Статьи

Источник фото: https://www.pexels.com/

Цифровизация ЖКХ потихоньку набирает обороты и электронные ящики руководителей управляющих организаций ежедневно наполняются письмами с предложениями внедрить в компании очередную чудо систему. На достаточно банальный вопрос «продавцам» систем о защищённости персональных данных следует заученный ответ, что сервера находятся в России и всё соответствует закону о персональных данных. Многим этого ответа достаточно, но товарищи с Роскомнадзора считают иначе. Об этом и поговорим.

Управляющая организация по умолчанию является оператором персональных данных (ст.3 152-ФЗ), так как согласно пп. «б» п.4 ст.416 ПП РФ и ч.3.1 ст.45 ЖК РФ она должна вести реестр собственников помещений в МКД, а ведение такого реестра подпадает под понятие «обработка» персональных данных (ст.3 152-ФЗ).

Я не буду рассматривать то, что должно быть сделано по умолчанию, а именно постановка на учет в Роскомнадзоре управляющей организации. Сделать это достаточно просто и если всё прошло хорошо, то управляющая организация появится в реестре операторов персональных данных. Проверить свою организацию можно по ссылке. 

Есть еще ряд процедур, среди которых назначение ответственного за сохранность персональных данных и т.д. В рамках этой статьи нам эти процедуры не интересны, хоть они и являются обязательными.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (п.1 ст.19 152-ФЗ).

На самом деле написанное выше очень важно, так как многие вспоминают про правовые меры защиты персональных данных и не знают о технических мерах. Мы копнем глубже и разберемся, что такое информационная система персональных данных (далее по тексту – ИСПДн), тем более, что все CRM-системы, программы расчёта квартплаты и другие IT-решения, где используются персональные данные, относятся к ИСПДн.

В ст.3 152-ФЗ указано, что ИСПДн – это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Простыми словами, если у бухгалтера на компьютере стоит программа для расчета квартплаты, то этот компьютер с информацией, которая в нем содержится, относится к ИСПДн.

Обработка персональных данных может производиться с использованием средств автоматизации и без использования средств автоматизации.

Обработка персональных данных с использованием средств автоматизации регулируется (прочитайте на досуге, так как средства автоматизации есть в каждой управляющей организации):

1. Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

2. Приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

А теперь читаем внимательно, что должны сделать в самой управляющей организации (если вы храните данные внутри компании) и что должны сделать в компании, в которую вы отдаете свои персональные данные (не написать ерунду на сайте, что у них всё защищено, а именно сделать):

1. Разместить информационные системы в «правильном» центре обработки данных, так как покупка услуги хостинга в первом попавшемся хостинг-центре приведет к штрафам. У хостера должен быть защищенный сегмент, в котором установлены сервера, на которых хранятся персональные данные.

2. Провести аудит информационной системы персональных данных. Выполнить самостоятельно вы это не сможете, так как для проведения аудита необходимо иметь лицензию, полученную в ФСТЭК (Федеральная служба по техническому и экспортному контролю).

3. Выполнить проектирование системы защиты персональных данных. В данном случае требования аналогичны п.2, который я привел выше. Придется нанимать компанию, которая имеет соответствующую лицензию.

4. Получить необходимые средства защиты или сервисы информационной безопасности. Нельзя просто купить самый дешевый антивирус и успокоиться, так как все средства защиты (антивирусы, системы обнаружения вторжений, межсетевые экраны, шлюзы и т.д.) должны иметь разрешение ФСБ РФ и ФСТЭК (п.4 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 1 ноября 2012 г. №1119).

5. Провести оценку эффективности принимаемых мер обеспечения безопасности персональных данных.

6. Провести аттестацию информационной системы на соответствие требованиям законодательства (если она требуется). Аттестация проводится специализированной организацией, которая имеет лицензии ФСТЭК в части защиты конфиденциальной информации. Срок действия аттестации – 3 года и потом придется проходить всё заново.

Затраты на полноценную аттестацию ИСПДн на соответствие третьему уровню защищенности персональных данных превышают 1 миллион рублей и, только получив на руки документ об аттестации, можно утверждать, что в компании персональные данные хранятся в соответствии с требованиями Закона о персональных данных.

Если всего вышеперечисленного у продавцов чудо-систем нет, но они выложили на сайте информацию о соблюдении законодательства – вас тупо дурят…

P/S Выполнить все требования законодательства в части персональных данных очень сложно, но и подставляться не следует. Мы прошли процедуру аттестации нашей CRM-системы «Квартира.Бурмистр.Ру» (третий уровень защищенности) и получили аттестат соответствия CRM-системы требованиям действующего законодательства в части персональных данных. Так что наши клиенты могут работать спокойно…

Ну а вы теперь знаете, что верить надписям внизу сайта нельзя и ЧТО нужно спрашивать у продавцов IT-решений в ЖКХ.

С уважением Юрий Кочетков