Что требует закон?

Закон вступил в силу 27.07.2006 и требует, чтобы каждый оператор, обрабатывающий персональные данные, и независимо от формы обработки:

Что конкретно нужно сделать, чтобы соответствовать требованиям статей 18.1 и 19 закона?

На первый взгляд все просто:

Однако тем, кто не имеет опыта реализации закона, однозначно трактовать то или иное требование практически невозможно.

Закон разрабатывался для организаций всех форм собственности и отраслей России, и поэтому формулировки в законе достаточно общие. Закон не устанавливает точный перечень документов, которые должны быть разработаны у каждого оператора, а также перечень документов, запрашиваемый на проверке уполномоченного органа (Роскомнадзора). Все это означает, что осуществить подготовку самостоятельно и сразу правильно, с гарантией прохождения проверки Роскомнадзора, — невозможно. А ответственность за несоблюдение требований закона — вплоть до приостановки деятельности организации.

Кроме того, итоговый пакет документов для полноценного соответствия закону содержит около 60 документов для любой организации.

В жизни все сложнее также ввиду следующих моментов:

  • Нужно выполнять требования не только самого закона, но и подзаконных нормативно-правовых актов, которых насчитывается более 10!
  • Только на этапе выполнения требований подзаконных актов операторы начинают понимать, что, помимо юридической подготовки организации, требуется защита компьютерных систем, в которых обрабатываются персональные данные. А это выливается в немалый бюджет и время.
  • При проверке Роскомнадзор запрашивается ряд документов и сведений, которые явно не следуют из закона, но требуются при прохождении проверки.
  • Общие формулировки закона можно трактовать по-разному, и только те, кто сталкивались с проверкой Роскомнадзора, точно знают, что же действительно требуется по закону.

 

Как подготовиться по 152-ФЗ?

Существует всего два варианта. Первый вариант — провести подготовку самостоятельно, рискуя потратить время и средства впустую, без гарантии прохождения проверки Роскомнадзора. Второй вариант — обратиться к компетентной организации без каких-либо рисков и со 100% гарантией прохождения проверки.

Кратко порядок самостоятельной подготовки оператором выглядит так:

При самостоятельной подготовке многие рассчитывают на авось. Мол, столкнемся с проверкой, тогда и узнаем, что действительно нужно. А когда приходит проверка, оператор с ужасом узнает, что должно быть разработано около 60 внутренних документов по вопросу обработки и защиты персональных данных, а также проведены работы по защите и аттестации компьютерных систем, в которых обрабатываются персональные данные. Но это занимает от 2 до 6 месяцев и составляет определенный бюджет. В итоге оператор не способен оперативно подготовиться в период прохождения проверки Роскомнадзора и получает предписание на устранение замечаний. А если не исправит их в 30-дневный срок, вынужден приостановить деятельность!

Камни преткновения

Во время подготовки по требованиям закона организации сталкиваются с тремя основными сложностями:

  1. Незнание подзаконных нормативно-правовых актов. Федеральный закон № 152-ФЗ является законодательным документом высшего уровня. А процесс реализации тех или иных требований закона детализируется в постановлениях Правительства и подзаконных нормативно-правовых актах уполномоченных органов в области защиты информации — ФСБ и ФСТЭК России.
  2. Незнание того, какой конкретно внутренний документ должен быть разработан в организации по той или иной формулировке закона. Только специалисты по информационной безопасности с многолетним опытом, участвующие в рассмотрении законопроекта, проводившие анализ каждой новой редакции закона, способны понять, какие конкретно документы скрываются под той или иной формулировкой закона.
  3. Отсутствие специалистов по информационной безопасности. Для соответствия статье 19 закона необходимо защитить информационную (компьютерную) систему по требованиям ФСБ и ФСТЭК России и провести оценку ее защищенности. Указанные работы оператор может провести как самостоятельно, так и с привлечением компетентной организации лицензиата ФСБ и ФСТЭК России. Данные работы проводятся по методологии ФСТЭК России с оформлением определенного набора отчетных документов.

 

Рассчитать стоимость подготовки компании по 152-ФЗ
ОНЛАЙН-КАЛЬКУЛЯТОР

 

Лайфхак по успешной подготовке по требованиям закона

Для того, чтобы подготовиться по требованиям закона и в дальнейшем пройти проверку Роскомнадзора, советуем учесть следующее:

Подготовка по требованиям закона и подготовка к проверке Роскомнадзор: отличия

Закон предъявляет требования к оператору персональных данных, а в частности к правовой подготовке организации и технической подготовке информационных (компьютерных) систем организации, но не описывает порядок проверки уполномоченным органом (Роскомнадзор) и тем более, не устанавливает точный перечень запрашиваемых Роскомнадзор документов.

Подготовившись по требованию закона, вы имеете пакет организационно-распорядительной документации, достаточной для соответствия закону (около 60 документов), но недостаточной для прохождения проверки Роскомнадзора. Чтобы пройти проверку уполномоченного органа, необходимо разработать дополнительные документы и справки по организации (около 30 документов).

Ситуацию усугубляет тот факт, что в каждом территориальном органе набор запрашиваемых документов разнится. Более того, даже в одном территориальном органе требования варьируются в зависимости от проверяющего.
Итого: подготовиться к проверке Роскомнадзора, не имея опыта прохождения проверки, без обращения к компетентной организации — невозможно.

Работы по подготовке по 152-ФЗ: цена вопроса

За внесение в реестр операторов персональных данных (реестр Роскомнадзора) госпошлина отсутствует.
Все расходы по подготовке по требованиям закона ложатся на плечи оператора персональных данных.

Всю подготовку оператор может выполнить самостоятельно, понеся тем самым временные расходы, а также расходы на реализацию технических мер защиты (защита компьютерных систем), закупив и установив такие средства, как антивирус, межсетевой экран, средство защиты от несанкционированного доступа, сканер уязвимостей, средство резервного копирования и восстановление данных, средство криптографической защиты и др.

Или можно обратиться к компетентной организации как за помощью в реализации правовой подготовки (разработка всей необходимой организационно-распорядительной документации), так и за технической подготовкой информационных систем (статья 19 закона). Внимание: реализацию технической подготовки может осуществлять только компания с лицензией ФСБ и ФСТЭК России.

Стоимость компетентной правовой подготовки находится в диапазоне от 300 тыс. руб. до 3 млн.руб. и зависит от масштаба организации, количества контрагентов у оператора, которым или от которых передаются персональные данные, а также от количества и класса информационных систем.

Стоимость технической подготовки (защита и аттестация) информационных систем персональных данных, как правило, находится в диапазоне от 300 тыс. руб. до 3 млн. руб. в зависимости от масштаба, архитектуры и географической распределённости информационной системы.

Что предлагаем мы?

Мы предлагаем полноценную подготовку по 152-ФЗ с целью прохождения проверки Роскомнадзора, т.е. приведение в соответствие оператора персональных данных ФЗ-152, а также иным подзаконным нормативно-правовым актам в области обработки и защиты персональных данных.

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

 

Комплекс услуг по подготовке организации по требованиям закона

В полный комплекс услуг подготовки входит:

1. Обследование бизнес-процессов организации, связанных с обработкой персональных данных:

На выходе обычно оформляется отчёт об обследовании, в котором делается вывод о соответствии или не соответствии оператора требованиям закона, а также выдаются замечания и рекомендации по корректировке бизнес-процессов организации.

2. Установление уровня защищенности персональных данных при их обработке в информационных системах (т.е. в автоматизированном виде):

  • анализ категорий субъектов персональных данных (сотрудники, клиенты и др.);
  • анализ категорий (ФИО, телефон и др.) и объема (количества) персональных данных;
  • анализ актуальных угроз, связанных с недекларированными возможностями, в используемом при обработке данных программном обеспечении.

На выходе: акт установления уровня защищенности персональных данных. Акт формируется для каждой информационной системы по отдельности или один на все системы одновременно.

3. Приведение бизнес-процессов, связанных с обработкой персональных данных, в соответствие закону с документальным оформлением соответствия как при автоматизированной, так и при не автоматизированной обработке данных:

На выходе получается следующий пакет организационно-распорядительной документации:

4. Защита информационных систем персональных данных, в соответствии с требованиями статьи 19 закона:

5. Приведение неавтоматизированной (бумажной) обработки персональных данных в соответствие требованиям 687 постановления Правительства:

  • анализ и выдача замечаний по корректировке типовых бумажных форм документов с персональными данными;
  • подготовка отдельного согласия сотрудников, осуществляющих обработку персональных данных без использования средств автоматизации;
  • анализ и выдача замечаний по корректировке журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
  • анализ порядка хранения материальных носителей с персональными данными и выдача замечаний и рекомендаций по приведению в соответствие.

6. Подача в Роскомнадзор уведомления об обработке или извещения об изменении сведений по обработке персональных данных:

  • формирование проекта уведомления или извещения об изменении с учетом практики прохождения проверок Роскомнадзора;
  • согласование с оператором, утверждение и подача в Роскомнадзор;
  • отслеживание регистрации оператора (о корректировке сведений) в реестре Роскомнадзора.

7. Проведение контроля готовности к проверке Роскомнадзора:

  • проверка наличия и утверждения пакета организационно-распорядительной документации в требуемом объёме;
  • выборка договоров с контрагентами, наиболее соответствующих требованию закона;
  • контроль готовности оператора к прохождению проверки в соответствии с типовым планом проверки Роскомнадзора.

На выходе, как правило, следующие отчетные документы:

  • выбрано по одному договору к проверке (наиболее подходящие) по каждому типу контрагентов;
  • программа и методика проверки;
  • протокол проверки;
  • заключение о готовности к прохождению проверки Роскомнадзора;
  • протокол технического совещания по результатам контроля готовности к проверке.

8. Сопровождение при прохождении проверки Роскомнадзора (при необходимости):

  • выезд на территорию заказчика при выездной проверке Роскомнадзора;
  • пояснение требований и замечаний Роскомнадзора (при наличии);
  • помощь в устранении замечаний от Роскомнадзора (при наличии);
  • помощь в подготовке справок и ответа на замечания Роскомнадзора (при наличии).

9. Сопровождение системы защиты персональных данных в составе ИСПДн (при необходимости):

  • актуализация организационно-распорядительной документации в части обработки и защиты персональных данных в информационных системах;
  • администрирование системы защиты персональных данных (системное администрирование средств защиты информации);
  • ежегодный контроль защищенности (оценка эффективности применяемых мер защиты персональных данных);
  • мониторинг защищенности информационных систем и реагирование на инциденты безопасности.

10. Сопровождение оператора персональных данных (при необходимости):

  • отслеживание изменений в законе и подзаконных актах;
  • отслеживание изменений в категориях и объеме обрабатываемых оператором данных;
  • своевременная актуализация сведений в реестре Роскомнадзора;
  • периодический контроль соответствия требованиям закона;
  • актуализация организационно-распорядительной и регламентирующей документации в части обработки и зашиты персональных данных у оператора.

 

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК