Часто задаваемые вопросы

ПК «АльфаДок» – комплексное решение для управления процессами и мероприятиями по защите информации для органов государственной власти, местного самоуправления, медицинских и образовательных учреждений, иных бюджетных и коммерческих организаций любого масштаба.  

Программный комплекс обеспечивает автоматизированную разработку и поддержание в актуальном состоянии организационно-распорядительной и технической документации: 

  • по защите персональных данных;
  • по защите государственных информационных систем;
  • по защите объектов критической информационной инфраструктуры (в том числе значимых);
  • по эксплуатации криптосредств.

Также пользователям программного комплекса доступны функции отправки уведомления в Роскомнадзор, ведения журналов в электронном виде, оценки готовности к проверкам регулирующих органов (Роскомнадзора, ФСТЭК России и ФСБ России), ведения учета плановых проверок регулирующих органов и внутренних проверок в организации, планирования событий и постановки задач. Доступность конкретных функций определяется типом лицензии. Во всех лицензиях доступна техническая и информационная поддержка пользователя.

Государственные или муниципальные органы, юридические или физические лица, индивидуальные предприниматели становятся операторами персональных данных с момента, как только начинают обрабатывать персональные данные сотрудников (заключать трудовые договоры или собирать сведения о кандидатах на вакантное место), оказывать услуги клиентам/населению и т.д. Любой оператор персональных данных обязан выполнять требования законодательства в сфере персональных данных.

Но для этого сотрудникам оператора необходимо предварительно изучить нормативную правовую базу, самостоятельно разработать шаблоны документов, постоянно мониторить изменения законодательства и судебную практику. Если организация еще является и оператором государственной информационной системы или субъектом КИИ, задача по разработке и поддержке документации, управлению процессами и мероприятиями по информационной безопасности усложняется. ПК «АльфаДок» поможет эффективно и своевременно выполнять требования законодательства по защите информации. 

Для тестирования бесплатной демонстрационной версии перейдите по ссылке https://alfa-doc.ru/ и нажмите кнопку «Попробовать бесплатно»

В демо-версии Вы можете ознакомиться с содержимым проектов организационно-распорядительных, технических документов и форм журналов в режиме предварительного просмотра документов без возможности их скачивания. Бесплатный доступ к демонстрационной версии ПК «АльфаДок» предоставляется на 7 дней.  

После внесения данных на всех шагах мастера опроса пользователи получают комплект документации, удовлетворяющий требованиям действующего законодательства и необходимый для успешного прохождения проверок регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России):

  • в области защиты персональных данных;
  • в области защиты информации, не составляющей государственную тайну, содержащейся в государственных информационных системах;
  • по эксплуатации криптосредств;
  • по категорированию объектов критической информационной инфраструктуры.

Чтобы ознакомиться с перечнем формируемых на различных тарифах документов, перейдите в раздел «Нормативно-правовая база»

Пользователи пробной демонстрационной версии могут ознакомиться с содержимым документов и журналов в режиме предварительного просмотра. Для тестирования бесплатной демонстрационной версии перейдите по ссылке https://alfa-doc.ru/ и нажмите кнопку «Попробовать бесплатно»

Возможность выгрузки проектов организационно-распорядительной документации и форм журналов доступна организациям с коммерческой лицензией ПК «АльфаДок» в разделе «Документы» в портфеле документов.

Такая возможность существует в рамках разовой услуги «Экспертный аудит информационной безопасности». Аудит включает обследование информационных систем организации и разработку организационно-распорядительной документации экспертами ООО «НПЦ «КСБ». 

Для получения дополнительной информации оставьте заявку на расчёт стоимости по ссылке. После обработки заявки наш менеджер свяжется с Вами.

Для ознакомлении с отзывами клиентов ПК «АльфаДок» об опыте работы с сервисом и о прохождении проверок регуляторов перейдите в раздел «Отзывы».

Для корректного внесения сведений в профиль в каждом разделе ПК «АльфаДок» размещена ссылка на соответствующий раздел Руководства пользователя. Полное содержание Руководства пользователя расположено в разделе Меню/Помощь/База знаний/Руководство пользователя. Также рядом с каждым полем для заполнения приведена справка с дополнительной информацией.

Кроме того, эксперты ПК «АльфаДок» периодически проводят специальные обучающие онлайн-вебинары, которые затем доступны пользователям в Базе знаний программного комплекса и в записи. 

В случае возникновения дополнительных вопросов пользователи ПК «АльфаДок» могут обратиться в Службу поддержки ПК «АльфаДок», наши эксперты проконсультируют Вас по вопросам внесения сведений в программный комплекс. 

Пакет документов, формируемый в ПК «АльфаДок», полностью удовлетворяет требованиям законодательства в области персональных данных, а также регулярно актуализируется экспертами сервиса в соответствии с изменениями законодательства. Это подтверждают многолетний опыт подготовки пользователей программного комплекса к проверкам Роскомнадзора и их отзывы

Кроме того, пользователи ПК «АльфаДок» при прохождении проверки Роскомнадзора (а также ФСТЭК России и ФСБ России) имеют право на экспертную консультационную поддержку специалистов Службы поддержки ПК «АльфаДок»:

  • по номеру горячей линии 8 800 500-52-33;
  • через Онлайн-Консультант (в правом нижнем углу экрана);
  • по адресу электронной почты alfa@npc-ksb.ru.

При условии своевременного внесения пользователем актуальных сведений в сервис, организация всегда будет готова к проверке Роскомнадзора. 

Скачивание документов доступно только для коммерческих тарифов. В случае, если Вы зарегистрировались в ПК «АльфаДок» самостоятельно и тестируете систему, выгрузка документов будет Вам недоступна. Для ознакомления с содержанием документов на Рабочем столе «Документы», в разделе «Портфель документов», на вкладке «ОРД по информационной безопасности» сформируйте пакет документов и нажмите на символ лупы.

