ferencz

Не далее как вчера, пришел мне подарок от моих сотрудников, на который я засматривался энное количество времени. Изящная вещица, скажу я Вам. Привлекает в ней то, что механизм достаточно сложен в исполнении, но вселяет надежды на долгое использование. Это настоящий конструктор для брутальных мужиков, которые хотят побывать еще раз в детстве. На сборку у меня ушло около 3 часов, т.к. требуется очень аккуратное обращение. Для совсем упёртых сборщиков - могу порекомендовать взять на сборку напильничек, он потребуется для шлифовки небольших заусенцев, возникающих при выемке с платы (?? х.з. как назвать). Дерево, оно и в Африке - дерево, всегда приятно держать в руках. После сборки представляет на столе целое произведение искусства. Каждый норовит спросить что это, а как узнают, что данная вещица еще и работает, так просят 100500 в гору поиграться. Модельный ряд у компании UGEARS (и пусть это не звучит как реклама) очень обширен. Просто загуглите, и Вы захотите себе одну из моделей. Уверен, что на одной из таких штук невозможно остановиться, хочется больше и больше.

Мне досталась модель 20 минутный таймер. Процесс сборки и виде предоставляю.

Тег мое, т.к. фото моё и собирал сам))

Состав модели после распаковки (в коробке инструкция).

Начало сборки

видос свой не смог выложить, выкладываю загугленый.

Желаю всем много приятного времени за сборкой этих чудес.

Ссылка на предыдущие части:

https://pikabu.ru/story/esli_k_vam_prishel_roskomnadzor_chas...

Начинаем подготовительный этап перед тем, как подавать уведомление о намерении осуществлять обработку персональных данных.

Создаем приказ от имени руководителя предприятия «Об организации работ по обеспечению безопасности персональных данных». Пишем, что на основании ФЗ-152 от 27.07.2006 для обеспечения безопасности ПДн, приказываем:

- назначить ответственного за организацию обработки ПДн и функций администратора информационных систем, администратора безопасности - Иванова Ивана Ивановича (здесь 2 момента: первый – желательно ввести в штатное расписание должность администратора безопасности, второе – это, желательно, не должен быть местный сисадмин. По структуре предприятия администратор безопасности – это звено между директором, службой безопасности и пользователями. Теоретически – выше сисадмина, т.к. сисадмин настраивает системы, а администратор – распределяет права и выдает пароли).

Создаем и утверждаем положения, перечни, акты, анкеты, приказы и формы (которые включаем в приказ):

Положение об обработке персональных данных в организации

Перечень сведений конфиденциального характера

Положение об организации и обеспечении защиты персональных данных в организации

Политика в отношении обработки ПДн

Типовое обязательство о неразглашении информации, содержащей персональные данные

Инструкция пользователю по обеспечению безопасности при работе с персональными данными

Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДН

Форма Заявки на внесение пользователей ИСПДН

Перечень должностных лиц, допущенных к работе с персональными данными

Журнал учета допуска к работе в ИСПДН

Матрица доступа к защищаемым ресурсам автоматизированной системы

Инструкция по организации антивирусной защиты на ИСПДН

Инструкция по организации парольной защиты ИСПДН

Инструкция по организации резервного копирования данных ИСПДН

Инструкция по эксплуатации средств защиты информации объекта вычислительной техники

Инструкция по установке нового и модификации используемого программного обеспечения на ИСПДН

Инструкция администратора безопасности информационных систем персональных данных

Приказ об определении контролируемой зоны, в которой расположены узлы ИСПДН

План внутренних проверок состояния защиты персональных данных

Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации

Журнал учета и выдачи материальных носителей информации предназначенных для хранения информации ограниченного доступа

Перечень информационных систем персональных данных

Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных

Журнал учета средств защиты информации

Описание технологического процесса обработки информации в выделенной локальной вычислительной сети и схема коммутации, выделенной ЛВС

Анкеты и другие формы, имеющие в своем составе поля, требующие обязательного заполнения ПДн.

Следующий шаг.

Заполняем на сайте Роскомнадзора уведомление о намерении осуществлять обработку персональных данных. https://pd.rkn.gov.ru/operators-registry/notification/form/

Для облегчения заполнения формы, РКН опубликовали на сайте методические указания по заполнению уведомления http://24.rkn.gov.ru/directions/p5987/p4245/

Теперь более подробно по каждому документу (составляли частично сами, но часть инфо брали с Инета).

Положение об обработке персональных данных в организации

О чём документ - Положение является локальным нормативным актом, регламентирующим деятельность Оператора в сфере обработки и защиты персональных данных.

Состав:

Назначение положения – для чего вообще создали данный документ.

Права и обязанности оператора при обработке ПДн – что делаем, что можем делать и что не можем делать при обработке ПДн.

Права субъектов ПДн – права и обязанности тех, кто предоставляет свои ПДн

Порядок сборки и обработки ПДн – здесь все по шагам; что собираем, в какой момент собираем, если у различных групп субъектов собираются различные ПДн, не забываем указывать состав ПДн в этих группах

Доступ к ПДн - кто имеет доступ, что должен подписать, кому можно предоставить доступ к ПДн

Порядок хранения и уничтожения при обработке без использования автоматизированных систем – описываются все возможные варианты, как в компании могут храниться (кабинеты, шкафы, сейфы) и уничтожаться ПДн (сожжение, шредеры, обезличивание).

Взаимодействие с регулирующими органами

Ответственность – описываете согласно действующему законодательству.

Перечень сведений конфиденциального характера

Брали из юридических справочников типа Гарант и Консультант

Положение об организации и обеспечении защиты персональных данных в организации

О чём документ - Положение определяет порядок организации работ, требования, правила и рекомендации по обеспечению защиты персональных данных в Компании

Состав:

Защита ПДн при обработке без использования средств автоматизации – делаем ссылку на то, что регламентируется Положением об обработке ПДн в Вашей организации и дописываем что –то вроде:

обеспечивается выполнением следующих мероприятий:

- определением мест хранения персональных данных;

- обеспечением раздельного хранения персональных данных;

- соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.

Далее добавляем про уничтожение, архивы и прочее из Положения об обработке ПДн в организации.

Защита ПДн при обработке в ИСПДН – вот здесь вот все не шутя надо делать. Описываем начиная от описания контролируемой территории, способах предотвращения промышленного шпионажа, классификации ИСПДН, модели угроз, заканчивая обучением персонала и учета лиц, допущенных к ПДн. Чем больше Вы предусмотрите ситуаций, тем полновеснее будет выглядеть Ваша комплексная защита. Мы включали даже такие моменты, как зашторивание помещений при работе с ПДн (требуется если помещение находится на первом этаже).

Политика в отношении обработки ПДн

О чём документ - Настоящий документ определяет политику Оператора в отношении обработки персональных данных с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Типовое обязательство о неразглашении информации, содержащей персональные данные.

Можете взять с Инета, главное, после утверждения формы типового обязательства, ознакомить всех под роспись.

Инструкция пользователю по обеспечению безопасности при работе с персональными данными

О чём документ - Инструкция определяет обязанности, права и ответственность работников, допущенных к обработке персональных данных

Состав:

Определение ПДн – что бы были в курсе с какими данными работают

Обязанности работника – описываем что и как правильно делать работнику, обрабатывающему ПДн

Ограничения при работе с ПДн – описываем запреты при обработке ПДн, типа: не разглашать пароли, не сообщать всем вокруг чужие перс данные и прочее.

Ответственность пользователя

Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДН

Регламент введения сотрудника в список тех сотрудников, которые имеют доступ к ПДн

Правила наделения правами при работе в ИСПДН

Форма заявки на внесение пользователей ИСПДН

Является приложением предыдущего пункта.

Описывает ФИО, должность, права для работы в какой-либо ИСПДН

Перечень должностных лиц, допущенных к работе с персональными данными

Журнал учета допуска к работе в ИСПДН

Регистрируем заявки на внесение пользователей ПДн

Матрица доступа к защищаемым ресурсам автоматизированной системы

Что-то типа зависимость прав при работе в ИСПДН от должности сотрудника в организации

Инструкция по организации антивирусной защиты на ИСПДН

Состав:

Даем определения вирусам

Описываем поведение различных вирусов

Описываем меры противодействия вирусам в организации

Описываем меры противодействия вирусам со стороны сотрудников

Описываем чем пользуемся и как настраиваем

Инструкция по организации парольной защиты ИСПДН

Кто выдает пароли

Как можно получить пароль

Раз в сколько недель меняется пароль и прочее

Инструкция по организации резервного копирования данных ИСПДН

Как бережем базу данных от поломок

Куда копируем

Как защищаем хранимые копии

Чем пользуемся при резервном копировании

Если сломается как будем восстанавливать и прочее

Инструкция по эксплуатации средств защиты информации объекта вычислительной техники

По типу антивируса описываем файрволы, генераторы паролей, программы криптозащиты и прочее.

