Тема: Кто есть оператор ПДн?

Собственно сабж. Ниже пояснения
Кто является оператором персональных данных: организация, которая имеет необходимый пакет документации и защищенную компьютерную сеть (а также физическую безопасность) или оператор, имеющий некую лицензия, о которой я не нашел в семи шагах упоминания? То есть оператором я стану после того, как отправлю электронную и бумажную заявку в соответствующий орган или после прохождения проверки этого самого органа?
Если второе - то каким образом осуществляется проверка, в какие сроки после подачи заявления, а также насколько велик шанс прохождения этой проверки с учетом "самопальной" организации соответствия?

Заранее благодарю за ответы!
Алексей

2

Re: Кто есть оператор ПДн?

Dr.Zoidberg,

Если честно, то я не очень понял ваш вопрос. Если есть возможность, уточните пожалуйста.
Тем не менее, оператором является тот, кто осуществляет обработку персональных данных, а также определяет цели и содержание обработки персональных данных (152-ФЗ). также хочу отметить, что лицензий на обработку персональных данных не существует. Есть лицензия на техническую защиту конфиденциальной информации, не путайте пожалуйста.

3

Re: Кто есть оператор ПДн?

tuxedo
Попробую уточнить...
Я имел ввиду не лицензию на обработку данных, а некий подтверждающий документ, который однозначно говорит о том, что все мои програмно-аппаратные комплексы отвечают всем требованиям закона и я могу обрабатывать персональные данные, не опасаясь их утечки.
Неужели каждый орган, который захочет проверить мои системы на соответствия требованиям закона, будет проводить аудит? Или аудит будет один, но по его результатам я на руки получу сертификат (лицензию, если хотите) о том, что такая-то компания прошла проверку и соответствует всем требованиям федерального закона о персональных данных?

4

Re: Кто есть оператор ПДн?

Если мой партнер по бизнесу задаст мне вопрос - могу ли я обрабатывать персональные данные, я отвечаю положительно потому что (один из вариантов):
1. Я своими силами наладил физическую и программную безопасность в своей ЛВС и офисе. Я уверен, что утечки быть не может.
2. Я ничего не делал, я просто знаю, что информацию у меня не украдут.
3. Я имею "справку" от контролирующего органа, что мои системы прошли проверку и я могу обрабатывать персональные данные.
Какой вариант имеет место жить, а какой правильный и почему?

5

Re: Кто есть оператор ПДн?

Dr.Zoidberg,

рискну предположить, что вы сами того не осознавая, затронули серьезный вопрос smile

Поясню. Дело в том, что ранее четверокнижие определяло требования по аттестации ИСПДн. Аттестация как раз и нужна была для того, чтобы подтвердить факт соответствия СЗПДн требованиям регуляторов. Но теперь требования по аттестации нет.
Поэтому удостовериться в том, что вы все сделали верно вы сможете только тогда, когда придет проверка smile
Справедливости ради, сама по себе процедура аттестации никуда не девалась и если у вас возникнет такое желание, то вы можете ее пройти. Правада стоимости достаточно высоки. Если не изменяет память, интеграторы в Екатеринбурге брали около 25 тысяч за одно рабочее место.

Если вы скажите, что эта ситуация выглядит немного бредовой, то мне ничего не будет оставаться кроме как согласиться.

6

Re: Кто есть оператор ПДн?

Да-да, именно об этом я и говорил.

tuxedo пишет:

Но теперь требования по аттестации нет.

Если не сложно - можно ссылку на соответствующий документ? Это очень важно для меня сейчас.

Тем не менее, я могу утверждать, что соответствую требованиям закона, при этом не делая ничего вообще? И мне не нужно никаких доказательств свое правоты? (в разрезе партнерских отношений, а не требований регуляторов)

7

Re: Кто есть оператор ПДн?

Dr.Zoidberg,

я боюсь, что здесь лучше просто объяснить.

1) Был такой документ в составе четверокнижия - "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утвержденный заместителем директора ФСТЭК России 15 февраля 2008 г.
2) Этот документ был отменен с 15 марта 2010 г.
3) Его "заменой" является приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
4) Требования по аттестации содержались в отмененном документе и теперь они отсутствуют.
5) Но для полноты картины стоит отметить, что существует еще и замечательный документ СТР-К. В нем есть требования по аттестации АС:

2.17. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации
5.2.3. В соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:
АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;
АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

Но СТР-К обязателен для государственных учреждений.

Вот такая логика, надеюсь помог.

Отредактировано tuxedo (2011-07-06 08:24:29)