Для получения дополнительных уточнений, пожалуйста, обратитесь в Службу поддержки ПК «АльфаДок» по телефону горячей линии: 8 800 500-52-33. Для подбора коммерческой лицензии, перейдите в раздел меню «Подобрать лицензию»

Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, субъекту ПДн (ст. 3 Федерального закона № 152-ФЗ «О персональных данных»).

Пример: совокупность фамилии, имени, отчества и сведений о месте работы уже является ПДн.

Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 года к биометрическим персональным данным отнесены сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

Так, например, медицинские учреждения не обрабатывают биометрические персональные данные, так как рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, не используются в целях установления личности пациента.

Ярким примером операторов, обрабатывающих биометрические персональные данные, являются органы, осуществляющие оперативно-розыскную деятельность, и использующие сведения, характеризующие физиологические и биологические особенности человека, для установления личности субъекта персональных данных.

К специальным относятся ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни (ч. 1 ст. 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Под обработкой ПДн подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн (ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Оператор ПДн – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн (ст.3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года).

Пример: любая организация становится оператором персональных данных и обязана выполнять требования законодательства в сфере персональных данных с момента, как только начинает обрабатывать персональные данные сотрудников (заключает трудовые договоры или собирает сведения о кандидатах на вакантное место), оказывает услуги клиентам/населению и т.д.

К основным нормативно-правовым актам, регулирующим процессы обработки и защиты ПДн относятся:

  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

C полным списком нормативно-правовых актов, регулирующих процессы обработки и защиты ПДн, Вы можете ознакомиться в разделе Нормативно-правовая база.

Уведомление об обработке (о намерении осуществлять обработку) ПДн – это документ установленной формы, который необходимо отправить в территориальный орган Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по месту регистрации оператора. Данная обязанность установлена частью 1 статьи 22 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года. 

Подать Уведомление в территориальное управление Роскомнадзора можно несколькими способами:

  • заполнить форму Уведомления на сайте Роскомнадзора, распечатать его на фирменном бланке организации и отправить в свое территориальное Управление;
  • заполнить форму Уведомления на сайте Роскомнадзора, подписать ее электронной подписью и направить в территориальное управление в электронном виде;
  • пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде.

Также можно внести сведения в профиль и отправить Уведомление в электронном виде в территориальное управление Роскомнадзор с помощью ПК «АльфаДок». Не забудьте распечатать и направить то же самое уведомление в бумажном виде на фирменном бланке организации в адрес вашего регионального управления Роскомнадзора.   

Решение о включении организации в реестр операторов будет принято в течение 30 дней после даты поступления уведомления на бумажном носителе в территориальный орган Управления Роскомнадзора.

Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку ПДн – это документ установленный формы, который необходимо отправить в территориальное управление Роскомнадзора в случае изменения данных, указанных в отправленном ранее Уведомлении об обработке (о намерении осуществлять обработку) ПДн. 
Отправить Информационное письмо в территориальное управление Роскомнадзора можно несколькими способами:

  • заполнить форму на сайте Роскомнадзора, распечатать и отправить ее в территориальный орган;
  • заполнить форму на сайте Роскомнадзора, подписать ее электронной подписью и направить в территориальное управление в электронном виде;
  • пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде.

Также можно внести соответствующие сведения в профиль и отправить Информационное письмо в электронном виде в территориальное управление Роскомнадзор с помощью ПК «АльфаДок». Не забудьте распечатать и направить то же самое Информационное письмо в бумажном виде в адрес вашего регионального управления Роскомнадзора.   

В случае изменения сведений, указанных в уведомлении об обработке (намерении осуществлять обработку) ПДн, оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов ПДн в течение 10 рабочих дней с даты возникновения таких изменений (часть 7 статьи 22 ФЗ-152 «О персональных данных»).

Срок рассмотрения Информационного письма исчисляется со дня его регистрации в территориальном управлении Роскомнадзора. Изменения в сведения об Операторе вносятся в Реестр не позднее 30 дней с даты регистрации Информационного письма.

Регуляторами в сфере обработки и защиты ПДн являются:

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – уполномоченный орган по защите прав субъектов ПДн, осуществляющий контроль и надзор за соответствием обработки ПДн требованиям законодательства Российской Федерации в области ПДн;
  • Федеральная служба безопасности (ФСБ России) – орган, осуществляющий контроль и надзор за организационными и техническими мерами защиты ПДн, связанными с применением средств криптографической защиты информации;
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, осуществляющий контроль и надзор по вопросам технической защиты ПДн.

Ежегодно в конце декабря территориальные управления Роскомнадзора публикуют на своих официальных сайтах план проведения плановых контрольных (надзорных) мероприятий, согласованный с органами прокуратуры. Проверить, попала ли Ваша организация в такой план на очередной год, можно на официальном сайте управления Роскомнадзора Вашего региона, либо на главной странице ПК «АльфаДок».

Регулятор уведомляет организацию о проверке за 24 часа до ее начала  путем направления копии приказа о проверке (как правило, по электронной почте).

В случае, если территориальные управления Роскомнадзора опубликовали планы проверок на год, сотрудники Службы поддержки ПК «АльфаДок» уведомляют действующих пользователей ПК «АльфаДок» о предстоящем плановом контрольно-надзорном мероприятии за 1-2 месяца. Также Вы сможете самостоятельно отслеживать наличие ближайших проверок в разделе «Панель управления» (виджет «Проверки регуляторов»).   