Инструкция по установке нового и модификации используемого программного обеспечения на ИСПДН

Правила защиты при накатке обновлений

Правила защиты при развертывании баз данных

Регламенты согласования обновлений и программного обеспечения

Инструкция администратора безопасности информационных систем персональных данных

О чём документ - Инструкция является локальным правовым актом, регламентирующим деятельность администраторов безопасности Компании при выполнении ими функции по защите ПДн.

Состав:

Функции администратора безопасности

Обязанности администратора безопасности

Права и ответственность администратора безопасности

Приказ об определении контролируемой зоны, в которой расположены узлы ИСПДН

Является документом, на основании которого в Положение об организации и обеспечении защиты персональных данных в организации, вносится информация о территории организации.

Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных

В данном документе Вы описываете все то, что может случиться при обработке ПДн. Таблицу актуальных угроз можно найти в Инете. Примерно такая.

Описываете как предположительно могут быть похищены персональные данные -сотрудниками, методами промышленного шпионажа, посетителями, хакерами, конкурентами, контрагентами.

Описание технологического процесса обработки информации в выделенной локальной вычислительной сети и схему коммутации, выделенной ЛВС

В прошлом посте выкладывал примерную схему.

Анкеты и другие формы, имеющие в своем составе поля, требующие обязательного заполнения ПДн.

полностью на Ваше усмотрение, в зависимости от требований внутри компании.

Примеры:

Форма Ответа субъекту персональных данных об обрабатываемых персональных данных (о наличии персональных данных)

Форма Уведомления субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства

Форма Согласия на обработку персональных данных.

Форма Запроса субъекта персональных данных об обрабатываемых персональных данных.

Форма Запроса субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных

Форма Отзыва согласия на обработку персональных данных.

Форма Уведомления субъекта персональных данных об изменении персональных данных

Форма Журнала учета обращений.

Форма Запроса третьих лиц на доступ к обрабатываемым персональным данным.

Форма Ответа на запрос третьих лиц на доступ к обрабатываемым персональным данным.

Журнал учета и выдачи материальных носителей информации предназначенных для хранения информации ограниченного доступа

Обычный журнал – ФИО, каков носитель, что хранит, где лежит, сколько хранить и прочее

Журнал учета средств защиты информации

Свободная форма журнала с указанием всех используемых средств, сроком окончания лицензий, количеством лицензионных ключей.

Перечень информационных систем персональных данных

Заполняем карточки ИСПДН, которые были в предыдущем посте (сайты, порталы, программное обеспечение, мессенджеры и прочее).

План внутренних проверок состояния защиты персональных данных

Обычный журнал, можно распечатать с Инета – дата, что делали и подпись

Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации

Состав:

Номера кабинетов

Местоположения шкафов и сейфов

У кого ключи

Кто владелец кабинета

Каков доступ в помещение

И если все документы заполнены правильно, избыточных сведений компания не обрабатывает, все регламенты соответствуют нормам закона - Вы можете выдохнуть и ждать проверку.

Не забудьте подготовить журнал для проверяющих:

Большое спасибо!!

Ссылка на предыдущие части:

https://pikabu.ru/story/esli_k_vam_prishel_roskomnadzor_5317...

В комментариях к прошлому посту меня просили рассказать про регламент:

1) Если Вы честный Оператор ПДн, то, примерно, через 1 год после подачи уведомления на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/ , Вы можете попасть в список планируемых выездных проверок https://73.rkn.gov.ru/directions/p16441/p16454/p19947/ (это пример для Ульяновской области). Просматриваем за месяц до нового года, на следующий год.

Если Вы нашли свою компанию в списке, ожидайте звонка с местного отделения Роскомнадзора, который сообщит Вам дату прихода инспекторов для уведомления о начале проверки.

Каждое посещение инспекторами сопровождается оповещением по телефону примерно за сутки, что бы Вы успели подготовить документы на ознакомление (прошить, подписать, проштамповать, структурировать).

В итоговом акте после проведения проверки Вы сможете сравнить фактическое время прихода инспектора, с указанным в акте, Вам придется ставить росписи, что инспектор действительно присутствовал.

