Защита персональных данных
 

коллеги, кто нибудь занимался защитой ПнД, как с документальной частью , так и с технической?
Есть несколько вопросов, хотел бы получить ответы на них.

Например я, штатный сотрудник (инженер ИБ) компании ООО "ПРИНТЕР" , имею ли право заниматься этим и подготовить все официально? НЕ имея никаких лицензий/сертификатов от ФСТЭК / ФСБ ?
теже самые действия, для третьих лиц. Например компания "ООО ВИШНЯ" заключает договор с ООО "ПРИНТЕР", для содействии реализации защиты ПнД. Обязана ли наша компания (ПРИНТЕР) иметь документы какие то от вышеуказанных контор для проведения таких услуг?

Для своих нужд не нужно лицензий, если оказываете услуги по защите - нужно. Смотри ПП-313.

Juiceee, то есть я сам смогу подготовить все документы и пройти аттестацию, или как он там называется, что наша контора соответствует всем требованиям 152 ФЗ?
Мне сказали, что я напрямую не смогу согласовать с органами, я максимум что могу делать, это подготовить документы, потом найти лицензионного специалиста, который будет уже регистрировать нас и посредничать с органами. На сколько это верно ?

Я иногда этим занимаюсь, ничего сложного там нет - документация с нуля пишется за неделю. ИБшники не занимаются технической стороной, обычно они не в состоянии даже программу установить, не говоря про установку ОС.
Да, но аттестацию проходить не обязательно, а по желанию, если есть желание, то можешь пригласить к себе сотрудников ФСБ - они тебя аттестуют.
Что ты собрался согласовывать и с какими органами? Какого лицензионного специалиста ты решил найти? Специалиста ищут для аттестации чего нибудь - например АРМ и помещения. Что ты собрался регистрировать и с какими органами посредничать?
З.Ы. Зачем ты полез в ИБ, это никакого отношения к компьютерам не имеет! ИБ - это ведение документации и журналов, аттестация АРМ (с помощью организаций имеющих лицензию на данный род деятельности), классификация (составление актов) ИСПДн, а также контроль соблюдения правил (концепции, положения, инструкций) по защите ПДн, согласно разработанного плана.

zai, видимо я не правильно поставил вопрос.

У нас торговая компания, оптовая торговля хозтоваров. (ИП)
отсюда и все пошло - нам ведь касается 152 ФЗ ? надо ведь тоже защищать ПнД ?

Вот и хочу понять с чего начать? что надо делать, а что можно не делать?
Не могу понять вот эти азы. везде по разному пишут, то надо, то не надо, то можете, то не можете.

Какое, это отношение имеет к ПДн?
Впервые слышу, что бы какая нибудь компания занималась защитой ПДн.
Обычно защитой ПДн занимаются гос. организации, где хранятся записи о субъектах ПДн, т.е. паспортные данные, ИНН, СНИЛС и т.п.
Вряд ли.
Написать документацию:
1. сначала пишешь концепцию и политику информационной безопасности
2. потом проводишь внеплановую проверку ИСПДн и пишешь отчет (какие ИСПДн и ответственные лица за обработку ПДн), на основе отчета создаешь модель угроз
3. создаешь комиссию из 5 чел. и классифицируешь ИСПДн, обнаруженные в ходе проверки
4. пишешь инструкции администраторов и пользователей ИСПДн, а так же положения о защите ИСПДн
5. пишешь годовой план по защите ПДн и журналы к ним
Я же тебе написал:

Прямое. У нас обрабатывается персональные данные. своих сотрудников, клиентов наших.

вот этот вряд ли портит всю картину. Надо выяснить надо ? если нет, то какой нибудь официальный документ/источник подтверждающий, что в нашем случае можем ничего не защищать по 152 ФЗ.

А кому лезть? может грузчикам? более менее я соображаю в этом, вот и мне поручили этим заниматься.

Тогда просто сделай (вернее кадровик это должен сделать) лист ознакомления работников с 152 ф3 и пускай они в нем распишутся.
Что-то я в этом сильно сомневаюсь :)

Есть такой уже. где подписывают об обработке персональных данных. а дальше то? как они должны защищаться ?

твои сомнение мне некуда день. есть задача, надо решать, хочешь сомнениями, хочешь без сомнения :)

Трудно судить не зная всей специфики работы. Для начала должны быть защищены помещения где производится обработка ПДн, т.е. решетки на окнах, жалюзи, пропускная система, сигнализация. При необходимости эти помещения должны быть аттестованы, организациями имеющими соответствующие лицензии. Так же должны быть защищены компьютеры, защита устанавливается в зависимости от специфики работы организации и от классификации ПДн - у тебя скорее всего это К3, т.е. сертифицированный антивирус, включенный брандмауэр и персональные учетные данные для каждого пользователя.

