Новая статья уже на нашем сайте - ССЫЛКА ❕
В статье доктор педагогических наук, профессор и наш преподаватель - Астахова Людмила Викторовна рассматривает почему так важно проводить повышение осведомленности сотрудников об информационной безопасности и как составить программу для такого мероприятия 👉🏻
📧 info@imoib.ru
📞 +7 (495) 268-13-42
В статье доктор педагогических наук, профессор и наш преподаватель - Астахова Людмила Викторовна рассматривает почему так важно проводить повышение осведомленности сотрудников об информационной безопасности и как составить программу для такого мероприятия 👉🏻
📧 info@imoib.ru
📞 +7 (495) 268-13-42
👍2
Уважаемые коллеги! Мы открываем новый раздел под названием "Полевые заметки". Короткие истории из наших проектов по защите информации, обработке персональных данных, обучении в области ИБ. И первая история «Знания юриста в области персональных данных – всё»!
В день вручения Оскара вспомнилась крылатая фраза из советского оскароносного фильма «Москва слезам не верит»: «… Ну, уж если вы в Моссовете не замужем…». И возникла аналогия с юристами, которых сегодня часто назначают ответственными за работу с персональными данными компании. Ведь юрист фирмы, в сознании многих, - это всезнающий знаток права.
Однако всегда ли это так в случае с персональными данными?
Практика показывает, что нет.
И вот пример из нашей практики. В начале марта мы проводили аудит обработки персональных данных в одной крупной управляющей компании, обслуживающей более 100 тыс. собственников жилья. Начальник юридического отдела накануне встречи с нашим специалистом отдела защиты информации самостоятельно заполнил Анкету для обследования процессов обработки персональных данных по их цели в юр.отделе: «Участие в гражданском, административном, арбитражном судопроизводстве и претензионной работе» и указал всего 4 категории персональных данных, которые, якобы, обрабатываются по всем участникам этого процесса.
Однако, когда наш специалист отдела защиты информации вместе с начальником юридического отдела проводил обследование, анализировал их бизнес-процессы, то оказалось, что по факту по данной цели обрабатывается 14 категорий персональных данных. Для регулятора - отличие принципиальное!
Сейчас многие компании самостоятельно проводят внутренний аудит обработки и защиты персональных данных, и их подразделения предоставляют информацию ответственному за организацию обработки персональных данных. А ответственный по полученной информации должен обновлять Уведомление в Роскомнадзор и размещать на корпоративном сайте «Политику по обработке и защите персональных данных», в том числе - отдельный раздел «Цели обработки персональных данных». Поэтому может оказаться так, что поданная вашей фирмой неточная информация в Уведомлении приведет к штрафу в размере от 100 тыс. рублей. Это - новые изменения в ч.10 ст.13.11 КоАП РФ, которые Государственная дума утвердила в первом чтении в феврале 2024 года. А если возьмем во внимание Приказ Минцифры № 1187 с дополнениями от 17.08.2023 г.,об индикатора риска нарушения обязательных требований в области персональных данных, то три и более факта несоответствия информации в форме Уведомления, будут означать, что Управление Роскомнадзора вправе провести внеплановую проверку организации.
Так что «статус юриста в этой ситуации - ничто, а вот его знания в области персональных данных – всё!»
В день вручения Оскара вспомнилась крылатая фраза из советского оскароносного фильма «Москва слезам не верит»: «… Ну, уж если вы в Моссовете не замужем…». И возникла аналогия с юристами, которых сегодня часто назначают ответственными за работу с персональными данными компании. Ведь юрист фирмы, в сознании многих, - это всезнающий знаток права.
Однако всегда ли это так в случае с персональными данными?
Практика показывает, что нет.
И вот пример из нашей практики. В начале марта мы проводили аудит обработки персональных данных в одной крупной управляющей компании, обслуживающей более 100 тыс. собственников жилья. Начальник юридического отдела накануне встречи с нашим специалистом отдела защиты информации самостоятельно заполнил Анкету для обследования процессов обработки персональных данных по их цели в юр.отделе: «Участие в гражданском, административном, арбитражном судопроизводстве и претензионной работе» и указал всего 4 категории персональных данных, которые, якобы, обрабатываются по всем участникам этого процесса.
Однако, когда наш специалист отдела защиты информации вместе с начальником юридического отдела проводил обследование, анализировал их бизнес-процессы, то оказалось, что по факту по данной цели обрабатывается 14 категорий персональных данных. Для регулятора - отличие принципиальное!
Сейчас многие компании самостоятельно проводят внутренний аудит обработки и защиты персональных данных, и их подразделения предоставляют информацию ответственному за организацию обработки персональных данных. А ответственный по полученной информации должен обновлять Уведомление в Роскомнадзор и размещать на корпоративном сайте «Политику по обработке и защите персональных данных», в том числе - отдельный раздел «Цели обработки персональных данных». Поэтому может оказаться так, что поданная вашей фирмой неточная информация в Уведомлении приведет к штрафу в размере от 100 тыс. рублей. Это - новые изменения в ч.10 ст.13.11 КоАП РФ, которые Государственная дума утвердила в первом чтении в феврале 2024 года. А если возьмем во внимание Приказ Минцифры № 1187 с дополнениями от 17.08.2023 г.,об индикатора риска нарушения обязательных требований в области персональных данных, то три и более факта несоответствия информации в форме Уведомления, будут означать, что Управление Роскомнадзора вправе провести внеплановую проверку организации.
Так что «статус юриста в этой ситуации - ничто, а вот его знания в области персональных данных – всё!»
imoib.ru
Полевые заметки: «Знания юриста в области персональных данных – всё»! | Институт мониторинга и оценки информационной безопасности
Мы открываем новый раздел под названием "Полевые заметки". Короткие истории из наших проектов по обработке персональных данных , защите информации и обучении в области ИБ. «Знания юриста в области персональных данных – всё»! В день вручения Оскара вспомнилась…
👍4
Полевые заметки №2 Как Исполнитель проекта по персональным данным оказал Заказчику «медвежью услугу».
Провели в марте у клиента-крупной федеральной промышленной компании, аудит документации по персональным данным, на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик был уверен, что статусный исполнитель, с убедительным портфолио, проведет работы качественно и компетентно.
А что оказалось по итогу?
Приведем лишь один пример из нашего отчета по аудиту. В рамках технического задания, исполнитель подготовил новую редакцию Уведомления об обработке персональных данных, для его подачи в Роскомнадзор, кстати, для данного регулятора, этот документ об операторе персональных данных – главный, основополагающий документ. Мы его часто называем «Портретом оператора». И на наш взгляд, Исполнитель Заказчика сильно подвел, портрет оператора оказался как в «кривом зеркале».
Исполнитель, по его странному умозаключению, в первом разделе Уведомления: «Цель обработки персональных данных» в большинстве из 17 целей, что он определил по бизнес процессам, в таких например, как «Подготовка, заключение и исполнение гражданско-правового договора», «Обеспечение соблюдения налогового законодательства», «Обеспечение соблюдение пенсионного законодательства», «Обеспечение соблюдение страхового законодательства», «Обеспечение пропускного режима», Прохождение производственной и преддипломной практики», «Продвижение товаров работ и услуг» указал в перечне категорий персональных данных, специальную категорию «состояние здоровья» а в некоторых целях еще и «национальность».
На наш вопрос при проведении аудита «Почему исполнитель проекта указал данные категории ПДн по данным целям», никто в компании не смог вразумительно ответить, даже в тех отделах, по каким формулировались Цели обработки. Мы думаем, что Исполнитель автоматически копировал перечень категорий ПДн по первой в их списке цели «Кадровый и бухгалтерский учет» и вставлял их в другие разделы. При этом кадровики и бухгалтеры, в своих внутренних типовых формах, могли фиксировать, еще с давних времен, «состояние здоровья» и «национальность» (а это уже другая, еще более штрафная, по ст.13.11 КоАП РФ, история- о законном основании обрабатывать эти специальные категории ПДн).
А что может быть за такую «вольную» информацию?
Во-первых, Роскомнадзор, в каждом регионе группирует операторов, в группы риска, и как следствие, затем регулятор исходя из групп риска, формирует планы проверок на следующие годы. И если оператор ПДн указал в Уведомлении «специальную категорию», то в соответствии с показателями постановления Правительства №1046 о госконтроле за обработкой персональных данных, наш оператор из группы «Умеренного риска» автоматически перейдет в группу «Значительного риска», а это означает, что РКН может включать в план проверок компанию раз в 3 года, а не раз в 6 лет, как предусмотрено постановлением №1046.
Во-вторых, в соответствии с вносимыми дополнениями в ст.13.11 КоАП РФ о нарушениях законодательства по ПДн, Госдума утвердила в феврале 2024 года новую ч.10 ст.13.11 именно по Уведомлению, когда такая «вольная» информация, может стоить компании от 100 тыс. до 300 тыс. штрафа.
В-третьих, в соответствии с Приказом Минцифры №720 от 17.08.2023г. о перечне индикаторов риска, три факта несоответствия информации в Уведомлении и в Политике по обработке персональных данных, а в тексте Политики компания эти специальные категории не указала, т.к. Политика публичный документ, размещенный на сайте (Политику, кстати также подготовил Исполнитель). А информация по целям обработки с перечнем категорий ПДн должна быть синхронизирована в Уведомлении и Политике. Если этого нет, то Роскомнадзор имеет право на внеплановую проверку.
Вот и получается, что компания, принимая проект от Исполнителя не стала вникать, казалось бы, в такие мелочи, а в результате получила «медвежью услугу».
Так что «доверяя-проверяй»!
Провели в марте у клиента-крупной федеральной промышленной компании, аудит документации по персональным данным, на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик был уверен, что статусный исполнитель, с убедительным портфолио, проведет работы качественно и компетентно.
А что оказалось по итогу?
Приведем лишь один пример из нашего отчета по аудиту. В рамках технического задания, исполнитель подготовил новую редакцию Уведомления об обработке персональных данных, для его подачи в Роскомнадзор, кстати, для данного регулятора, этот документ об операторе персональных данных – главный, основополагающий документ. Мы его часто называем «Портретом оператора». И на наш взгляд, Исполнитель Заказчика сильно подвел, портрет оператора оказался как в «кривом зеркале».
Исполнитель, по его странному умозаключению, в первом разделе Уведомления: «Цель обработки персональных данных» в большинстве из 17 целей, что он определил по бизнес процессам, в таких например, как «Подготовка, заключение и исполнение гражданско-правового договора», «Обеспечение соблюдения налогового законодательства», «Обеспечение соблюдение пенсионного законодательства», «Обеспечение соблюдение страхового законодательства», «Обеспечение пропускного режима», Прохождение производственной и преддипломной практики», «Продвижение товаров работ и услуг» указал в перечне категорий персональных данных, специальную категорию «состояние здоровья» а в некоторых целях еще и «национальность».
На наш вопрос при проведении аудита «Почему исполнитель проекта указал данные категории ПДн по данным целям», никто в компании не смог вразумительно ответить, даже в тех отделах, по каким формулировались Цели обработки. Мы думаем, что Исполнитель автоматически копировал перечень категорий ПДн по первой в их списке цели «Кадровый и бухгалтерский учет» и вставлял их в другие разделы. При этом кадровики и бухгалтеры, в своих внутренних типовых формах, могли фиксировать, еще с давних времен, «состояние здоровья» и «национальность» (а это уже другая, еще более штрафная, по ст.13.11 КоАП РФ, история- о законном основании обрабатывать эти специальные категории ПДн).
А что может быть за такую «вольную» информацию?
Во-первых, Роскомнадзор, в каждом регионе группирует операторов, в группы риска, и как следствие, затем регулятор исходя из групп риска, формирует планы проверок на следующие годы. И если оператор ПДн указал в Уведомлении «специальную категорию», то в соответствии с показателями постановления Правительства №1046 о госконтроле за обработкой персональных данных, наш оператор из группы «Умеренного риска» автоматически перейдет в группу «Значительного риска», а это означает, что РКН может включать в план проверок компанию раз в 3 года, а не раз в 6 лет, как предусмотрено постановлением №1046.
