вторник, 12 сентября 2017 г.

ПДн. Эксплуатация. Перечни ФИО или должностей сотрудников?

Ранее эта проблема уже обсуждалась, но всё ещё остается актуальной. Итак. Статьей 88 ТК РФ, Постановлением правительства №687, Постановлением правительства №1119, Постановлением правительства №211, приказом ФСБ №378 требуется установить и утвердить перечень лиц, допущенных к обработке ПДн.

Перечней может быть один, а может быть несколько (по допуску к разным ИСПДн, неавтоматизированной обработке ПДн, местам хранения ПДн, в помещения с СКЗИ, к работе с СКЗИ), не суть. Если организация достаточно большая, то в следствии текучки и кадровых перемещений приходится регулярно обновлять такие перечни.  Необходимо каждый день собирать информацию об изменениях, готовить приказ об утверждении перечня и утверждать его у руководителя Оператора.

В целях минимизации трудозатрат, небольшая часть встреченных мной организаций предпочитает вести перечни допущенных к … лиц включающие только должность и наименование подразделения.
   
Несколько лет назад региональное управление Роскомнадзора по ЮФО на семинарах и проверках категорически настаивало на том что перечни должны быть именными – содержать ещё и ФИО. Аргументы к этому были следующие:
·         Оператор обязан в документе определить лица, допущенные / уполномоченные обработке ПДн. Необходимо по каждому конкретному сотруднику понимать, допущен он к обработке ПДн или нет. Чаще всего в одном подразделении существует много ставок с одинаковым наименованием должности, что не позволяет без ФИО однозначно определить.
·         В перечнях лиц может быть указана какая-то специфика, актуальная только для конкретного сотрудника (отвечает за сохранность материальных носителей ПДн в таком-то кабинете, в таком-то шкафу, допущен к работе с каким-то специфическим СКЗИ). Без ФИО, перечень лиц будет неверно определять ответственных в таком случае.

Последние пару лет от местного Роскомнадзора уже не слышно такой четкой позиции по отношению к перечню лиц. Опять же встречал несколько операторов, которые ведут перечни допущенных лиц без ФИО, только с указанием должностей и подразделений.

К сожалению, не удалось найти судебной практики, содержащей случаи, когда у Оператора ведется перечень допущенных к обработке ПДн лиц, без указания ФИО. Если вы встречали что-то подобное, прошу поделиться информацией …

Было интересно, какая существует практика утверждения “перечня лиц” в областях не связанных с ПДн. Беглый просмотр около 100 последних публичных приказов и распоряжений об утверждении “перечня лиц” показал, что в более 90% случаев перечни содержат ФИО (примеры 1, 2, 3) но встречаются и варианты только с должностями (пример 4, 5).  

Для возможного разрешения данной проблемы задал вопрос в Роскомнадзор и Минкомсвязи. РКН традиционно ответили, что не комментируют законодательство РФ. А ответ Минкомсвязи привожу ниже.



Как видно, орган государственной власти ответственный за нормативно-правовое регулирование в сфере ПДн считает что ФИО нужны.

А что вы думаете по поводу перечней лиц, ответственных/допущенных к .. ПДн?

9 комментариев:

Proximo комментирует...

Совершенно согласен. Ещё приведенное выше утверждением РКН по ЮФО вполне всё чётко объясняет - почему нужно вести поименные перечни. Да и в нормативных актах, я считаю, всё чётко было указано. Ну и Минкомсвязи ещё подключился. А все эти качели с наличием или отсутствием ФИО допущенных к обработки ПДн работников в таком перечне сугубо от нежелания и лени ответственного работника за ведение такого списка.
Вот пример из жизни. Был в конце 2016 года на семинаре по организации обработки ПДн, который организовывал РКН по ЮФО. Вела семинар руководитель отдела, который как раз занимается проверками в сфере организации обработки ПДн. И в конце семинара был упомянут вопрос поименных списков. На что я в коллективном обсуждении высказал довольно чёткую позицию - нужно вести поименные списки, опираясь на такое требование в подзаконных актах. На что с переднего ряда была реплика: "Ну как же?! Мы крупная компания! Вы представляете как я буду это делать?!". Вопль (именно так) было явно, по всему видно, от кадрового работника, и поддакивал ей рядом сидящий айтишник. На бедняг повесили всё это хозяйство и они были явно не в восторге от такой перспективы. Понятное дело - кадровик осознал, что кроме всего прочего ещё и вот такое вести нужно, и стало ему грустно. Да, работы при этом достаточно, не спорю. Но есть чёткое указание в нормативных документах. Всё, о чём тут спорить? И что примечательно, ведущая семинара как-то вяло отреагировала на наше такое бурное обсуждение, склоняясь больше к тому, что именно поименные перечни не нужно вести, достаточно списка должностей. Это меня очень удивило. Поэтому представителям "крупной организации" не стал доказывать очевидное, и пожелал им удачи в грядущих проверках.