это все есть, кроме пропускной системы.
вот, пришли к тому, что надо ли нам аттестованы ? для чего это надо вообще ?
антивирус у нас ESET , брандмауэр - аппаратный, на границе стоит. А учетные данные у каждого свое.

В твоем случае отсутствие посторонних лиц.
Аттестуются помещения где обрабатываются ПДн К1, т.е. медицинские учреждения. Например: в мед. учреждениях имеются (если мне не изменяет память) две основные ИСПДн - ТАСУ (локальный сервер) и ЕМИАС (работа удаленно через браузер). Для ТАСУ должно быть аттестовано помещение(я) и сам компьютер, а для ЕМИАС помещения должны соответствовать, т.е. аттестовывать их не обязательно.
krec, напиши нормальную документацию, что у тебя все соответствует нормативам и периодически проводятся проверки на соответствие защиты ПДн - заведи специальный журнал.
Должен быть включен на компьютерах, где ведется обработка ПДн.

посторонние лица у нас в самом офисе не бывает. Да и нечего им там делать.
Ну у нас обычная торговая компания. Но обрабатываются персональные данные, как не крути: своих сотрудников, клиентов, поставщиков...

вот бы найти примеры таких документов, журналов. Понять вообще что к чему. На этот счет везде по своему трактуют.
Ок, тогда на тех компах, где обрабатывается ПДн, поставлю не обычный антивирус, а "smartsecurity" , там есть встроенный файрволл.
P.S. есть какие то требование настройки файрвола, или просто наличие достаточно ?

Напиши сам, это не сложно - за то время что ты задаешь вопросы в этой теме, уже давно бы написал.
Что бы понять, что к чему, в этой области нужно проработать не менее 5 лет. Ты щас как человек, который впервые установил серверную версию Linux, увидел командную строку и не понимаешь, что с ней делать дальше.
Я не знаю, кто и что тебе трактует, но все документы типовые, просто нужно очень хорошо знать все законы, которые относятся к защите конфиденциальной информации, а не только 152 ф3.
Он должен быть сертифицирован.

krec, поверьте человеку, прошедшему круги этого ада. Создается впечатление, что всё что связано с 152-ФЗ и кучей подзаконных актов, специально создано сложным, мутным и запутанным, чтобы проверки Роскомпозоранадзора были как можно более "урожайными". Послушайте добрый совет: тряхните мошной и оплатите услуги специализированной фирмы. У них разные расценки и объёмы услуг, но поверьте, ваши нервы и штрафы обойдутся дороже. Если хотите, напишите мне в личку, я назову вам одну такую фирму, услугами которой мы воспользовались. За вполне умеренные деньги, вы хотя бы избавитесь от головной боли по подготовке пакета документов, а он, поверьте, получится немалым.

Это только на первый взгляд, на самом деле все достаточно просто :)
Совет достаточно глупый, проплачивать можно за все, лучше самому разобраться - в итоге проблем будет намного меньше.
Пакет документов действительно не малый, но его написание занимает неделю. Зато потом не будет никаких головных болей, т.к. когда придет проверка и начнет задавать вопросы, то легко можно будет на них ответить.
З.Ы. Когда тебя спросят акты классификации ИСПДн и почему они так классифицированны, что ты им ответишь? Или почему у тебя так составленна "Модель угроз"? "- Я не знаю, документацию заказывал на фирме..."

А кто говорит? Сами то, теоретик, небось? Ну да, не к вам обращался, не след и реагировать.
krec, решать вам, разобраться и можно, если на эту самую неделю вас полностью разгрузят, освободят от всех текущих забот и дадут возможность погрузиться в тёмные пучины инструкций, написанных старыми отставниками органов, всю жизнь охранявших копировальный аппарат в первом отделе военного завода. :) "журнал учета, хранения, уничтожения носителей информации..." ух, звучит то как! :)
Попробуйте тут поспрашивать. Удачи! Да минует вас проверка РКН! :)

SibUrsus, спасибо за рекомендацию, но думал самому попытаться делать, ну или хотябы вникать в дело, понять что надо или надо ли вообще ?
Ну вы тоже особо ничего умного не советовали :) тоже самое , что и он посоветовал - я не должен этим заниматься.
Есть сайт, где можно все эти документы генерировать стоит по моему 3000 рублей.
Но есть нюансы, где я не знаю на самом деле что мне надо. Ну и технический часть - что где ставить.

Я стараюсь персональные данные хранить в облаке