В целом процесс подготовки к проверке состоит из следующих шагов:

1. Проведение внутреннего аудита для анализа процессов обработки ПДн в организации.
В рамках аудита необходимо определить:

  • перечень информационных систем, в которых обрабатываются ПДн (ИСПДн «Кадровый учет», ИСПДн «Бухгалтерский учет» и т.д.);
  • цели обработки ПДн (например, для медицинских организаций основными целями являются выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению);
  • категории обрабатываемых в организации ПДн (например, ФИО, дата рождения, адрес, фотографии, семейное положение, место работы, сведения о состоянии здоровья и т.д.);
  • категории субъектов, ПДн которых обрабатываются в организации (сотрудники, клиенты, граждане).

2. Назначение лиц, ответственных за организацию обработки и за обеспечение безопасности ПДн.
Необходимо назначить ответственного за организацию обработки ПДн, как правило, это сотрудник из числа руководящего состава организации (директор или заместитель директора) или сотрудник отдела кадров. В качестве ответственного за обеспечение безопасности ПДн обычно назначают технического специалиста.

3. Разработка и утверждение необходимой документации.
ФЗ-152 «О персональных данных» от 27 июля 2006 года не регламентирует наименования документов, но определяет, какие процессы по обработке ПДн должны быть оформлены документально. Разрабатываемый в ПК «АльфаДок» пакет документов по защите ПДн включает в себя более 20 документов (с перечнем документов можно ознакомиться в разделе «Нормативно-правовая база»). Пакет документов обязательно должен включать в себя Политику в отношении обработки ПДн.

4.Подача уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор.
Уведомление об обработке ПДн можно отправить в электронном виде с сайта Роскомнадзора или из ПК «АльфаДок», где оно автоматически формируется из введенных ранее сведений. Распечатанную электронную форму необходимо направить по почте в Управление Роскомнадзора Вашего региона. В течение 30 дней организация будет внесена в реестр операторов ПДн. В случае изменений необходимо обязательно уведомить Роскомнадзор, подав информационное письмо с перечнем изменений. При формировании информационного письма в ПК «АльфаДок» перечень изменений генерируется автоматически.

Более подробно о видах государственного контроля и том, как выполнить требования законодательства в сфере защиты ПДн и подготовиться к проверке Роскомнадзора, эксперты ПК «АльфаДок» рассказали в следующем материале.

Внеплановые контрольные (надзорные) мероприятия, за исключением внеплановых контрольных (надзорных) мероприятий без взаимодействия, проводятся по основаниям, предусмотренным п.1, 3-6 ч.1 и ч. 3 ст. 57 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Внеплановые проверки могут проводиться по следующим основаниям:

  • наличие у Роскомнадзора сведений о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям либо выявление соответствия объекта контроля параметрам, утвержденным индикаторами риска нарушения обязательных требований, или отклонения объекта контроля от таких параметров.

Примечание. В целях оценки риска причинения вреда (ущерба) при принятии решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия Роскомнадзор разрабатывает индикаторы риска нарушения обязательных требований. Индикатором риска нарушения обязательных требований является соответствие или отклонение от параметров объекта контроля, которые сами по себе не являются нарушениями обязательных требований, но с высокой степенью вероятности свидетельствуют о наличии таких нарушений и риска причинения вреда (ущерба) охраняемым законом ценностям;

  • поручение Президента Российской Федерации, поручение Правительства Российской Федерации о проведении контрольных (надзорных) мероприятий в отношении конкретных контролируемых лиц;
  • требование прокурора о проведении контрольного (надзорного) мероприятия в рамках надзора за исполнением законов, соблюдением прав и свобод человека и гражданина по поступившим в органы прокуратуры материалам и обращениям;
  • истечение срока исполнения решения Роскомнадзора об устранении выявленного нарушения (предписания);
  • наступление события, указанного в программе проверок, если федеральным законом о виде контроля установлено, что контрольные (надзорные) мероприятия проводятся на основании программы проверок.

Возможно проведение внеплановой выездной проверки, внепланового инспекционного визита в случае поступления от контролируемого лица в Роскомнадзор информации об устранении выявленных нарушений обязательных требований. Предмет такой внеплановой выездной проверки и такого внепланового инспекционного визита ограничивается оценкой устранения нарушений обязательных требований, выявленных в рамках процедур периодического подтверждения соответствия (компетентности).

Организация проведения внеплановых контрольных (надзорных) мероприятий осуществляется в соответствии с положениями ст. 66 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством РФ ответственность, а именно: дисциплинарную, гражданско-правовую, административную, уголовную и иную ответственность.
Подробно размер и характер санкций за нарушение требований Федерального закона приведены в следующем материале.

Законодательство не определяет, кто из должностных лиц может быть назначен ответственным за организацию обработки ПДн.

В соответствии с ч.2 ст.22.1 Федерального закона «О персональных данных» от 27 июля 2006 года ответственный за организацию обработки получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему, к тому же на данного ответственного возлагаются функции по организации обработки ПДн, поэтому рекомендуется назначать работника из числа руководящего состава (например, заместителя руководителя), так как именно ему легче всего организовать обработку ПДн, а также делегировать часть возложенных функций.

Однако следует учесть, что это не является обязательным требованием. Исходя из нашей практики, ответственным за организацию обработки ПДн довольно часто назначают работника отдела кадров.

Эксперты ООО «НПЦ «КСБ» специально для пользователей ПК «АльфаДок» разработали методический материал по назначению ответственных лиц в ПК «АльфаДок».

Обработка специальных категорий ПДн (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) без согласия субъекта или его законного представителя допускается в случаях, перечисленных в ч.2 ст.10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года.

Обработка биометрических ПДн (отпечатки пальцев, сетчатка глаза и т.д.) может осуществляться без согласия субъекта ПДн в случаях, указанных в ч.2, ст.11 Федерального закона № 152-ФЗ «О персональных данных».

Обработка иных категорий ПДн без согласия субъекта или его законного представителя допустима в случаях, указанных в ч.1 ст.6 Федерального закона № 152-ФЗ «О персональных данных». А именно:

  • обработка ПДн необходима для выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
  • обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка ПДн необходима для оказания государственных и муниципальных услуг;
  • обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
  • обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
  • обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
  • обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона № 152-ФЗ «О персональных данных», при условии обязательного обезличивания ПДн;
  • осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В соответствии с ч. 3 ст. 6 Федерального закона 152-ФЗ «О персональных данных» от 27 июля 2006 года оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). В поручении оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 Федерального закона № 152-ФЗ «О персональных данных».

Пример: передача ПДн работника организации в кредитно-финансовые учреждения в целях начисления заработной платы относится к поручению обработки ПДн.

Под уничтожением ПДн, согласно п. 8 ст. 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года , понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Порядок документальной фиксации уничтожения ПДн субъекта определяется оператором ПДн самостоятельно. Уничтожение ПДн субъекта осуществляется созданной оператором комиссией либо иным должностным лицом, назначенным оператором. Наиболее распространенными способами документальной фиксации уничтожения ПДн субъекта является оформление соответствующего акта об уничтожении ПДн. Типовая форма акта приведена в приказе/распоряжении «О комиссии по уничтожению защищаемой информации, не содержащей сведения, составляющие государственную тайну».

По общему правилу, ПДн подлежат уничтожению в случаях: достижения целей обработки или утраты необходимости в достижении этих целей; выявления неправомерной обработки ПДн при невозможности обеспечить правомерность обработки; отзыва субъектом ПДн согласия на их обработку. При этом, если оператор не может в установленные сроки (10 дней – для случаев неправомерной обработки и 30 дней – в остальных случаях) уничтожить ПДн, то он должен осуществить их блокирование, а затем – в течение полугода обеспечить уничтожение (ст. 21 Федерального закона «О персональных данных»).

В соответствии с ч. 3 ст. 10 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006 года обработка ПДн о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. Также обработка сведений о судимости допускается в случае, если субъект ПДн предоставил согласие в письменной форме на их обработку (п.1 ч.2. ст. 10 Федерального закона № 152-ФЗ «О персональных данных»).

Согласно Федеральному закону №79-ФЗ и Указу Президента №609 к личным делам приобщаются копии паспортов, страховых свидетельств, копии актов гражданского состояния и иных персональных данных.

Роскомнадзор считает нарушением сбор лишних персональных данных, даже если работник дал на это согласие. Но в отношении государственных гражданских служащих хранение копии паспорта в личном деле прямо предусмотрено законом (п. 16 Положения, утвержденного Указом Президента РФ от 30 мая 2005 г. № 609). Таким образом, запрет на хранение копии паспорта в личном деле не распространяется на государственных гражданских служащих.

 

Примечание: Роструд высказал точку зрения, противоположную позиции Роскомнадзора: организация вправе хранить в личном деле работника копию его паспорта, СНИЛС, трудовой книжки и других документов, если сотрудник предоставил письменное согласие на обработку персональных данных. Однако суд встал на сторону Роскомнадзора (постановление ФАС Северо-Кавказского округа от 11 марта 2014 г. по делу № А53-10287/2013).

 

Исходя из сказанного, во избежание штрафов рекомендуется не хранить копии паспорта в личных делах работников, не относящихся к государственным гражданским служащим или иным категориям работников, хранение копий паспортов которых в личных делах предусмотрено законом.

Снимайте копии с документов, только если это необходимо, чтобы предоставить сотруднику гарантии и компенсации (пособия, путевки и пр). И храните копии, пока не достигли цели, для которой их снимали. Проверьте личные дела сотрудников. Если в них есть копии документов, которые вам уже не нужны, уничтожьте их. Например, в деле осталась копия справки о рождении ребенка, а пособия уже выплатили. Составьте акт об уничтожении справки и избавьтесь от нее (информация Роскомнадзора от 25 сентября 2015 г.). Будущие копии уничтожайте в течение 30 дней с даты, когда достигли цели обработки данных (ч. 4 ст. 21 Закона N 152-ФЗ). Порядок уничтожения нигде не прописан. Вы можете установить его самостоятельно.

В законодательстве нет прямых требований по хранению бумажных носителей ПДн в личных делах или в сейфах отдельно. Вы можете хранить согласия как в личных делах работников, так и отдельно. Места хранения документов Оператор определяет самостоятельно.

Однако, обратите внимание, сроки хранения личных дел (50/75 лет) и срок хранения согласий на обработку ПДн (3 года после истечения срока действия согласия или его отзыва, если иное не предусмотрено федеральным законом, договором) согласно Перечню типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденному приказом Росархива № 236 от 20.12.2019, как правило, не совпадают. Поэтому рекомендуем хранить согласия на обработку ПДн отдельно от личных дел. 

Также согласно п.15 постановления Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.

Если в помещения, где организовано хранение согласий на бумажных носителях ПДн, имеют доступ лица, не имеющие права доступа к этим ПДн, то рекомендуется хранить бумажные носители ПДн в запираемых шкафах/ящиках/сейфах, т.е. в любом удобном Оператору месте, исключающем несанкционированный доступ к этим материальным бумажным носителям. 

Также необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях. В случае с согласиями на обработку ПДн, цель хранения согласий на обработку ПДн совпадает.

ПДн, разрешенные субъектом ПДн для распространения – это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, в порядке, предусмотренном Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Согласие по данной форме необходимо получать в письменном виде у субъектов ПДн или их законных представителей в случае, если их ПДн планируется опубликовать на сайте. В случае распространения ПДн Оператор обязан получить с субъектов ПДн отдельное согласие (ч.1 ст.10.1). Требования к содержанию такого согласия были утверждены приказом Роскомнадзора от 24 февраля 2021 г. № 18 и вступили в силу 1 сентября 2021 г.

Согласие на распространение ПДн необходимо получать в письменном виде у субъектов ПДн или их законных представителей в случаях, если планируется предоставить к ПДн доступ неограниченному кругу лиц. Например, организация планирует опубликовать ПДн сотрудников на сайте.

Не нужно получать согласие по данной форме в 2 случаях:
1) если ПДн распространяются только в целях выполнения возложенных законодательством РФ на федеральные органы исполнительной власти, органы исполнительной власти субъектов РФ, органов местного самоуправления функций, полномочий и обязанностей (ч.15 ст. 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»);

Примеры. Государственные органы и органы местного самоуправления обязаны обеспечить доступ к информации о доходах, расходах, об имуществе и обязательствах имущественного характера государственных/муниципальных служащих и их членов семьи (Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»).
- если доступ неограниченному кругу лиц к ПДн субъекта был предоставлен до 1 сентября 2021 года и у Оператора есть доказательства, подтверждающие данный факт.

2) если доступ неограниченному кругу лиц к ПДн субъекта был предоставлен до 1 сентября 2021 года и у Оператора есть доказательства, подтверждающие данный факт (например, дата публикации ПДн на официальном сайте). Однако в этом случае рекомендуем иметь «под рукой» согласия субъекта ПДн на обработку ПДн и включение его ПДн в общедоступные источники.

Обратите внимание! Специально для пользователей ПК «АльфаДок» эксперты ООО «НПЦ «КСБ» разработали Методические рекомендации по заполнению типовой формы согласия субъекта ПДн на обработку ПДн, разрешенных субъектом ПДн для распространения.

Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года не устанавливает правила проведения оценки вреда субъектам ПДн. В данном случае необходимо руководствоваться представлением о том, какой потенциально вред может быть нанесен конкретной категории субъектов в случае нарушения оператором требований данного Федерального закона. К данным требованиям относятся:

  • соблюдение принципов и условий обработки ПДн (статьи 5, 6);
  • соблюдение прав субъекта ПДн (статьи 14-17);
  • исполнение обязанностей оператора, в том числе по защите ПДн (статьи 18, 18.1, 19, 20, 21, 22). 

Существует 3 вида вреда, который может быть причинен субъекту ПДн:

  • моральный вред – физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом;
  • имущественный вред – ущерб, нанесённый имущественному положению юридического или физического лица вследствие причинения ему вреда или неисполнения условий договора;
  • убытки – расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.

К примеру, для категории субъектов «работники» может быть актуален моральный ущерб. Таким образом  необходимо проанализировать возможный вред для всех категорий субъектов персональных данных.

В ПК «АльфаДок» проставьте флажки в соответствии с вредом, который может быть причинен субъекту ПДн. Уровень возможного вреда (низкий, средний, высокий) определится автоматически. Чем больше видов вреда для одной категории Вы отмечаете, тем выше будет оценка возможного вреда.

Изначально личное дело включает в себя документы, сопровождающие процедуру оформления приема на гражданскую службу, так как оно заводится сразу же после издания приказа о назначении на должность гражданской службы. В процессе прохождения службы личное дело пополняется другими документами.


Перечень документов, которые могут входить в личное дело гражданского служащего (п.16 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента РФ № 609 от 30 мая 2005 года):

  1. Письменное заявление о поступлении на гражданскую службу.
  2. Собственноручно заполненная и подписанная гражданином анкета с приложением фотографии.
  3. Документы о прохождении конкурса на замещение вакантной должности гражданской службы.
  4.  Копия паспорта и копии свидетельств о госрегистрации актов гражданского состояния.
  5. Копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы.
  6. Копии документов об образовании и о квалификации, а также документов о квалификации, которые подтверждают повышение или присвоение квалификации по результатам дополнительного профобразования, документов о присвоении ученой степени, ученого звания.
  7. Копии решений о награждении государственными наградами, почетной грамотой Президента РФ, об объявлении благодарности Президента РФ, присвоении почетных, воинских и специальных званий, присуждении государственных премий.
  8. Копия акта государственного органа о назначении на должность гражданской службы.
  9. Экземпляр служебного контракта, а также экземпляры дополнительных соглашений об изменении или дополнении служебного контракта.
  10. Копии актов государственного органа о переводе гражданского служащего на иную должность гражданской службы, о временном замещении им этой должности.
  11. Копии документов воинского учета.
  12. Копия акта государственного органа об освобождении гражданского служащего от замещаемой должности, о прекращении служебного контракта или его приостановлении.
  13. Аттестационный лист гражданского служащего, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период.
  14. Экзаменационный лист гражданского служащего и отзыв об уровне его знаний, навыков и умений (профессиональном уровне) и о возможности присвоения ему классного чина государственной гражданской службы.
  15. Копии документов о присвоении гражданскому служащему классного чина гражданской службы (или иного классного чина, квалификационного разряда, дипломатического ранга).
  16. Копии документов о включении гражданского служащего в кадровый резерв, а также об исключении его из кадрового резерва.
  17. Копии решений о поощрении, а также о наложении на гражданского служащего дисциплинарного взыскания до его снятия или отмены.
  18. Копии документов о начале служебной проверки, ее результатах, об отстранении от замещаемой должности.
  19. Документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную тайну (если исполнение обязанностей по замещаемой должности гражданской службы связано с использованием таких сведений).
  20. Сведения о доходах, имуществе и обязательствах имущественного характера гражданского служащего.
  21. Копия страхового свидетельства обязательного пенсионного страхования.
  22. Копия свидетельства о постановке физического лица на учет в налоговом органе по местожительству на территории России (ИНН).
  23. Копия страхового медицинского полиса обязательного медицинского страхования.
  24. Медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению.
  25. Справки о результатах проверки достоверности и полноты представленных гражданским служащим сведений о доходах, имуществе и обязательствах имущественного характера, а также сведений о соблюдении гражданским служащим ограничений, установленных федеральными законами. Указанные справки составляются кадровой службой.

Кроме того, в личное дело вносятся письменные объяснения гражданского служащего (если такие объяснения даны им после ознакомления с документами своего личного дела), а также иные документы, предусмотренные федеральными законами и иными нормативно-правовыми актами (п. 16 и п. 17 Положения, утвержденного Указом Президента РФ № 609). Представитель нанимателя не вправе приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные (п. 3 ч. 1 ст. 42 Закона № 79-ФЗ «О государственной гражданской службе Российской Федерации» от 27 июля 2004 года). Например:

  • о его политических, религиозных и иных убеждениях;
  • частной жизни;
  • членстве в общественных объединениях (в т. ч. в профессиональных союзах).
Документы личного дела брошюруются, страницы нумеруются, к личному делу прилагается опись. Кроме того, учетные данные гражданских служащих кадровая служба должна хранить на электронных носителях и обеспечить их защиту от несанкционированного доступа и копирования (п. 18 Положения, утвержденного Указом Президента РФ № 609).

Государственные информационные системы (ГИС) – федеральные информационные системы и региональные информационные системы (РИС), созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов. Основные признаки ГИС:

  • информационная система создана в целях реализации государственных функций и обязанностей (в том числе оказания государственных услуг);
  • создана за счет государственных/муниципальных средств;
  • создана на основании решения государственного органа.

К основным нормативным правовым актам, регулирующим процессы обработки и защиты информации (за исключением ПДн), содержащейся в государственных информационных системах и не относящейся к государственной тайне, относятся:

  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года;
  • Приказ ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11 февраля 2013 года;
  • и др., связанные с вышеуказанными, нормативные правовые акты. 

C полным списком нормативных правовых актов, регулирующих процессы обработки и защиты информации, Вы можете ознакомиться в разделе Нормативно-правовая база.

Регуляторами в сфере обработки и защиты информации, не относящейся к государственной тайне, являются:

  • Федеральная служба безопасности (ФСБ России) – орган, осуществляющий контроль и надзор за организационными и техническими мерами защиты информации, связанными с применением средств криптографической защиты информации;
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, осуществляющий контроль и надзор по вопросам технической защиты информации.

Несоблюдение требований законодательства в сфере защиты информации (ФСБ России, ФСТЭК России) может повлечь административную и уголовную ответственность. Размер и характер санкций приведен экспертами ООО «НПЦ «КСБ» в следующем материале.

Класс защищенности ГИС согласно приказу ФСТЭК России № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11 февраля 2013 года определяется на основании следующих показателей: масштаб ГИС (федеральный, региональный, объектовый); степень возможно ущерба в случае нарушения конфиденциальности, целостности и доступности (высокая, низкая, средняя).

Класс защищенности ГИС в ПК «АльфаДок» определяется автоматически на основе сведений, внесенных в программный комплекс.

Согласно Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года к объектам КИИ относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сферах здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей, и принадлежащие субъектам КИИ на праве собственности, аренды или на ином законном основании.

К основным нормативным правовым актам, регулирующим сферу обеспечения безопасности КИИ, относятся:

  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года;
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26 июля 2017 года;
  • Постановление Правительства РФ №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической» информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года;
  • Приказ ФСТЭК России № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» от 21 декабря 2017 года ;
  • Приказ ФСТЭК России № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» от 25 декабря 2017 года;
  • и др. связанные с вышеуказанными нормативные правовые акты.

C полным списком нормативных правовых актов, регулирующих сферу обеспечения безопасности КИИ, Вы можете ознакомиться в разделе Нормативно-правовая база.

  • Федеральная служба безопасности (ФСБ России) – устанавливает порядок информирования об объектах КИИ и инцидентах, определяет состав предоставляемой информации, проводит оценку безопасности объектов КИИ;  
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – орган, устанавливающий требования по обеспечению безопасности значимых объектов КИИ и осуществляющий контроль за выполнением требований по категорированию объектов КИИ и обеспечению безопасности значимых объектов.

Несоблюдение требований законодательства в сфере защиты объектов КИИ может повлечь административную и уголовную ответственность. Размер и характер санкций приведен экспертами ООО «НПЦ «КСБ» в следующем материале.

Да, в случае если ни один из показателей критериев значимости неприменим для объекта КИИ или объект КИИ не соответствует ни одному показателю критериев значимости и их значениям (п.6 Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).

После переоценки показателей критериев значимости необходимо направлять форму во ФСТЭК России в том случае, если меняется категория значимости объекта (п. 21 Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).

Также в случае изменения сведений, указанных в подпунктах «а» - «е» п. 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, необходимо направить во ФСТЭК России форму в печатном и электронном виде с актуальными сведениями не позднее 20 рабочих дней со дня их изменения (п.191 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации).
Документ «Сведения о результатах присвоения объекту КИИ категории значимости» формируются в ПК «АльфаДок» в форматах DOCX, PDF и ODS в соответствии со сведениями, внесенными в программный комплекс. В указанных выше случаях пользователю необходимо актуализировать информацию в ПК «АльфаДок», выгрузить документ и направить его во ФСТЭК России.