Во-вторых, в соответствии с вносимыми дополнениями в ст.13.11 КоАП РФ о нарушениях законодательства по ПДн, Госдума утвердила в феврале 2024 года новую ч.10 ст.13.11 именно по Уведомлению, когда такая «вольная» информация, может стоить компании от 100 тыс. до 300 тыс. штрафа.
В-третьих, в соответствии с Приказом Минцифры №720 от 17.08.2023г. о перечне индикаторов риска, три факта несоответствия информации в Уведомлении и в Политике по обработке персональных данных, а в тексте Политики компания эти специальные категории не указала, т.к. Политика публичный документ, размещенный на сайте (Политику, кстати также подготовил Исполнитель). А информация по целям обработки с перечнем категорий ПДн должна быть синхронизирована в Уведомлении и Политике. Если этого нет, то Роскомнадзор имеет право на внеплановую проверку.
Вот и получается, что компания, принимая проект от Исполнителя не стала вникать, казалось бы, в такие мелочи, а в результате получила «медвежью услугу».
Так что «доверяя-проверяй»!
imoib.ru
Полевые заметки: "Как Исполнитель проекта по персональным данным оказал Заказчику «медвежью услугу»" | Институт мониторинга и оценки…
Провели в марте у клиента-крупной федеральной промышленной компании, аудит документации по персональным данным, на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик…
👍1
РАСПИСАНИЕ на апрель уже на сайте!
Новые семинары:
✔️ 12.04 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 17.04 "Конфиденциальное делопроизводство" Подробнее
Повышение квалификации:
✔️ 18.04 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.04 "Персональные данные: практическое погружение" Подробнее
✔️ 26.04 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее
Профессиональная переподготовка:
✔️ 22.04 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Новые семинары:
✔️ 12.04 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 17.04 "Конфиденциальное делопроизводство" Подробнее
Повышение квалификации:
✔️ 18.04 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.04 "Персональные данные: практическое погружение" Подробнее
✔️ 26.04 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее
Профессиональная переподготовка:
✔️ 22.04 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
Полевые заметки №3: "Это ж всего лишь электронная подпись…!" На днях к нам обратился за срочной консультацией руководитель одного их региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные электронные подписи, а значит - применяет шифровальные средства для защиты информации, в том числе персональных данных. Понятие СКЗИ сегодня прочно вошло в наш словооборот, стало нормой, а вот выполнение существующих требований к использованию шифровальных средств - повседневным правилом, увы, не стало! Директору Информ.центра оперативно, в течение недели, теперь предстоит выполнить требования, утвержденные Приказом ФСБ России от 10.07.2014 №378. Нюанс заключался в том, что, будучи подведомственным учреждением Администрации города, Информ.центр получил через учредителя, как он посчитал, всё необходимое для использования криптосредства: «ведь там наверху все всё знают». А всё вышло наоборот. Вердикт представителей Управления ФСБ России: городской информационный центр допустил использование криптосредств, не имеющих действующих сертификатов соответствия ФСБ России, тем самым нарушил ст.19 ФЗ-152 «О персональных данных» и попал под санкции, предусмотренные ч.2 ст.13.12 КоАП РФ. А это значит, что впереди и Суд, и Дело! Поэтому еще раз напоминаем, и в первую очередь - тем организациям, которые не имеют штатных специалистов по защите информации, что всем пора свыкнуться с обязательными требованиями к СКЗИ. О 14 правилах работы с СКЗИ на сайте Института МОИБ.
imoib.ru
Полевые заметки: "Это ж всего лишь электронная подпись…!" | Институт мониторинга и оценки информационной безопасности
На днях к нам обратился за срочной консультацией руководитель одного их региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные…
👍2
РАСПИСАНИЕ обучения на май уже на сайте!
Семинары:
✔️ 17.05 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 22.05 "Персональные данные: организация обработки" Подробнее
✔️ 28 - 30.05 "Персональные данные: практическое погружение" Подробнее
Повышение квалификации:
✔️ 23.05 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.05 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка:
✔️ 27.05 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Семинары:
✔️ 17.05 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 22.05 "Персональные данные: организация обработки" Подробнее
✔️ 28 - 30.05 "Персональные данные: практическое погружение" Подробнее
Повышение квалификации:
✔️ 23.05 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.05 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка:
✔️ 27.05 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
👍3
Полевые заметки: Персональные данные. В организацию пришел новый работник.
