ПДн. Эксплуатация. Перечни ФИО или должностей сотрудников?
Ранее эта проблема уже обсуждалась,
но всё ещё остается актуальной. Итак. Статьей 88 ТК РФ, Постановлением
правительства №687, Постановлением правительства №1119, Постановлением
правительства №211, приказом ФСБ №378 требуется установить и утвердить перечень
лиц, допущенных к обработке ПДн.
Перечней может быть один, а может
быть несколько (по допуску к разным ИСПДн, неавтоматизированной обработке ПДн, местам
хранения ПДн, в помещения с СКЗИ, к работе с СКЗИ), не суть. Если организация
достаточно большая, то в следствии текучки и кадровых перемещений приходится
регулярно обновлять такие перечни. Необходимо
каждый день собирать информацию об изменениях, готовить приказ об утверждении
перечня и утверждать его у руководителя Оператора.
В целях минимизации трудозатрат, небольшая
часть встреченных мной организаций предпочитает вести перечни допущенных к …
лиц включающие только должность и наименование подразделения.
·
Оператор обязан в документе определить лица, допущенные / уполномоченные обработке ПДн.
Необходимо по каждому конкретному сотруднику понимать, допущен он к обработке
ПДн или нет. Чаще всего в одном подразделении существует много ставок с
одинаковым наименованием должности, что не позволяет без ФИО однозначно
определить.
·
В перечнях лиц может быть указана какая-то
специфика, актуальная только для конкретного сотрудника (отвечает за
сохранность материальных носителей ПДн в таком-то кабинете, в таком-то шкафу,
допущен к работе с каким-то специфическим СКЗИ). Без ФИО, перечень лиц будет
неверно определять ответственных в таком случае.
Последние пару лет от местного Роскомнадзора
уже не слышно такой четкой позиции по отношению к перечню лиц. Опять же
встречал несколько операторов, которые ведут перечни допущенных лиц без ФИО,
только с указанием должностей и подразделений.
К сожалению, не удалось найти
судебной практики, содержащей случаи, когда у Оператора ведется перечень допущенных
к обработке ПДн лиц, без указания ФИО. Если вы встречали что-то подобное, прошу
поделиться информацией …
Было интересно, какая существует
практика утверждения “перечня лиц” в областях не связанных с ПДн. Беглый
просмотр около 100 последних публичных приказов и распоряжений об утверждении “перечня лиц”
показал, что в более 90% случаев перечни содержат ФИО (примеры 1, 2, 3) но
встречаются и варианты только с должностями (пример 4, 5).
Для возможного разрешения данной
проблемы задал вопрос в Роскомнадзор и Минкомсвязи. РКН традиционно ответили,
что не комментируют законодательство РФ. А ответ Минкомсвязи привожу ниже.
Как видно, орган государственной
власти ответственный за нормативно-правовое регулирование в сфере ПДн считает
что ФИО нужны.
А что вы думаете по поводу
перечней лиц, ответственных/допущенных к .. ПДн?
Комментарии
Вот пример из жизни. Был в конце 2016 года на семинаре по организации обработки ПДн, который организовывал РКН по ЮФО. Вела семинар руководитель отдела, который как раз занимается проверками в сфере организации обработки ПДн. И в конце семинара был упомянут вопрос поименных списков. На что я в коллективном обсуждении высказал довольно чёткую позицию - нужно вести поименные списки, опираясь на такое требование в подзаконных актах. На что с переднего ряда была реплика: "Ну как же?! Мы крупная компания! Вы представляете как я буду это делать?!". Вопль (именно так) было явно, по всему видно, от кадрового работника, и поддакивал ей рядом сидящий айтишник. На бедняг повесили всё это хозяйство и они были явно не в восторге от такой перспективы. Понятное дело - кадровик осознал, что кроме всего прочего ещё и вот такое вести нужно, и стало ему грустно. Да, работы при этом достаточно, не спорю. Но есть чёткое указание в нормативных документах. Всё, о чём тут спорить? И что примечательно, ведущая семинара как-то вяло отреагировала на наше такое бурное обсуждение, склоняясь больше к тому, что именно поименные перечни не нужно вести, достаточно списка должностей. Это меня очень удивило. Поэтому представителям "крупной организации" не стал доказывать очевидное, и пожелал им удачи в грядущих проверках.
Легче предоставить всем сотрудникам доступ ко всем ПДн, чем рисовать настоящие роли и заботиться о защите данных, поскольку риск от утечки ниже, чем риск некомплаенса.
Давно известно, что когда защита информации стоит больше, чем сама информация, проще принять риск утечки, чем эту информацию защищать.
Поэтому ведение "неименных списков" считаю достаточно мерой для обеспечения соответствия. А если при проверке регулятор выставит дополнительные требования, то их можно достаточно быстро исполнить. Насколько я помню, сейчас даже оштрафовать за это непросто.
Но у нас в регионе другие особенности. Под исключения в ст. 22 152-ФЗ (уведомление РКН) у нас не попадает кадровый учет в 1С, т.к. по мнению РКН автоматизация - это не про пункт "в соответствии с трудовым законодательством".
Понятно что ПП 211 только для государственных и муниципальных органов, но считал что можно рассматривать его как ориентир для других госучреждений и коммерческих структур (для них не должны быть жестче требования).
При этом детальные деления ролей/полномочий, распределение допущенных лиц по ИСПДн и т.д. ТОЖЕ ДЕЛАТЬ, но уже за раками локальных актов (в виде регулярно обновляемых перечней с ФИО, но скажем в электронном виде или в специальной системе).
Т.е. как и предлагает Proximo отделять бумажную безопасность от реальной.
Реальный перечень с фио и ролями будет в самой ИСПДн, из нее можно при необходимости получать текущие срезы доступов. Каждый доступ должен быть подтвержден согласующим документом.
Заведение доступов должно быть под непрерывным техническим мониторингом, на предмет пресекания левых учеток.
Но всё-таки, я считаю РКН/Минкомсвязи надо было бы в каком то информационном письме или методическом документе разъяснить, что должно входить в минимальный состав перечня...