27.12.2010
Круглый стол "О подготовке к проверке соблюдения обязательных требований в сфере обработки персональных данных управлением Роскомнадзора по НСО"
16 декабря 2010 года состоялась встреча Клуба ИТ Директоров г. Новосибирска на тему "О подготовке к проверке соблюдения обязательных требований в сфере обработки персональных данных управлением Роскомнадзора по Новосибирской области"
Основным докладчиком выступил директор центра информатизации НГТУ Стасышин Владимир Михайлович.
Он рассказал о проверке Роскомнадзора, которая проходила с 11.01.2010 по 04.02.2010.
Об этой проверке было стало известно примерно за четыре месяца, после того, как на сайте Роскомнадзора был выложен План проверок на календарный год.
За период проведения проверки был запрошен 51 документ, имеющий отношение к выполнению ФЗ № 152. Например:
• копии лицензии, свидетельства о государственной аккредитации, свидетельства о постановке на учет в налоговом органе, свидетельства о внесении записи в ЕГРЮЛ;
• копия уведомления об обработке ПДн;
• положение об обработке и защите ПДн,
• положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДН;
• приказ о назначении ответственных за обеспечение безопасности ПДн;
• приказ об утверждении мест хранения материальных носителей ПДн ИСПДн НГТУ и порядок работы с ними;
• приказ о расположении рабочих мест, с которых осуществляется работа с ИСПДН;
• инструкция о порядке обеспечения конфиденциальности, при обращении с информацией, содержащей ПДН;
• формы согласия сотрудника, абитуриента, студента, аспиранта на обработку персональных данных;
• формы различных договоров, разработанные вузом;
• формы трудовых договоров;
• форма личной карточки абитуриента;
• форма учебной карточки студента;
• форма личного листка по учету кадров;
• список лиц, допущенных к работе с ИСПДн;
• список сотрудников, осуществляющих работу с ПДн в рамках должностных обязанностей;
• копии запросов о предоставлении ПДН;
• и т.д.
По результатам проверки было выявлено 4 нарушения:
1. обработка персональных данных родителей без их письменного согласия;
2. неверное указание даты начала обработки ПДн в уведомлении;
3. работники не ознакомлены под роспись с Положением о ПДн, своих правах и обязанностях
4. некоторые формы документов не соответствовали ФЗ № 152
Все нарушения были устранены в процессе проведения проверки.
Подготовку они начали примерно за 1,5 года до проверки. Около года ушло на получение лицензии ФСТЭК на деятельность по технической защите информации (хотя уже было все необходимое для этого оборудование и ПО).
С технической точки зрения все рабочие места (на данный момент около 275) выделены в отдельный защищенный логический сегмент), все сертифицировано, используются е-токены и т.д.
В завершение встречи Алексей Патюков описал, реализуемые им в данный момент на практике, подходы по минимизации расходов на реализацию требований ФЗ № 152: изолировать все ПДн на одной машине, отключить её от сети, отключить USB порты и т.д.