Как уже писали в комментариях, да, инспектора проверяют бумажные носители и не лезут в систему. Маршрут их вполне стандартен и описан мною в предыдущем посте – проверка анкет от соискателей, личные дела трудоустроенных, ПДн в бухгалтерии и прочее.

Прятать ничего нет смысла – все что есть в регламентах и доступных для проверки документах, все само расскажет о Вашей компании. Мы предоставляли около 200 различных документов. Но самых-самых главных – 14 и о них пойдет речь отдельно.

2) Если Вы не очень честный или попросту не учли ФЗ-152, то к Вам могут прийти по жалобе от клиента, наводчика, завистника и прочее или по факту нарушения обработки ПДн. Например, заполненные анкеты найдут на стойке в магазине или вообще на помойке. Тут долго канителиться не будут – штраф. С 01.07.17 штрафы увеличили.

3) Что еще сказать про регламент, инспектора были, мое почтение, всегда приятно работать с такими независимыми ребятами. Никто не сообщил свой личный телефон – все только по указанному в справочниках; никто не пользовался транспортом, предоставленным на время поездки для перемещений по офисам – только служебные авто; никто не пользовался услугами столовых на территориях проверяемых предприятий – положенное время провели проверку и на работу обратно; никаких личных разговоров – беседы только в рамках: проверяющий – ответственный. Кароч, побольше бы таких. Есть гарантия реально независимости оценки и правильности исполнения.

4) Есть момент, который инспектор в обязательном порядке затребовал на второй день проверки и вот он:

Формы и дописки делал сам, показал только суть. Первая бумажка заполняется отдельно на каждую ИСПДн, вторая, на сайт, если там обрабатываются ПДн

5) После ознакомления со всеми документами Вас оповещают о дате предоставления акта проверки. Инспектор привозит те документы, в которых были обнаружены несоответствия, и объясняет последствия данных несоответствий согласно букве закона. Если есть замечания, Вам предоставляется примерно месяц на их устранение, если есть прям нарушения, Ваш представитель поедет получать в Роскомнадзор протокол об административном нарушении.

6) По замечаниям исправления происходят так – директор создает приказ об устранении замечаний и указывает сроки исполнения не более тех сроков, что выставил Роскомнадзор. По мере устранения замечаний – собираете документы, опять прошиваете, пропечатываете и визируете. Созваниваетесь с инспектором и передаете весь исправленный пакет на вторичную проверку

7) Если Вам светит штраф – ожидаете повестки в суд и живёте дальше с его решением.

8) Еще один момент: все передаваемые документы остаются в Роскомнадзоре, не поленитесь сдавать в папках и структурированно – вам еще до самого закрытия компании проходить проверки, а данные документы служат индикатором того, что было ранее.

Теперь к самой теме поста.

Бонусные карты.

Многие сети любят «пропедалить» свои бонусные карты, но не многие задумываются об ответственности по ним.

Карты бывают разные, например:

Эмбоссированные – карты нанесением Имя и Фамилии владельца, по таким картам собирают анкеты, реально содержащие ПДн.

Номерные, привязанные к клиенту – личный кабинет клиента содержит ПДн владельца. По ним данные собирают исходя из анкет, заполненных клиентом либо (что лучше) – пользователь сам регистрирует себя на сайте.

Номерные, не привязанные к клиенту – вообще на всё наплевать, карту дали и спасибо.

В данном примере только последний вид карт не подпадает под ФЗ-152, т.к. не содержит ПДн.

Эмбоссированные карты и номерные карты, привязанные к клиенту, требуют более детального рассмотрения.

Вопросы возникаю с момента заполнения анкеты на месте приобретения карты – да, Вы подписываете соглашение об обработке ПДн, но существуют ли меры по защите Ваших ПДн на данной торговой точке или офисе. Какова вероятность того, что человек, принявший Вашу анкету, не передаст номер вашего телефона или Ваш емейл сторонним лицам – тем же сетевым проходимцам с непонятными товарами. Или какова вероятность того, что анкеты не бросят на кассе, где их возьмет любой желающий. Или именно Вашу анкету будут использовать вместо образца. Исполнение ФЗ-152 снижает риск возникновения данных ситуаций.

Все кассиры, директора и прочие сотрудники торговой точки, которые могут держать Вашу анкету, должны быть ознакомлены под роспись с документами: Ознакомление с ФЗ-152, ознакомление с правилами обработки ПДн, ознакомление с положением об организации и обеспечении защиты ПДн.