Дмитрий комментирует...

В результате такой подход приводит к бумажной защите.
Легче предоставить всем сотрудникам доступ ко всем ПДн, чем рисовать настоящие роли и заботиться о защите данных, поскольку риск от утечки ниже, чем риск некомплаенса.
Давно известно, что когда защита информации стоит больше, чем сама информация, проще принять риск утечки, чем эту информацию защищать.
Поэтому ведение "неименных списков" считаю достаточно мерой для обеспечения соответствия. А если при проверке регулятор выставит дополнительные требования, то их можно достаточно быстро исполнить. Насколько я помню, сейчас даже оштрафовать за это непросто.

Сергей Истомин комментирует...

Нижегородская область, МФЦ. Используем должности без ФИО в таких перечнях. Мы считаем, что допуск к обработке ПДн должен быть на основе роли. Ответственные же лица указаны с ФИО. В июне 2017 прошли месячную проверку РКН по ПФО.
Но у нас в регионе другие особенности. Под исключения в ст. 22 152-ФЗ (уведомление РКН) у нас не попадает кадровый учет в 1С, т.к. по мнению РКН автоматизация - это не про пункт "в соответствии с трудовым законодательством".

ЗВД комментирует...

Ранее считал что точку в этом вопросе поставило ПП 211, согласно которому требуется: "перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным".
Понятно что ПП 211 только для государственных и муниципальных органов, но считал что можно рассматривать его как ориентир для других госучреждений и коммерческих структур (для них не должны быть жестче требования).

Proximo комментирует...

Всё таки говорить про "стоимость защиты больше стоимости самой информации"? Вы не сетевой экран покупаете за миллион долларов. А легко исправить нарушение, это когда у вас обрабатывающих ПДн 10, 20, 50 человек. А если 300? Закон един для всех. И как что-то видит региональный РКН - это, это конечно, замечательно. НО! РКН не имеет право трактовать Федеральный закон. Пояснение дал, по запросу Сергея, именно законотворческий орган - Минкомсвязи. Есть требование, его нужно хотя бы попытаться исполнить. А не искать лазейки, чтобы не получалось как в той поговорке... Ну а если уж на то пошло, так сложилось - в нашей стране есть две безопасности: техническая и бумажная. Бумажная - да, и от регуляторов тоже. Хотя не только. Без правильно организованной локальной нормативной базы на более-менее крупном предприятии совсем никак. Иначе рискуете в один прекрасный момент услышать фразу типа: "А где это написано?! Почему я должен делать именно так и не по-другому?".

ЗВД комментирует...

Я вот перечитал абзацы ответа до фразы "Таким образом" и не вижу из чего "таким образом" сделан вывод о том что нужно указание ФИО. Пока лично считаю что оператор вправе зафиксировать МАКСИМАЛЬНО ВОЗМОЖНОЕ множество допущенных лиц, путем перечисления должностей в локальных актах, аргументируя это положения ПП 211 (мол, а почему нам нельзя, если госам можно?).
При этом детальные деления ролей/полномочий, распределение допущенных лиц по ИСПДн и т.д. ТОЖЕ ДЕЛАТЬ, но уже за раками локальных актов (в виде регулярно обновляемых перечней с ФИО, но скажем в электронном виде или в специальной системе).
Т.е. как и предлагает Proximo отделять бумажную безопасность от реальной.

Roman S комментирует...

Приципильаный перечень в виде должностей, в локальных актах.

Реальный перечень с фио и ролями будет в самой ИСПДн, из нее можно при необходимости получать текущие срезы доступов. Каждый доступ должен быть подтвержден согласующим документом.
Заведение доступов должно быть под непрерывным техническим мониторингом, на предмет пресекания левых учеток.

ЗВД комментирует...

В дополнение. Завершилась проверка которую мы сопровождали. У Управления РКН по ЦФО вопросов к перечню, содержащему только должности с подразделениями не возникло.

Сергей Борисов комментирует...

Коллеги, у меня тоже сложилось впечатление что РКН пока не фиксирует как нарушение, если в перечне лиц не указаны конкретные ФИО - на в нашей практике, ни в опубликованных судебных делах. моё мнение, что РКН просто решили пока не трогать этот спорный момент, пока есть более серьезные нарушения...

Но всё-таки, я считаю РКН/Минкомсвязи надо было бы в каком то информационном письме или методическом документе разъяснить, что должно входить в минимальный состав перечня...