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелёгкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над И расставил, теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с «кипой» документов по ПДн и с вопросом: «а что делать дальше со всем этим хозяйством?» и т.д и т.п. Хорошо, если накануне или по ходу проекта, ответственный убедит себя или убедит руководство, что необходимо пройти «азы-основы» на каком-нибудь практическом семинаре или курсе по персональным данным, тогда и система в голове появиться, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий, - исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения нами обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации и ответственный, и иные должностные лица, соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость «деталей», «мелочей», которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы еще более ужесточится статья 13.11 КоАП РФ. Всем «как бы все понятно». И вот проект завершен, работы приняты, все сделали выдох и …… и в компании делается пауза.
Жизнь берет свое: все, продолжая заниматься своим основным функционалом, постепенно забывают «о персональных данных», и тут вдруг - в организации приходят новые сотрудники, кому в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
1. Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн «Работники», например, или «Клиенты/Граждане», в зависимости от функционала, и получить его подпись в Листе ознакомления.
2. Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
3. Нужно ознакомить работника с Инструкцией пользователя информационных (ой) систем (мы) и получить его подпись в Листе ознакомления.
4. Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и(или) иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. ПОМНИТЕ: при этом работник должен фактически ознакомиться с перечисленными документами!
5. Работнику нужно в первый день подписать «критичные» согласия в письменной форме: при передаче его персональных данных в банк, в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и(или) охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например на странице «профиль работника» и т.д.
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелёгкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над И расставил, теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с «кипой» документов по ПДн и с вопросом: «а что делать дальше со всем этим хозяйством?» и т.д и т.п. Хорошо, если накануне или по ходу проекта, ответственный убедит себя или убедит руководство, что необходимо пройти «азы-основы» на каком-нибудь практическом семинаре или курсе по персональным данным, тогда и система в голове появиться, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий, - исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения нами обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации и ответственный, и иные должностные лица, соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость «деталей», «мелочей», которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы еще более ужесточится статья 13.11 КоАП РФ. Всем «как бы все понятно». И вот проект завершен, работы приняты, все сделали выдох и …… и в компании делается пауза.
Жизнь берет свое: все, продолжая заниматься своим основным функционалом, постепенно забывают «о персональных данных», и тут вдруг - в организации приходят новые сотрудники, кому в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
1. Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн «Работники», например, или «Клиенты/Граждане», в зависимости от функционала, и получить его подпись в Листе ознакомления.
2. Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
3. Нужно ознакомить работника с Инструкцией пользователя информационных (ой) систем (мы) и получить его подпись в Листе ознакомления.
4. Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и(или) иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. ПОМНИТЕ: при этом работник должен фактически ознакомиться с перечисленными документами!
5. Работнику нужно в первый день подписать «критичные» согласия в письменной форме: при передаче его персональных данных в банк, в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и(или) охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например на странице «профиль работника» и т.д.
Заключение:
Если Вы ответственный за организацию обработки персональных данных, то Вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкции, исходя из ваших действий или - вашего бездействия.
Если Вы ответственный за организацию обработки персональных данных, то Вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкции, исходя из ваших действий или - вашего бездействия.
imoib.ru
Полевые заметки. Персональные данные. В организацию пришел новый работник. | Институт мониторинга и оценки информационной безопасности
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение…
Полевые заметки: Как проверка сайта Роскомнадзором привела к документарной проверке компании
С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных.
Один из очередных наших срочных проектов последних недель как раз был связан с плановым контрольным мероприятием Роскомнадзора в одном из регионов ЦФО. Мероприятия систематического наблюдения - это на сегодня единственный легальный вид планового надзорного мероприятия, и итоговый результат такой проверки, когда нет прямого взаимодействия компании и Роскомнадзора, как раз и может привести к непосредственному контакту руководителя организации или ответственного за организацию обработки персональных данных с инспектором Роскомнадзора. Так и произошло в случае, когда нашего клиента пригласили на «ковер» в Управление Роскомнадзора.
И вновь проблема в том, что большинство организаций по незнанию или по забывчивости не открывают на сайте местного регулятора ежегодный План его деятельности, где в разделе «О проведении мероприятий по контролю за обработкой персональных данных, проводимых без взаимодействия с контролируемым лицом» (а попросту - в плане контроля за нашими сайтами) имеется график контрольных мероприятий и список конкретных сфер, сайты предприятий которых будут подвергаться детальному анализу.
Но это только часть проблемы. В конце 2023 года Приказом №720 Минцифры утверждены индикаторы риска в сфере персональных данных. Так вот, если в ходе такого мониторинга сайта организации специальная программа Роскомнадзора найдет 3 и более несоответствий информации, размещенной на сайте, с информацией из Уведомления об обработке персональных данных (которое, кстати, все компании обязаны были обновить), то Роскомнадзор имеет право на проведение внеплановой проверки.
На таком несоответствии информации как раз и «попался» наш новый клиент. В 2022 году, сменив свою основную деятельность, он был выведен ЦБ РФ из реестра микрофинансовых организаций. На своем официальном сайте компания разместила тогда соответствующую информацию, внесла изменения в ряд опубликованных внутренних документов, в том числе и в Политику по обработке и защите персональных данных. Но при этом ответственный за организацию обработки персональных данных не отправил в Роскомнадзор обновленное Уведомление.
В начале 2024 года региональный регулятор провел мониторинг сайтов микрофинансовых организаций, в том числе и сайта нашего клиента (по Уведомлению они относились к таким организациям), и в частности, по ключевым словам, нашел отличие информации на сайте компании от информации в Уведомлении, хотя по факту в 2023 и 2024 годах наш клиент финансовой деятельностью не занимался и соответственно изменил «Цели обработки персональных данных». И вот - как «гром среди ясного неба»: в апреле 2024 года из Роскомнадзора в компанию приходит циркуляр: «О несоответствии требованиям законодательства РФ в области персональных данных».
Генеральный директор, будучи уверенным в том, что он, не занимаясь финансовой деятельностью (а к финансовым, как и иным высоко-рискованным сферам, у регулятора особое отношение), как бы и не имеет проблем (тем более - при объявленном моратории на проверки), приказал ответственному за организацию обработки персональных данных отправить в Роскомнадзор формальный ответ.
Роскомнадзор расценил такой ответ как отписку и «запустил» документарную проверку, потребовав предоставить порядка 30 документов как по обработке, так и по защите персональных данных.
С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных.
Один из очередных наших срочных проектов последних недель как раз был связан с плановым контрольным мероприятием Роскомнадзора в одном из регионов ЦФО. Мероприятия систематического наблюдения - это на сегодня единственный легальный вид планового надзорного мероприятия, и итоговый результат такой проверки, когда нет прямого взаимодействия компании и Роскомнадзора, как раз и может привести к непосредственному контакту руководителя организации или ответственного за организацию обработки персональных данных с инспектором Роскомнадзора. Так и произошло в случае, когда нашего клиента пригласили на «ковер» в Управление Роскомнадзора.
И вновь проблема в том, что большинство организаций по незнанию или по забывчивости не открывают на сайте местного регулятора ежегодный План его деятельности, где в разделе «О проведении мероприятий по контролю за обработкой персональных данных, проводимых без взаимодействия с контролируемым лицом» (а попросту - в плане контроля за нашими сайтами) имеется график контрольных мероприятий и список конкретных сфер, сайты предприятий которых будут подвергаться детальному анализу.
Но это только часть проблемы. В конце 2023 года Приказом №720 Минцифры утверждены индикаторы риска в сфере персональных данных. Так вот, если в ходе такого мониторинга сайта организации специальная программа Роскомнадзора найдет 3 и более несоответствий информации, размещенной на сайте, с информацией из Уведомления об обработке персональных данных (которое, кстати, все компании обязаны были обновить), то Роскомнадзор имеет право на проведение внеплановой проверки.
На таком несоответствии информации как раз и «попался» наш новый клиент. В 2022 году, сменив свою основную деятельность, он был выведен ЦБ РФ из реестра микрофинансовых организаций. На своем официальном сайте компания разместила тогда соответствующую информацию, внесла изменения в ряд опубликованных внутренних документов, в том числе и в Политику по обработке и защите персональных данных. Но при этом ответственный за организацию обработки персональных данных не отправил в Роскомнадзор обновленное Уведомление.
В начале 2024 года региональный регулятор провел мониторинг сайтов микрофинансовых организаций, в том числе и сайта нашего клиента (по Уведомлению они относились к таким организациям), и в частности, по ключевым словам, нашел отличие информации на сайте компании от информации в Уведомлении, хотя по факту в 2023 и 2024 годах наш клиент финансовой деятельностью не занимался и соответственно изменил «Цели обработки персональных данных». И вот - как «гром среди ясного неба»: в апреле 2024 года из Роскомнадзора в компанию приходит циркуляр: «О несоответствии требованиям законодательства РФ в области персональных данных».
Генеральный директор, будучи уверенным в том, что он, не занимаясь финансовой деятельностью (а к финансовым, как и иным высоко-рискованным сферам, у регулятора особое отношение), как бы и не имеет проблем (тем более - при объявленном моратории на проверки), приказал ответственному за организацию обработки персональных данных отправить в Роскомнадзор формальный ответ.
Роскомнадзор расценил такой ответ как отписку и «запустил» документарную проверку, потребовав предоставить порядка 30 документов как по обработке, так и по защите персональных данных.
🔥3👍1
Только тогда руководитель компании понял, что дела плохи. Ведь во многих внутренних документах не учтены изменения законодательства в области персональных данных 2022 и 2023 годов, они требуют доработки, а своими силами оперативно этот пробел не закрыть и главное - в реестре Роскомнадзора размещена старая форма их Уведомления. Обновить в короткий 10-дневный срок порядка 20 документов и подготовить для Уведомления и Политики новый раздел «Цели обработки персональных данных», в котором их оказалось более 20, - задачи почти невыполнимая. Те из вас, кто самостоятельно выполнял эту работу, знают, как трудоемко и весьма непросто выполнить требования п.2 ч.1 ст.18.1 ФЗ-152 «О персональных данных».
Поэтому компаниям не стоит откладывать в «долгий ящик» ту обязательную работу с обновлением и подготовкой зарегулированных документов, 13 из которых напрямую попадают под санкции КоАП. Следует помнить, что в новой редакции ст.13.11 КоАП, в том числе, будет предусмотрена часть 10 - о невыполнении или несвоевременном выполнении оператором обязанности по уведомлению Роскомнадзора с наказанием оператора персональных данных в размере 100-300 тыс. рублей или руководителя в размере 30-50 тыс. рублей.
Такова будет цена Уведомления! А нашему клиенту в эти майские дни остается ожидать вердикта Роскомнадзора.
Поэтому компаниям не стоит откладывать в «долгий ящик» ту обязательную работу с обновлением и подготовкой зарегулированных документов, 13 из которых напрямую попадают под санкции КоАП. Следует помнить, что в новой редакции ст.13.11 КоАП, в том числе, будет предусмотрена часть 10 - о невыполнении или несвоевременном выполнении оператором обязанности по уведомлению Роскомнадзора с наказанием оператора персональных данных в размере 100-300 тыс. рублей или руководителя в размере 30-50 тыс. рублей.
Такова будет цена Уведомления! А нашему клиенту в эти майские дни остается ожидать вердикта Роскомнадзора.
imoib.ru
Полевые заметки: "Как проверка сайта Роскомнадзором привела к документарной проверке компании" | Институт мониторинга и оценки…
С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных. Один…
🔥7
РАСПИСАНИЕ обучения на июнь уже на сайте!
Семинары:
✔️ 18.06 "Персональные данные: организация обработки" Подробнее
✔️ 18 - 20.06 "Персональные данные: практическое погружение" Подробнее
✔️ 26.06 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
Повышение квалификации:
✔️ 13.06 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 13.06 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
✔️13.06 "Информационная безопасность медицинских организаций" Подробнее
✔️ 13.06 "Информационная безопасность: компьютерные атаки и инциденты" Подробнее
Повышение квалификации по программам ФСТЭК:
✔️ 27.05 "Обеспечение безопасности значимых объектов КИИ" Подробнее
Курсы повышения квалификации В.В. Комарова
✔️ 14.06. "Особенности защиты информации в ГИС" Подробнее
✔️ 21.06 "Реагирования на компьютерные инциденты" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Семинары:
✔️ 18.06 "Персональные данные: организация обработки" Подробнее
✔️ 18 - 20.06 "Персональные данные: практическое погружение" Подробнее
✔️ 26.06 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
Повышение квалификации:
✔️ 13.06 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 13.06 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
✔️13.06 "Информационная безопасность медицинских организаций" Подробнее
✔️ 13.06 "Информационная безопасность: компьютерные атаки и инциденты" Подробнее
Повышение квалификации по программам ФСТЭК:
✔️ 27.05 "Обеспечение безопасности значимых объектов КИИ" Подробнее
Курсы повышения квалификации В.В. Комарова
✔️ 14.06. "Особенности защиты информации в ГИС" Подробнее
✔️ 21.06 "Реагирования на компьютерные инциденты" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
🔥2
РАСПИСАНИЕ обучения на июль уже на сайте!
Семинары:
✔️ 10.07 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
Повышение квалификации:
✔️02.07 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 04.07 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️ 09.07 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
✔️ 11-23.07 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Семинары:
✔️ 10.07 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
Повышение квалификации:
✔️02.07 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 04.07 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️ 09.07 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
✔️ 11-23.07 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
Институт МОИБ согласовал со ФСТЭК России следующие программы обучения: 1. программу повышения квалификации специалистов, работающих в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации - в объеме 216 часов 2. программу профессиональной переподготовки "Информационная безопасность. Техническая защита конфиденциальной информации" - в объеме 508 часов 3. программу профессиональной переподготовки "Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры" - в объеме 502 часов 4. программу повышения квалификации "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" - в объеме 108 часов. https://imoib.ru/institute/news/novye-programmy-obucheniya-po-informacionnoy-bezopasnosti-soglasovannye-so-fstek
imoib.ru
Новые программы обучения по информационной безопасности согласованные со ФСТЭК России | Институт мониторинга и оценки информационной…
Институт МОИБ согласовал со ФСТЭК России следующие программы обучения: 1. программу повышения квалификации специалистов, работающих в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации - в объеме 216 часов 2. программу…
Уважаемые коллеги, добрый день! Приглашаем Вас принять участие в анонимном исследовании Института МОИБ, по вопросам организации повышения осведомленности в сфере ИБ в организациях, учреждениях и на предприятиях. Заполните опросник состоящий из 12 вопросов, время заполнения не более 1мин. Благодарим Вас за участие! Опросник
РАСПИСАНИЕ обучения на август уже на сайте!
Новый курс В. Комарова и В.Крашакова
✔️23.08 ""Утечки" персональных данных: реагирование, взаимодействие с регуляторами, организация защиты" Подробнее
Повышение квалификации:
✔️20.08 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 21.08 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️ 28.08 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
✔️22.08 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка
✔️ 26.08 "Информационная безопасность. Техническая защита конфиденциальной информации" в объеме 508 часов. Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Новый курс В. Комарова и В.Крашакова
✔️23.08 ""Утечки" персональных данных: реагирование, взаимодействие с регуляторами, организация защиты" Подробнее
Повышение квалификации:
✔️20.08 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 21.08 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️ 28.08 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
✔️22.08 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка
✔️ 26.08 "Информационная безопасность. Техническая защита конфиденциальной информации" в объеме 508 часов. Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
👍1
Уважаемые коллеги! В реестр образовательных организаций ФСТЭК России внесены новые программы повышения квалификации и проф.переподготовки Института МОИБ. Номер в реестре №53.
fstec.ru
Перечень организаций, осуществляющих образовательную деятельность - ФСТЭК России
Федеральная служба по техническому и экспортному контролю