Если анкеты принимаются в самой торговой точке, её надо указать в качестве филиала и прописать под нее способы защиты ПДн: места хранения ПДн, регламенты уничтожения ПДн.

В случае, если клиент сам заполняет ПДн в личном кабинете, возникают другие нюансы. Хостер должен быть заявлен как оператор ПДн, так как данные, заполняемые в личном кабинете, обрабатываются на данном инфоресурсе. И один оператор ПДн может позволять обрабатывать ПДн клиентов другому оператору ПДн только после уведомления об этом клиента. Кароч, если бонусная система принадлежит одному, а использует её в своей работе другой, то между ними должен быть договор, о котором надо предупредить клиента.

Еще одно ограничение – хостинг должен располагаться на территории РФ. Есть сайты типа 2IP или whois – на них можно по адресу пробить местоположения ресурса.

Еще один тонкий момент – если доменное имя принадлежит Вам, а хостинг не Вам (например, бонусная система сама владеет хостингом), Вам придется приготовить договор как на приобретение доменного имени, так и на правообладание хостингом, третьими лицами.

Передача данных во внешку.

Это вопрос командировок, обучений, спортивных мероприятий, путевок в лагерь и санаторий. По ФЗ-152 есть такой термин – Трансграничная передача данных (передача ПДн на территории иностранных государств), так вот, либо нафиг не делайте, либо самым подробным образом прописывайте в положении об обработке ПДн. Нет передачи ПДн, нет рисков. Мы пошли по данному пути. А вот туристическим агентствам – есть повод задуматься.

Нас просили предоставить договора на обучение сотрудников, бланки-заявки на участие на спортивных городских мероприятиях. Но так как при заявках на обучение и спартакиады предоставлялось только количество участников, а договора заключались на месте, все прошло хорошо.

Внутренняя структура ИТ.

Картинку взял с просторов безграничного Инета, но суть передана. Исходя из заполненных карточек ИСПДн и карточек сайта, Вы составляете примерно такую же схему сети. Что происходит внутри и что снаружи. Для рисования я использовал продукт Visio. В нем уже есть много шаблонов и иконок с обозначениями как в объеме, так и в плоскости. До картинки не докапывались, сверили адреса расположений и доменные имена, на этом все закончилось. Главное, чтобы картинка не расходилась с фактом.

Сюда же можно включить описание по требованиям к серверам и ПО на них.

- сервер с обрабатываемыми ПДн должен принадлежать Вам, на него должен быть документ по приобретению и договор поставки.

- на ПО, в котором обрабатывается ПДн, должны быть лицензионные соглашения, что типа ПО принадлежит Вам, накладная на приобретение продукта, либо накладная и договор на апгрейд ПО (т.к. 1с 7.7 имеет счастье умнеть до более современных систем, которое имеют версию далеко не 7.7, а инспекторам нужны подтверждения что именно данная система по обработке ПДн переродилась из 7.7.). Далее, из каждой ИСПДн требуется сделать скрин с полями, в которые вводятся ПДн. Делается это для того, чтобы сверить те данные что подали на сайте Роскомнадзора в заявлении, с теми, что обрабатываете по факту. И будет очень плохо, если там будут графы по сексуальной ориентации и прочим спец категориям ПДН (хотя если Вы занимаетесь сбором таких данных на законных основаниях, то, не очень плохо Вам будет). Вообще, комплекс 1С предоставляет внутренние инструменты по соблюдению ПДн. Под админом – настройка программы – защита перс данных. Что делать если полей в программе много, но Вы не используете их для заполнения. Я сделал несколько отчетов из данных программ, показывающих возможности обработки и заскринил. Кроме Фамилии и инициалов ничего более в программах не указывалось.

- по системам для автоматизации обработки запросов ситуация такая же как описывал выше.

Если в программе Вы не используете ПДн – система не является ИСПДн и ее описывать в положении об обработке ПДн не требуется. Наша система была настроена так, что исполнитель был назван как Оператор (и далее по номеру), а заявки приходили согласно названию почтового адреса.

- по взаимодействию серваков, если они разнесены по различным территориям. У нас были договора аренды оптоволокна, договора подключений точка-точка – так что все являлось внутренней локальной сетью, оттого и вопросов у инспекторов не возникло.

Следующая и наверное крайняя тема по ПДн – буду описывать состав документов и их примерное заполнение для исполнения ФЗ-152. Ничего секретного, просто немного конкретных букв.