Планирование разумных затрат на защиту персональных данных

[artam_iv]

Закон 152 ФЗ требует обеспечивать защиту персональных данных (ПД), обрабатываемых в организации.
С защитой ПД при обработке без средств автоматизации все более менее ясно. Организовать же защиту ПД при наличии информационных систем (а учет кадров есть почти в каждой организации) по документам ФСТЭК при наличии системы класса выше К3 - проще повеситься. В небольших организациях, тем более бюджетных, затраты - впечатляющие. Эксперты из области защиты ПД, работающие в том числе в этом бизнесе, оценивают это в сотни тысяч рублей и выше. Если все делать в соотв. с документами ФСТЭК - примерно так. Но если учитывать Ссылка удалена - можно обеспечить некий разумно допустимый уровень защиты в ожидании изменений для "оптимизации затрат". Кто имеет отраслевой опыт орагнизации такой защиты и оценки минимально-разумных затрат, поделитесь, пож., опытом. Бюджет сверстан или верстается, почти никто из наших руководителей бюджетных учреждений затрат не оценивал и не закладывал. Неужели же так в бюджете и всей страны?

[Аноним]

У нас такие расходы прикидывал программист, считал какое оборудование необходимо на какое количество компьютеров, затем брал прайс листы у потенциальных поставщиков и рассчитывали сколько это будет в денежном выражении.Суммы действительно получались впечатляющие, но пришли к выводу, что будем устанавливать частично и планировать эти расходы не на один год

[Неизвестный]

Наш ВУЗ будет добиваться использования именно уровня К3.

[toparenko]

(а учет кадров есть почти в каждой организации) по документам ФСТЭК при наличии системы класса выше К3 - проще повеситься.

Если не будете "совать" в кадровую систему спецкатегорию ПДн, то у Вас не должно быть выше К3 (именно по кадровой ИСПДн).
См. "приказ трех":

7. Xпд может принимать следующие значения:
...
3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

[censored]

[Неизвестный]

Студенты считаются "в пределах одной организации"?
А трудовые договоры с руководителями педпрактики по всему региону?

[toparenko]

Студенты считаются "в пределах одной организации"?
А трудовые договоры с руководителями педпрактики по всему региону?

По студентам/аспирантам/its вопрос поднимался на сегодняшних Парламентских слушаниях.

По педпрактике, пож., поподробнее ситуацию т.к. не знаю каков механизм реализации процесса.

[Неизвестный]

Наши студенты едут на практику в организации по всему региону, руководители практики заключают с нами трудовые договоры но при этом работают не на территории нашего учреждения а в своих организациях.
Как сотрудники они в "пределах" нашего учреждения, территориально же мы собираем данные со всего региона.

[toparenko]

Если Вы прикомандировываете к другой организации своих сотрудников, то от этого они не перестают быть Вашими сотрудниками. На практику выдавайте им командировочные и это поможет решить проблему.

Командированных к Вам можно так же считать как "командироваанные в пределах одной организации"

[Неизвестный]

Никто их не командирует, они изначально работают в другой организации, к нам принимаются по совместительству, просто работу выполняют не на нашей территории.

Это "традиция" которую не мне менять.

Но думаю в целом вы правы их наверное можно по сути приравнять к командированным.

[toparenko]

к нам принимаются по совместительству, просто работу выполняют не на нашей территории.

Ну тогда вообще не вижу в чем проблема?
В РФ практически нет никаких ограничений на работу по совместительству (за исключением гос. службы) и на каждом месте работающий по совместительству является работником данного работодателя

А место работы (на территории работодателя или вне террритории работодателя) определяет сам работодатель.

[Валерий Сентябов]

Обсуждение ушло явно не туда.
Конкретного ответа на вопрос о разумных затратах так никто и не дал, кстати. Относительно рекомендаций о категории К3 для кадровой - согласен, но в медицинских, образовательных (школы/лицеи), социальных учреждениях (центры соцзащиты и т.п.), ряде иных (спортивные клубы, школы искусств) речь не идет о кадровых системах. Ограничение до 1000, конечно, поможет, но не всегда. Для медиков (и соцучреждений) - точно нет, ибо системы будут классом выше. Причем почти все упомянутые организации относятся к бюджетным!

Вопрос о разумности затрат логичный: роскомнадзор признает нецелесообразность (избыточность) требований по защите, следовательно выполнять все по максимуму сейчас - переплатить и перестараться в преддверии возможных грядущих изменений. Следовательно лучше не делать лишней работы и не тратить напрасно деньги, но обеспечивать разумно обоснованную защиту. Ну и вопрос "кто как и где спланировал деньги в бюджете" для тех же бюджетных орагнизаций - открытый. ТАкое ощущение, что в масштабах страны никто не закладывал разумных средств и нет представления, сколько и кому понадобится с обоснованием этих затрат.
То, что коммерческие организации сами себя спасают соразмерно оцениваемым рискам - тоже понятно.

[Неизвестный]

У медиков может и будут проблемы но образовательные учреждения думаю в к3 уложатся все.
Учащиеся являются административно подчиненными лицами поэтому речь идет как раз о персональных данных в пределах конкретной организации.
К слову мы даже в командировки имеем право студентов посылать...

[Аноним223]

я вот про медиков пытаюсь понять - у нас же специальные программы используются, которые МОФОМС разрабатывает и нам насильно навязывает. Это не относится категории специализированных программ? Сами мы тут бессильны что-то внести, изменить...
вот если бы бы мы приобрели коммерческие программы для ведения историй болезни и пр, на которые все денег нет, тогда да...

[toparenko]

Конкретного ответа на вопрос о разумных затратах так никто и не дал, кстати.

Увы, ссылка на обсуждение темы, где обсуждаются способы минимизации удалена модераторами. Т.ч. Гугль Вам в помощь....

В общих чертах способы минимизации расходов для спецкатегории ПДн:
- уход на ПП687 - внимательно изучите первые два пункта данного постановления и если Ваша информационная система подходит, то смотрите сможете ли Вы выполнить разделы II и III данного Постановления
- разделение серверной и клиентской части - серверную часть под ПП781 и аттестацию по К1, клиентскую на терминальный режим и П687 или спецкатегорию К1 (при этом актуальных угроз становится минимальное количество: съем видеоизображения, идентификация пользователя треминальной сессии, передача по каналу, остальное обосновывается как не требующее защиты)
- уход полностью на ФСБ-шные требования - естественно профанация, но для буджетников "прокатывает"

Обращаю внимание, что документы ФСТЭК и ФСБ не прошли регистрацию в Минюсте и имеют неопределенный статус - см. на сайте Комитета по безопасности Думы доклад Первого заместителя председателя Комитета Государственной Думы по безопасности М.И.Гришанкова на Парламенских слушаниях 20.10.09 (вообще-то по ПП1009-1997 они не подлежат применению как не вступившие в силу)

[Валерий Сентябов]

По итогам парламентских слушаний от 20.10.09

При позициях Роскомнадзора: "мы понимаем всю неоднозначность сложившейся ситуации, связанной ... с организационной сложностью и финансовой обременительностью имеющейся на сегодняшний день методологии защиты персональных данных.
...
Позиция Службы заключается в том, что ... мы не будем применять крайних мер, установленных законом. Выявляя нарушения установленных законом требований, ... мы будем применять меры профилактического характера, предлагая операторам в разумный срок устранить эти нарушения. Меры пресекательного характера нами будут применяться только к тем операторам, чьи действия или бездействие причиняет реальный вред интересам граждан."

и Комитета Государственной Думы по безопасности "Защищать персональные данные все равно придется. Но и требовать с оператора можно только тогда, когда будут установлены понятные, приемлемые и, конечно, открытые правила"

можно резюмировать следующее.

Все технические требования ФСТЭК учитывать можно, но не обязательно! Главное - обеспечить разумную защиту исходя из угроз и возможностей самого оператора. А это уже совсем не то же самое, что обязательное соблюдение всех требований ФСТЭК, а при их несоблюдении - "... лет без права переписки"

Понятно, что организации, занимающиеся технической защитой, будут пытаться предлагать соблюдать все требования ФСТЭК, так как это вызывает необходимость в большем объеме работ и затрат. И организации будут пугать необходимостью отстаивать необходимость мер в судах, санкциями и т.п. Однако если разумные меры защиты не нанесут вреда гражданам и не будет бездействия операторов - это уже основание вздохнуть спокойно.

[toparenko]

Однако если разумные меры защиты не нанесут вреда гражданам и не будет бездействия операторов - это уже основание вздохнуть спокойно.

На тех же слушаниях, в конце прозвучало, что регуляторы будут оказывать сопротивление.

Т.ч. не сказал бы, что уже можно "вздохнуть спокойно", но некоторое облегчение, что "процесс полел (с)" есть

[Валерий Сентябов]

На тех же слушаниях, в конце прозвучало, что регуляторы будут оказывать сопротивление.

Т.ч. не сказал бы, что уже можно "вздохнуть спокойно" ...

Комитет Госдумы и Роскомнадзор (ссылку не даю, удалят ) обозначили, что документы, разработанные ФСТЭК, обременительны, труднореализуемы, необходимо изменить методику и т.п.. Понятно, что ФСТЭК неприятно получать такие заявления в свой адрес, поэтому будут попытки доказывать обоснованность своей методики. Гриф ДСП на документы тоже позволял ФСТЭК долгое время уклоняться от критики и детального разбора документов. Керхгоффс в свое время определял, правда применительно к криптографии, что система не должна быть секретной и ее попадание в руки противника не должно причинить неудобства. По отношению к документам ФСТЭК уместно было бы вспомнить и этот принцип :-).
Так как Роскомнадзор как раз за изменение методики, а именно он и будет проводить проверки, я все-таки полагаю, что вне зависимости от силы сопротивления ФСТЭК можно говорить о необходимости защиты ПД не в строгом соответствии с требованиями ФСТЭК а исходя из разумной и достаточной защиты.
Это может существенно снизить затраты на ее обеспечение и под силу большинству организаций, в том числе бюджетников. И не требует никаких лицензий на техническую защиты информации при проведении работ своими силами.

[toparenko]

ФСБ уже "намылилась" проверять НПФ с 01.01.10