8 800 201-20-70Звонок бесплатный
Контакты it_law_security Поиск
RTM Group » Услуги » Персональные данные » Построение системы управления инцидентами информационной безопасности персональных данных

Построение системы управления инцидентами информационной безопасности персональных данных

Построение системы управления инцидентами — ключевой элемент защиты информационных активов организации от актуальных киберугроз. Как быть готовым к ситуации, когда инцидент уже произошел, чтобы снизить последующие риски?

Мы предлагаем:

  • Разработку и внедрение процессов управления инцидентами в соответствии с действующим законодательством РФ, включая требования по защите персональных данных (152-ФЗ, подзаконные акты и документы ФСТЭК России и ФСБ России)
  • Построение адаптированной под вашу организацию системы реагирования на инциденты, направленной на минимизацию последствий возможных утечек персональных данных
  • Анализ и внедрение лучших практик реагирования на инциденты, включая кейсы по утечкам ПДн
  • Обучение сотрудников правилам взаимодействия с государственными регуляторами (Роскомнадзор, ФСТЭК России, ФСБ России, МВД России) при возникновении инцидентов
Построение системы управления инцидентами информационной безопасности персональных данных - услуги RTM Group
Построение системы управления инцидентами информационной безопасности персональных данных - от RTM Group
Узнать стоимость?
Перейти

Эксперты по построению системы реагирования на инциденты

Эксперт по построению системы реагирования на инциденты Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по построению системы реагирования на инциденты Шрамко Павел Андреевич

Шрамко Павел Андреевич

Эксперт в сфере информационной безопасности

Опыт: Стаж работы в сфере информационной безопасности с 2022 г.

Профиль >>

Все эксперты
Эксперт по построению системы реагирования на инциденты Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Каким организациям необходимо организовать управление инцидентами ИБ?

Реагирование на инциденты информационной безопасности — обязательное требование для всех операторов персональных данных в соответствии с российским законодательством.

Каждая организация, обрабатывающая ПДн, должна обеспечивать защиту этой информации, своевременно реагировать на утечки и проводить внутренние расследования.

  1. В крупных компаниях для этого формируются специализированные команды и внедряются автоматизированные системы реагирования.
  2. В организациях меньшего масштаба эти функции, как правило, выполняют один или несколько назначенных сотрудников.

Кроме операторов ПДн, создание системы управления инцидентами критически важно для субъектов критической информационной инфраструктуры (КИИ), финансовых учреждений, а также государственных и муниципальных органов.

Налаженные процессы реагирования позволяют не только снизить ущерб от киберинцидентов, но и обеспечить соответствие требованиям регуляторов, сохранить репутацию и доверие со стороны клиентов и партнеров.

Обязательства оператора ПДн:

  • Внедрить процедуры обнаружения и реагирования на инциденты
  • Наладить взаимодействие с РКН / ФСБ по вопросам реагирования на утечки
  • Своевременно оповещать регуляторов о выявленных случаях утечки
  • Принимать меры, направленные на недопущение утечек ПДн и устранение последствий

Зачем нужен процесс управления инцидентами ИБ?

Процесс управления инцидентами ИБ необходим для снижения риска, в тех случаях, когда инцидент информационной безопасности уже случился и не него необходимо оперативно отреагировать, расследовать и устранить его последствия.

Возможными последствиями от инцидента ИБ могут быть:

  • Повторная утечка данных
  • Хищение денег со счетов организации
  • Заражение вирусом шифровальщиком данных оператора с последующим вымоганием денежных средств
  • Выполнение незаконных действий от лица сотрудников оператора
  • Претензии от субъектов персональных данных и контрагентов
  • Санкции со стороны регуляторов, включая крупные штрафы

Каким образом проходят работы?

Работы в рамках построения системы управления инцидентами ИБ включают в себя следующие шаги.

  1. Оценка текущего состояния и подготовка решения:
    • Проведение аудита существующих процессов реагирования на инциденты (при наличии)
    • Анализ ИТ- и ИБ-инфраструктуры, выявление особенностей информационной среды и состава персонала заказчика
    • Идентификация уязвимостей и пробелов в текущих процессах управления инцидентами
    • Применение требований законодательства и стандартов (152-ФЗ, 187-ФЗ)
    • Определение ответственных лиц и формирование рабочей группы, обучение ключевых сотрудников основам управления инцидентами ИБ
  1. Разработка регламентов и процедур обнаружения и реагирования на инциденты:
    • Определение ролей и зон ответственности участников процесса управления инцидентами
    • Формирование правил выявления инцидентов и первичного реагирования на них
    • Разработка процедуры по ликвидации последствий инцидентов
    • Установление порядка проведения внутренних расследований
    • Регламентирование процедур уведомления регуляторов о выявленных инцидентах (Роскомнадзор, ФСТЭК, КЦ НКЦКИ и др.)
  1. Создание и согласование сопутствующей документации:
    • Разработка политики управления инцидентами информационной безопасности
    • Формирование регламентов реагирования и уведомления
    • Подготовка инструкции/памятки для сотрудников по действиям при инцидентах
    • Внесение необходимых изменений в внутренние документы организации (Положения по ИБ, договоры и прочее)
  1. Подбор и внедрение технических средств (по запросу)
    • Рекомендации по выбору и интеграции инструментов для обнаружения и корреляции инцидентов (SIEM, XDR, SOAR и др.)
    • Интеграция новых средств с уже действующими ИБ и ИТ-системами организации
    • Настройка оповещений, сценариев реагирования, ведения журналов и формирования отчетности
  1. Организация регулярного мониторинга и сопровождения системы (по запросу)
    • Внедрение процессов постоянного мониторинга эффективности работы системы управления инцидентами
    • Проведение периодических тестирований и обновлений процедур с учетом изменений в инфраструктуре и нормативных требованиях

Что получает заказчик?

Результатом работ является:

  • Сформированный с учетом особенностей информационной инфраструктуры оператора регламент обнаружения и реагирования на инциденты информационной безопасности в информационных системах персональных данных
  • Обученные осуществлять реагирование на инциденты ИБ сотрудники оператора
  • Выстроенная в соответствии с требованиями законодательства система управления инцидентами информационной безопасности

Что предусмотрено в случае невыполнения требований по управлению инцидентами персональных данных?

  1. Невыполнение уведомления Роскомнадзора — штраф до 300 000 руб.
  2. Неуведомление об утечке персональных данных — штраф до 3 000 000 руб.

Неправомерная передача персональных данных:

  • До 10 000 субъектов — штраф до 5 000 000 руб.
  • От 10 000 до 100 000 субъектов — штраф до 10 000 000 руб.
  • Более 100 000 субъектов — штраф до 15 000 000 руб.
  1. Нарушения при передаче биометрических данных — штраф до 20 000 000 руб.
  2. Повторные нарушения — штраф от 20 000 000 до 500 000 000 руб. или до 3% годовой выручки

Почему RTM Group

  • Мы поможем Вам увидеть реальную картину защищенности данных, а не просто, формально провести аудит. Отчет наших экспертов подробно описывает каждую из выявленных проблем и дает конкретные рекомендации по их устранению, их выполнение обеспечивает успешное прохождение проверок.
  • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности.
    Мы специализируемся на технических экспертизах, аудитах информационной безопасности. Являемся постоянными Исполнителями работ по 821-П, 757-П, 851-П для российских банков, некредитных финансовых организаций, а также платежных систем.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по построению системы реагирования на инциденты

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:




Оглавление:

Кому необходимо организовать управление инцидентами ИБ Обязательства оператора ПДн Зачем нужен процесс управления инцидентами ИБ Этапы оказания услуги Что получает заказчик? Санкции в случае невыполнения требований по управлению инцидентами ПДн Почему RTM Group? Заказать услугу по построению системы реагирования на инциденты Стоимость услуги по построению системы реагирования на инциденты


Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по построению системы реагирования на инциденты

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

821-П, 851-П (683-П), 757-П, 802-П, Пентест, ОУД4 и пр.

Специализируемся на всех вариантах аудитов ИБ финансовых организаций по требованиям Центрального банка

3 лицензии

ФСТЭК России и ФСБ России

Услуги для вас

Услуга 152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

152‑ФЗ «О персональных данных»: Аудит на соответствие ПДн

— Что означает соответствие 152-ФЗ?
— Чем грозит несоответствие по 152-ФЗ?
— Аудит для банков и МФЦ
— Что представляет собой аудит?
— Стоимость аудита 152-ФЗ
Услуга Полная защита для операторов персональных данных

Полная защита для операторов персональных данных

— Приведение процессов обработки в соответствие требованиям законодательства
— Разработка ОРД в области законной обработки и защиты персональных данных
— Моделирование угроз
— Консультация работников в области обеспечения защиты и защищенной обработки ПДн
— Сопровождение работ по внедрению средств защиты
— Сопровождение проверок регуляторов
Услуга Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

— Расследование инцидентов ИБ
— Основные задачи расследования
— Сферы применения расследования инцидентов ИБ
— Предметы расследования
— Порядок реагирования на инциденты ИБ
— Стоимость услуг по расследованию инцидентов ИБ
Услуга Аутсорсинг информационной безопасности

Аутсорсинг информационной безопасности

— Причины перехода на аутсорс
— Каким компаниям необходим аутсорсинг информационной безопасности
— Варианты сотрудничества

Услуга Предварительная экспертиза инцидента информационной безопасности

Предварительная экспертиза инцидента информационной безопасности

— На каком этапе проводится экспресс-аудит инцидента ИБ?
— Первоочередные задачи
— Для чего используются полученные данные?
— Сроки, гарантии, конфиденциальность
Услуга Разработка пакета документов по защите персональных данных (ПДн)

Разработка пакета документов по защите персональных данных (ПДн)

— Какие данные сотрудников компании являются персональными?
— Действуют ли требования по защите персональных данных по 152-ФЗ в отношении клиентов и/или контрагентов компании?
— Какими нормативными актами нужно руководствоваться при разработке и внедрении документов по обработке персональных данных?
— Какие документы по обработке персональных данных нужны в компании?
— Что Вы получаете в результате заказанной в RTM Group услуги?
— Как предоставляется услуга (алгоритм действия)?
— Почему RTM Group
— Заказать услугу по разработке пакета документов по защите ПДн
— Стоимость услуги по разработке пакета документов по защите ПДн

Продукты и решения для вас

Anti-DDoS и WAF

Anti-DDoS и WAF

Anti-DDoS — это набор инструментов и технологий, предназначенных для защиты серверов, сетей и веб-приложений от DDoS-атак. Их задача — отличить легитимный трафик от вредоносного, блокируя последний и обеспечивая стабильную работу ресурса. WAF — это программное или аппаратное решение, которое анализирует входящий и исходящий трафик веб-приложения. Его задача — выявлять и блокировать подозрительные запросы, предотвращая попытки атак, таких как SQL-инъекции, XSS (межсайтовый скриптинг), атаки на сеансы и другие.
Security Awareness

Security Awareness

Security Awareness — это категория продуктов и решений, направленных на формирование киберграмотности и повышение осведомленности сотрудников о потенциальных угрозах. Человеческий фактор остаётся одним из ключевых векторов атак, поскольку ошибки, невнимательность или недостаток знаний могут привести к утечке данных, успешным фишинговым атакам и другим инцидентам.

Менеджер паролей

Менеджер паролей

Программное обеспечение класса PMS (Password Management System) или корпоративный менеджер паролей. Программы предназначены для централизованного хранения и организации доступа к паролям для систем и сервисов, используемых компанией или организацией.
Многофакторная аутентификация

Многофакторная аутентификация

Пароли уже не обеспечивают достаточного уровня безопасности, поскольку их можно украсть, подобрать или перехватить. Именно поэтому многие компании и сервисы внедряют многофакторную аутентификацию (MFA), позволяющую значительно усложнить несанкционированный доступ к учётным записям.
МФУ и печатная техника

МФУ и печатная техника

МФУ (многофункциональные устройства) и печатная техника — это оборудование для работы с документами. МФУ объединяют функции принтера, сканера, копира и иногда факса, обеспечивая универсальное решение для офисных и домашних задач. Печатная техника включает принтеры, плоттеры и специализированные устройства для различных видов печати, от текстов до графики.
Офисный пакет

Офисный пакет

Офисные пакеты — это программное обеспечение, предназначенное для выполнения офисных задач и облегчения работы в офисной среде. Они включают в себя набор различных программ, которые позволяют создавать, редактировать и обмениваться различными типами документов, такими как текстовые файлы, электронные таблицы, презентации и другие.
ПК (АРМ)

ПК (АРМ)

ПК (АРМ) предназначен для оснащения рабочих мест сотрудников. Может быть исполнен в различных форм-факторах: моноблок, Compact, Desktop, Tower.
Сервер

Сервер

Сервер — это устройство, которое хранит данные и даёт доступ к ним большому числу клиентов.
Системы защиты информации

Системы защиты информации

Системы защиты информации — это специальные комплексы программного и аппаратного обеспечения, разработанные для обеспечения безопасности информации от несанкционированного доступа, использования, изменения или уничтожения. Они играют важную роль в защите конфиденциальности, целостности и доступности информации, а также в предотвращении угроз и атак на информационные системы.
СХД

СХД

Система хранения данных (СХД) — специализированная инфраструктура для централизованного хранения и управления информацией в компьютерных сетях.
Удаленный доступ и управление конфигурациями устройств

Удаленный доступ и управление конфигурациями устройств

UEM (Unified Endpoint Management) – это системы, которые позволяют компаниям предоставлять для своих сотрудников доступ к работе с любого устройства и удаленно управлять этими устройствами.
DLP

DLP

DLP (Data Loss Prevention) — это система или набор технологий и политик, разработанных для предотвращения утраты, утечки или несанкционированного распространения конфиденциальных данных. Она используется для защиты информации, которая может быть ценной, конфиденциальной или чувствительной для организации.
SIEM

SIEM

SIEM (Security Information and Event Management) — это комплексная система, объединяющая функции сбора, анализа и управления информацией о безопасности в компьютерных сетях и информационных системах.

Межсетевые экраны

Межсетевые экраны

Межсетевые экраны — это сетевые устройства или программные приложения, предназначенные для обеспечения безопасности компьютерных сетей. Они служат первой линией защиты, контролируя и фильтруя трафик, проходящий через сетевые соединения.
Управление уязвимостями

Управление уязвимостями

Программы для управления уязвимостями — это инструменты и системы, разработанные для обнаружения, анализа, отслеживания и устранения уязвимостей в компьютерных системах и сетях.

Антивирусы

Антивирусы

Антивирусы — это специальные программы, разработанные для обнаружения, блокирования и удаления вредоносного программного обеспечения (вирусов, троянских программ, червей и других вредоносных объектов) с компьютеров и других устройств.
Цифровая криминалистика

Цифровая криминалистика
Операционные системы

Операционные системы

Операционная система (ОС) — это программное обеспечение, которое управляет и контролирует работу компьютера или другого устройства.

Информационная безопасность

Информационная безопасность

Нам доверяют

Полезные статьи

Статья Ваши персданные все равно утекут — что с этим делать?

Ваши персданные все равно утекут — что с этим делать?

В этой статье эксперты RTM Group рассказали, насколько серьезно организации заботятся о сохранности персональных данных и о том, где и кем они могут быть использованы в случае утечки.
Статья Защита биометрических персональных данных

Защита биометрических персональных данных

— Хранение и защита биометрических данных;
— Защита биометрических данных и закон;
— От чего необходимо защищать биометрические данные?;
— Защита биометрических данных: основные моменты.
Статья Защита персональных данных

Защита персональных данных

Статья о мерах по защите персональных данных. Разбираем основные понятия, участие субъекта и оператора, а также актуальное законодательство по теме.
Статья Защита персональных данных при аутсорсинговой обработке

Защита персональных данных при аутсорсинговой обработке

Обработка персональных данных… многие слышали, читали об этом, но понять до конца трудно, «что это такое и с чем это едят».
Статья Защита персональных данных: почему не уделяют внимания и почему придется уделить

Защита персональных данных: почему не уделяют внимания и почему придется уделить

Регуляторы со стороны Роскомнадзора (далее — РКН) и ФСБ серьезно взялись за организации, которые обрабатывают персональные данные (далее — ПДн). На это указывают новые документы, которые уже вступили в силу.
Статья Как защитить персональные данные в соответствии с новым приказом Минцифры №453

Как защитить персональные данные в соответствии с новым приказом Минцифры №453

Особое внимание операторам биометрических ПДн необходимо обратить на новый Приказ Минцифры № 453,который пришел на замену Приказа № 930.
Статья Правила защиты персональных данных: обучение сотрудников компании

Правила защиты персональных данных: обучение сотрудников компании

Какой идеальной бы с технической точки зрения не была система защиты персональных данных, огромную угрозу несут сами сотрудники компании, поэтому важно проводить обучение сотрудников правилам защиты информации.
Статья Ужесточение ответственности в сфере персональных данных в РФ

Ужесточение ответственности в сфере персональных данных в РФ

26.11.2024 г. Государственная Дума Российской Федерации приняла в третьем чтении планы внесения изменений в Административный и Уголовный кодексы. Планируемые изменения направлены на ужесточение требований к лицам, обеспечивающим обработку и защиту персональных данных.

Статья Что нужно, чтобы защитить персональные данные? Руководство для малых компаний, заботящихся о безопасности

Что нужно, чтобы защитить персональные данные? Руководство для малых компаний, заботящихся о безопасности

В современном мире, где защита персональных данных становится одним из важнейших вопросов, каждый человек оставляет следы своей активности в интернете, к примеру, при совершении онлайн-покупок, взаимодействии в социальных сетях или при посещении веб-сайтов. Очень важно осознавать, что эти данные могут быть использованы без нашего ведома и согласия, если не будут адекватно защищены.
Статья Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения

Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее – № 152-ФЗ, Закон, ФЗ «О персональных данных») регулирует отношения связанные с обработкой персональных данных, осуществляемой государственными органами, муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств (ст. 1 № 152-ФЗ).

FAQ: Часто задаваемые вопросы

В каком виде и как необходимо размещать данные об условиях распространения персональных данных из полученного согласия? Можно ли на отдельном ресурсе сайта или только в местах размещения персональных данных, указанных в согласии?

Согласие на распространение персональных данных это императивный документ. То есть то, что там указано, мы должны соблюдать в точном соответствии. А в согласии на распространение персональных данных не может быть альтернативных формулировок, не может быть «по усмотрению», там может быть конкретный объект – кому предоставляют это согласие, конкретные места, где персональные данные будут использоваться, конкретный объем, конкретные способы, каким образом будет использоваться. В принципе, все максимально конкретно.

Какая ответственность за не уведомление Роскомнадзора о начале обработки ПДн третьих лиц?

Ответственность здесь административного характера предполагается, штрафы поименованы, если с разбивкой по суммам, по альтернативным санкциям – в Кодексе об административных правонарушениях… статья 13.11 КоАП РФ – там очень подробно перечислены составы и возможные альтернативные санкции за нарушение тех или иных составов.

Добрый день. Сможете разработать сайт, который будет соответствовать требованиям по защите персональных данных?

Здравствуйте.
Мы можем провести аудит сайта на соответствие требованиям по защите персональных данных и составить рекомендации по улучшению сайта в направлении соответствия законодательства по защите персональных данных.
Также можем принять участие в разработке ТЗ на создание сайта, которое будет учитывать требования по обработке ПДн.

Можно ли считать ПДн, сделанные видными для всех пользователей социальной сети (например, номер телефона, ФИО) в соответствии с правилами настройки приватности, сделанными доступными для распространения неограниченному кругу лиц?

Обычно суды, наряду с законодательством, всегда руководствуются пользовательским соглашением, которое действует в той или иной социальной сети. Например, был судебный спор с социальной сетью «ВКонтакте», где пользователь обратился в суд, требовал большие компенсации, устранение нарушения его прав, ссылался на то, что его фотографию, которая была размещена, скопировал другой пользователь, и разместил неприличный пост с его участием. Суды встали на сторону социальной сети «Вконтакте» и ссылались на то, что в пользовательском соглашении, которое принимал пользователь при регистрации указано, что пользователь сам определяет настройки приватности своего профиля, и сам определяет, какие данные сделать доступными всем (неограниченному кругу лиц), ограниченно доступными или никому недоступными. Все цитаты приведены в судебном решении из этого пользовательского соглашения, вот почему важно правильно оформлять пользовательское соглашение. Истцу было отказано – он сам не проставил флажки там, где нужно было, и разрешил пользоваться своими фотографиями, своими данными.

Мы не являемся оператором по персданным, просто интернет-магазин. Чему мы должны соответствовать?

Здравствуйте.
Если интернет-магазин осуществляет сбор и обработку данных клиентов (имя, email, номер телефона и проч.), то юридическое лицо автоматически становится оператором персональных данных. В этой ситуации необходимо соответствовать не только 152-ФЗ, но и постановлению правительства №1119.

Является ли театр оператором персональных данных?

Если в Театре используются информационные системы, обрабатывающие ПДн, то, согласно Федеральному закону № 152 «О персональных данных», Театр является оператором этой системы и обязан обеспечить безопасность персональных данных с помощью системы защиты ПДн. Оператор персональных данных обязан определить перечень ИСПДН, в которых обрабатываются ПДн и реализовать систему защиты ПДн.

Выбор средств защиты информации для системы защиты ПДн осуществляется оператором во исполнение Федерального закона № 152 «О персональных данных».

Для обеспечения безопасности персональных данных оператор должен:

  1. Определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (модель угроз согласно методике ФСТЭК от 5 февраля 2021 г.);
  2. Обеспечить применение мер по обеспечению безопасности персональных данных для уровней защищенности персональных данных (согласно ПП № 1119);
  3. Обеспечить применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. Проводить оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
  5. Вести учет машинных носителей персональных данных.

У нас юридическое лицо, зарегистрированное не в России. Для работы с персональными данными граждан РФ нам необходимо соответствовать требованиям Роскомнадзора (собираем минимальный набор данных: имя, емейл).

Подскажите, пожалуйста, что ещё необходимо?

Юридическая справка по регистрации оператора при обработке персональных данных:
Нормативная база (основания):

  • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) «О персональных данных»
  • Информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных» (Публикация на сайте http://rkn.gov.ru по состоянию на 03.04.2018)

Информация для организаций:

В соответствии с ч.1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

Уведомление должно быть направлено в письменной форме или направлено в электронной форме в соответствии с законодательством Российской Федерации.

Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов.

Однако, до подачи уведомления необходимо провести ряд важных внутренних мероприятий: нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер.

Также, прошу Вас обратить внимание, что согласно п.5 ст.18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории РФ.

Надо ли собирать согласия на распространение ПДн с работников при размещении их данных во внутренних справочниках, а также на внутренних порталах?

В принципе, законодательство, как таковое, не требует, потому что это трудовые отношения с работниками, и вы же эти справочники для внутреннего пользования создаете, что не предполагает распространение персданных неопределенному кругу лиц. Принимая сотрудников на работу, вы берете обязательство о неразглашении персональных данных, какой-то конфиденциальной информации. Так что, в данном случае, получать с работников еще одно дополнительное согласие на распространение персональных данных, я думаю, не требуется. Единственное, что нас ничто не спасает от самодурства некоторых должностных лиц, когда закон не требует, но у нас есть специалист в госоргане, в определенном регионе, который говорит, что документ должен быть. Я всегда говорю: не надо упираться, если должно – предоставьте. Но вообще это неправильно, это не в силу закона.

Если подрядчик получает доступ к персональным данным исключительно в целях ИТ поддержки приложения и базы данных, и не планирует совершать никаких действий с этими ПД, считается ли это обработкой ПД? и нужно ли поручение на обработку ПД?

Да, это будет считаться обработкой ПДн. Потребуется заключать договор-поручение на обработку ПДн.

Рассматривали ли проект требований к оценке вреда, который может быть причинен субъекту ПДн в случае нарушения закона о ПДн? Не совсем понятно, что они хотели сказать вторым приложением, сразу обозначили величину вреда или что?

Проект на настоящий момент достаточно-таки сырой, на наш взгляд и требует доработки, т.е. сказать наверняка, что именно хотел сказать законодатель сложно. Данный законопроект должен быть доработан до середины сентября текущего года, возможно правки внесут ясность в формулировки.

Какие данные сотрудников необходимы для правильной разработки документов по защите ПДн?

Персональные данные (ПДн) — это любая информация, которая относится прямо или косвенно к конкретному человеку (субъекту персональных данных). Это могут быть ФИО, мобильный телефон, электронная почта, адрес проживания, фотография, паспортные данные и другие данные, позволяющие идентифицировать человека. При трудоустройстве работодателю могут предоставляться личные документы: паспорт, трудовая книжка, СНИЛС, документ об образовании, медицинская книжка, военный билет и другие.

Однако, получение тех или иных ПДн должно быть юридически обосновано, определены цели получения ПДн и способы обработки ПДн и т.п. Конкретный перечень ПДн именно для Вашей организации зависит от специфики профессии, условий труда, задач сотрудника и проч., может быть сформирован только после изучения основных бизнес-процессов в компании, штатного расписания, должностных инструкций.

Кто такой администратор безопасности ПДн?

Администратор безопасности персональных данных (ПДн) – роль, на которую назначается сотрудник организации для обеспечения защиты ПДн. В круг типовых задач администратора безопасности ПДн входит настройка механизмов защиты ОС, конфигурирование используемых средств защиты информации и анализ их логов, предоставление прав доступа пользователей к информационным ресурсам, а также ряд других задач для обеспечения целостности, конфиденциальности и доступности ПДн.

На сайте организации требуется размещать именно правила работы с ПДн?

Нет, не обязательно называть их «Правила работы с персональными данными», можно оставить наименование «Политика конфиденциальности», просто помнить о том, что Политика конфиденциальности — это более широкое понятие, она охватывает правила работы с персональными данными. Политика конфиденциальности, по большому счету, если правильно составлена, может включать в себя работу с гостайной, с персональными данными и работу с коммерческой информацией. То есть, может быть три составляющих.

В общем, как Вам удобнее, самое главное, чтобы документы были и соответствовали закону.

Надо ли получать лицензию ФСТЭК, если мы обрабатываем персональные данные третьих лиц?

Нет. Для обработки персональных данных лицензия ФСТЭК не нужна.

Если сбор ПДн на сайте не осуществляется, то надо ли публиковать политику и на какой странице?

Если сбор ПДн на сайте не осуществляется, то политика не нужна.

Поменяется ли форма уведомления Роскомнадзора об обработке персональных данных после 1 сентября?

После 1 сентября форма не поменяется, но сейчас внесён законопроект об утверждении новой формы. Возможно, к концу сентября нужно будет уже уведомлять по ней. В форме имеются незначительные изменения. Её можно заполнить онлайн на сайте РКН.

Добрый день, подскажите, пожалуйста, организация (из России) по поручению иностранного юридического лица обрабатывает персональные данные сотрудников данного иностранного юридического лица, считается ли это трансграничной передачей?

Нет. В законодательстве точно указано определение трансграничной передачи – когда ПДн передаются из РФ в иностранное государство.