоит туда написать по электронной почте, заодно и приложите то заявление, которое считаете более адекватным.
 
Kostik (Иванов Константин)Дата: Четверг, 10.03.2011, 10:52 | Сообщение # 14
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Совсем забыл сообщить чем все закончилось smile
В ходе проверки доработали уведомление оператора, соглашения об обработке, некоторые вспомогательные документы, регулирующие правила допуска в контролируемую зону, а так же касающиеся правил маркировки носителей ПДн. Соответственно в итоговый акт данные замечания внесены не были.

В результате организацию обязали написать еще один документ "порядок обработки ПДн", в который необходимо вынести сведения из существующих документов в перефразированном виде. Вот в принципе и все, если кратко smile

 
  • Страница 1 из 1
  • 1
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz