Итак, последний вопрос, который осталось рассмотреть это плюсы и минусы в разных подходах по реализации организационной части требований законодательства по защите персональных данных.
Если вы решили сделать все своими силами, то, как уже было сказано в предыдущей части, можно оттолкнуться от шаблонов документов, представленных в архиве. Я тут не буду подробно описывать нюансы заполнения каждого документа. Расскажу о некоторых моментах, которые необходимо помнить при самостоятельной подготовке к проверке.
В образцах документов, в том числе, есть образец письменного согласия субъекта персональных данных на обработку его ПДн. Если есть необходимость сбора таких согласий в письменном виде (152-ФЗ предусматривает и иные формы) с каких-либо категорий персональных данных, то нужно помнить, что содержание письменного согласия строго устанавливается статьей 9 федерального закона № 152-ФЗ «О персональных данных» и какие-либо вольные правки тут очень нежелательны. Править нужно только вариативную часть — перечень категорий ПДн, юридический адрес оператора и т. д. И еще одна важная деталь — если предполагается передача персональных данных третьим лицам, то в согласии это тоже должно быть отражено. Причем если раньше прокатывало что-то вроде «даю свое согласие на обработку, хранение, удаление, извлечение… и передачу третьим лицам», то теперь за это могут и наказать. Нужно обязательно указать в согласии кому вы собираетесь передавать данные и с какой целью. Например, если речь идет о передаче в банк ПДн сотрудников, то фраза будет выглядеть примерно следующим образом: «… и на передачу моих персональных данных в ЗАО «Банк» с целью реализации зарплатного проекта».
Еще один момент, о котором часто забывают — мало просто разработать и утвердить организационные документы. Каждый причастный сотрудник (как правило, речь идет обо всех сотрудниках, допущенных к работе с персональными данными) должен ознакомиться с ними под роспись, то есть к каждому документу — заполненный лист ознакомления.
Журналы должны быть не просто заведены, но и заполнены. Нужно хотя бы на бумаге показать активную деятельность по защите персональных данных.
И совсем немного про модель угроз. ФСТЭК еще в прошлом году обещал выпустить новую методику по моделированию угроз взамен двух документов от 2008 года, но воз и ныне там. Следующей крайней датой является «май 2016», но и он уже подходит к концу, а новой методики так и не видно. Но рано или поздно она появится и моделировать угрозы мы будем по-новому. Поэтому останавливаться на текущей методике подробно я не буду, а когда выйдет новая, то напишу подробный пост о разработке МУ в соответствии с новыми требованиями.
Хорошо, с самостоятельным подходом вроде бы разобрались. Единственное что можно добавить, так это то, что самостоятельно подготовить организацию к проверке вполне реально, нужно лишь на какое-то время погрузиться в вопрос, разобраться и начать работать, проводя доскональный внутренний аудит и разбрасывая его результаты по внутренним организационным документам.
Второй подход по организации подготовки к проверкам Роскомнадзора это подписка на различные сервисы автоматической подготовки документов. Свое мнение об этих сервисах я уже высказал в своей статье на хабре. Статья вызвала ожидаемые возмущенные отклики от представителей этих сервисов. Тем не менее, несмотря на то, что один из представителей отреагировал на претензию по недостаточной защите передаваемых на сервер данных фразой «По поводу SSL вы правы, давно пора его поставить», банальный https там так и не поднят.
Несмотря на то, что представители одного из сервисов явно прочитали мою статью, страшилки на которые я сетовал с сайта так и не убрали. Ребята до сих пор продают страх, пугая потенциальных клиентов «штрафами до 300 000 рублей». Вот свежие скриншоты:
Помните, в первой части статьи я рассказывал про законопроект № 683952-6, который так и не принят и вообще его судьба под большим вопросом? Это именно он предусматривает увеличение штрафов до таких больших сумм, но пока он не принят, то, что делают представители этого сервиса, является откровенным враньем. А это как-то сразу подрывает доверие уже до начала каких-то договорных отношений.
Если отойти от агрессивной маркетинговой политики, то давайте подумаем, что в итоге дают нам эти сервисы. Клиенту необходимо самостоятельно собрать информацию (информационные технологии в ИСПДн; список лиц допущенных к обработке ПДн; категории ПДн; категории субъектов и так далее) и вбить ее в формы на сайте (в некоторых случаях можно подгрузить в виде файла). Если будут введены некорректные данные, сервис ответственности не несет. Сервис распихивает эти данные по заранее заготовленным болванкам документов и дает вам сохранить на диск то, что получилось в формате DOC или DOCX. И здесь разработчики сервисов сталкиваются с дилеммой — сделать все легко и просто для пользователя, заставляя его вводить минимум информации, при этом снизив качество документов или заставлять пользователя собирать большой массив информации, но при этом выдавая более индивидуализированные документы.
В общем и целом, качество услуги упирается в качество этих самых болванок. У меня, конечно же, не было возможности оплатить полноценную подписку на каждый из этих сервисов и проанализировать полные комплекты документации, поэтому мнение составлено на основе 2-4 документов, которые можно сгенерировать бесплатно в демо-режиме. Честно сказать, шаблоны если и лучше документов, которые можно скачать в интернете, то совсем ненамного. В любом случае должной индивидуализации документации при работе с такими сервисами добиться нельзя, даже если придется вводить большое количество параметров. Скрипт, например, не сможет полноценно описать техпроцессы обработки персональных данных в вашей организации. Я очень сильно сомневаюсь, что на службе таких сервисов трудятся продвинутые нейросети.
Если отвечать конкретно на вопрос, какое мое мнение насчет того, стоит ли пользоваться этими сервисами или нет, то я отвечу: скорее нет, чем да. Давайте посмотрим, что мы имеем в сухом остатке:
- шаблоны документов можно скачать бесплатно в интернете, в том числе и в этом блоге;
- нам на выходе выдают заполненные шаблоны;
- информацию для заполнения шаблонов все равно нужно собирать самостоятельно;
- денег зачастую просят соизмеримо с полноценной работой специалиста на месте.
Так вот, исходя из этих тезисов мое мнение такое — если денег на эти работы нет, делать нужно самостоятельно и бесплатно. Если есть бюджет, то пригласить специалиста из организации-лицензиата ФСТЭК, который проведет самостоятельно полноценный аудит, выдаст рекомендации, подготовит документы и даже окажет помощь и методическую поддержку во время самой проверки РКН.
К сожалению, что касается организаций-лицензиатов, тут тоже не все так просто. У меня запланирована публикация о том, как распознать недобросовестных исполнителей в сфере информационной безопасности. Осталось дело за малым — написать ее.
На этом все. Успешно пройденных вам проверок!