Да, по решению руководителя субъекта КИИ, имеющего филиалы, представительства, могут создаваться отдельные комиссии по категорированию ОКИИ в этих филиалах, представительствах.

Координацию и контроль деятельности комиссий по категорированию в филиалах, представительствах осуществляет комиссия по категорированию субъекта КИИ (п.11.2  Постановления Правительства РФ № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» от 8 февраля 2018 года).

Организация должна проводить процедуру категорирования в отношении тех информационных систем (ИС), автоматизированных систем управления (АСУ) или информационно-телекоммуникационных систем (ИТКС), которые являются объектами критической информационной инфраструктуры (КИИ) и на праве собственности, аренды или на ином законном основании принадлежат самой организации.

Проект методических рекомендаций по категорированию объектов КИИ, опубликованный на Портале оперативного взаимодействия участников ЕГИСЗ Департамента цифрового развития информационных технологий Министерства здравоохранения Российской Федерации под «иным законным основанием» подразумевает передачу прав пользования ИС, АСУ, ИТКС на основании правовых актов или решений собственника без передачи права собственности на них. Например: на основании договора безвозмездного пользования (ГК РФ, ст. 689), договора на право хозяйственного ведения (ГК РФ, ст. 294), договора на право оперативного управления (ГК РФ, ст. 296). Если у организации есть соответствующее право пользования региональной медицинской информационной системой, то это самостоятельный объект КИИ, в отношении которого необходимо проведение категорирования.

Также хочется отметить, что в разных регионах Российской Федерации к решению данного вопроса существуют разные подходы:

  • В одном регионе Минздрав может принять решение, что региональная МИС – это объект КИИ Минздрава и именно Минздрав в отношении указанной МИС будет проводить процедуру категорирования, а больницам такой объект выделять не нужно.
  • В другом регионе может сложиться совершенно обратная ситуация: Минздрав может настаивать, чтобы и больницы выделяли МИС как свой объект КИИ.

Поэтому рекомендуем уточнять данный вопрос непосредственно у Минздрава вашего региона. 

Наименование организации меняется только специалистами Службы технической поддержки ПК «АльфаДок». Сообщите в Службу поддержки ПК «АльфаДок» полное и сокращенное наименование Вашей организации в соответствии с Уставом через Онлайн-консультант (в правом нижнем углу экрана), специалисты внесут изменения в ПК «АльфаДок».

В ПК «АльфаДок» на данный момент предусмотрен выбор класса деятельности (т.е. первые 2 цифры кода) основного вида деятельности организации согласно ОКВЭД ОК 029-2014. На данный момент этого достаточно, так как данные сведения понадобятся только при формировании перечня бизнес-процессов на шаге «Бизнес-процессы» вкладки «Общие сведения», сам код и наименование деятельности в формируемых документах не отражаются.

В ПК «АльфаДок» необходимо указать цели обработки защищаемой информации (в том числе персональных данных), которые обрабатываются в организации.

Пример: выполнение требований трудового законодательства Российской Федерации в части ведения бухгалтерского учета; выполнение требований трудового законодательства Российской Федерации в части ведения кадрового учета; рассмотрение обращений граждан и т.д.

Эксперты ООО «НПЦ «КСБ» для пользователей ПК «АльфаДок» разработали методический материал с часто встречающимися целями обработки персональных данных. Формулировки из материала можно использовать в качестве примера для внесения сведений в программный комплекс. Однако перед тем как скопировать текст, внимательно его изучите. Возможно, потребуется адаптировать его под специфику деятельности именно Вашей организации.

Эксперты и разработчики ПК «АльфаДок» периодически проводят работы по обновленияю сервиса в связи с изменениями законодательства, предложениями пользователей, а также в рамках совершенствования программного комплекса. Пресс-релизы с описанием изменений в функционале программного комплекса размещаются и доступны пользователям сервиса в разделе «Обновления ПК «АльфаДок».

В случае появления новых вкладок или шагов в Мастере опроса часть функционала может стать недоступна до тех пор, пока не будут довнесены сведения в обязательных полях. Данные шаги и поля, как правило, подсвечиваются красным цветом. Ранее внесенные в ПК «АльфаДок» сведения сохранены и станут доступны после заполнения сведений в новых обязательных полях.

На вкладке «Общие сведения» на шаге «Бизнес-процессы» необходимо сформировать перечень бизнес-процессов, которые протекают и автоматизированы в рамках ИС/объектов КИИ организации.

При заполнении табличной формы рекомендуемыми экспертами ПК «АльфаДок» бизнес-процессами (опция доступна в случае заполненных полей «Класс основного вида деятельности» или «Класс дополнительного вида деятельности» на шаге «Сведения об организации») внимательно изучите перечень бизнес-процессов. Вероятнее всего, потребуется отредактировать его согласно специфике деятельности именно Вашей организации. При необходимости добавьте свои варианты бизнес-процессов.

Удалить записи из таблицы со списком сотрудников можно, отметив галочкой нужные записи и нажав кнопку «Удалить отмеченные». Удалить все записи одновременно невозможно, это предусмотрено во избежание случайного удаления всех записей.

Отредактировать конкретную запись в таблице можно, нажав кнопку «Изменить» напротив нужной записи.

Добавить новых сотрудников можно следующими способами:

  • внести по-отдельности сведения по каждому новому сотруднику (кнопка «Добавить сотрудника»);
  • загрузить перечень новых сотрудников организации единым списком (кнопка «Загрузить файл»). При этом имеющиеся записи останутся, новые записи добавятся в систему;
  • загрузить полный перечень сотрудников организации, т.е. содержащий и старые, и новые записи, единым списком (кнопка «Загрузить файл»). При этом записи, полностью идентичные имеющимся в системе, будут обновлены при загрузке файла, т.е. дублей не будет. Новые записи будут добавлены в систему. В случае, если у ряда сотрудников изменится должность, необходимо для данных сотрудников указать новое наименование должности в столбце «Новая должность».

Обратите внимание! При добавлении новых сотрудников предварительно, при необходимости, можно выгрузить имеющийся перечень сотрудников из ПК «АльфаДок» в формате Excel (выбрать всех сотрудников, отметив галочкой поле в строке заголовков таблицы, и нажать кнопку «Экспорт в Excel»), внести в файл новые записи, сохранить и затем снова загрузить файл в ПК «АльфаДок».

Также при необходимости удаления сотрудников и добавления новых можно воспользоваться функционалом: Меню рабочих столов / Рабочие ситуации / Сотрудники.

В этом случае необходимо вернуться на вкладку «Общие сведения» (шаг «Помещения и хранилища») и дополнить список помещений организации. Например: главный вход, коридор 1 этажа, коридор 2 этажа и т.д. Затем на вкладке «ПДн» (шаг «Перечень помещений, в которых установлены видеокамеры») достаточно выбрать из списка соответствующие помещения.

Если вкладка «ГИС» не заполнена и не активна (подсвечена серым цветом), перейдите на шаг «Перечень программных комплексов» вкладки «Общие сведения» и установите признак «ГИС» хотя бы для одного программного комплекса.

В случае, если в профиле имеется вкладка «ГИС», но организация не является владельцем государственных информационных систем или муниципальных информационных систем, обратитесь в Службу поддержки ПК «АльфаДок». 

При формировании Технического паспорта в графе «Разработал» будет отображаться сотрудник, указанный на вкладке «Ответственные» (шаг «Ответственный за обеспечение безопасности ПДн» или «Ответственный за защиту информации», или «Ответственный за обеспечение безопасности ПДн и за защиту информации»). Возможно несколько вариаций названия этого шага в зависимости от действующей лицензии ПК «АльфаДок».

На этом этапе заполнения данных можно выбрать одного или нескольких сотрудников, на которых возложена функция обеспечения безопасности ПДн или защиты информации. В случае выбора одного сотрудника он и будет указан в Техническом паспорте в графе «Разработал». В случае выбора нескольких сотрудников на шаге появляется поле «Разработку документов осуществляет». Его и требуется заполнить.

 

В информационном сообщении ФСТЭК России от 20.01.2020 № 240/24/250 говорится, что компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.

В соответствии с информационным сообщением, органам государственной власти и организациям, использующим для защиты информации версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 необходимо провести мероприятия по переходу на операционные системы, поддерживаемые их производителями.

В соответствии с приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. 
При этом:

  • в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.
  • В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

В соответствии с приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.

При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

  • в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 3 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 6 класса.

Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Учитывая вышесказанное в информационных системах достаточно применение сертифицированных по требованиям безопасности информации средств защиты информации, и операционных систем, поддерживаемых их производителями. Применение сертифицированных по требованиям безопасности информации операционных систем необязательно.

Как правило, номер лицензии на СЗИ можно найти в поставляемом комплекте документов на СЗИ. Однако если СЗИ было поставлено без лицензии, при добавлении СЗИ на шаге «Реестр СЗИ» в табличную форму «Сертифицированные наложенные СЗИ» рекомендуем в поле «Номер лицензии» проставить прочерк.

В соответствии с приказом ФСБ России № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» от 9 февраля 2005 года к СКЗИ относятся:

а) средства шифрования – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

б) средства имитозащиты – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи – аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

г) средства кодирования – средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации)

Установкой СКЗИ может заниматься только организация, у которой есть лицензия ФСБ на осуществление данного вида деятельности. Это требование изложено п. 12 Приложения к Постановлению Правительства РФ № 313 от 16 апреля 2012 года. В нем говорится об отнесении к лицензируемым видам деятельности монтажа и установки СКЗИ.

Для собственных нужд юридического лица допускается самостоятельно проводить работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства. В случаях, если юридическое лицо будет устанавливать СКЗИ или передавать СКЗИ другому юридическому лицу без лицензии ФСБ России, то данные действия будут являться нарушением п.1 Постановления Правительства РФ № 313.

Также за разъяснениями можно обратиться к Приказу ФАПСИ № 152 от 113 июня 2001 года. В данном документе говорится, что установкой и монтажом СКЗИ организация может заниматься самостоятельно, если у нее есть соответствующая лицензия, либо по указанию вышестоящей организации. В ином случае она должна привлечь стороннюю организацию-лицензиата на основании договора об оказании услуг по криптографической защите конфиденциальной информации (п.4 Приказа ФАПСИ от № 152)

Под взаимодействием систем и сетей подразумевается передача ПДн в системы и сети организации, в системы и сети других организаций, а также в рамках подключения систем организации к технологической системе, предназначенной для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Локальный доступ – доступ, осуществляемый через локальную вычислительную сеть или через сеть VPN, защищенную сертифицированными СКЗИ. Пример: подключение посредством удаленного рабочего стола.

Удаленный доступ – доступ, осуществляемый через сети связи общего пользования (например, Интернет) или выделенный канал связи. СКЗИ в данном случае могут использоваться для шифрования информации в случае ее передачи. Пример: https-подключение.

Чтобы проставить допуск сотруднику к СКЗИ необходимо:

  1. Перейти на шаг «Информационная инфраструктура» вкладки «Информационные технологии».
  2. Проставить в табличной форме «Перечень АРМ/серверов» доступ сотрудника (нажмите на кнопку «Изменить», расположенную напротив необходимого АРМ/сервера и в строке «Допуск сотрудников» выбрать из выпадающего списка сотрудников, имеющих доступ к данному АРМ/серверу).
  3. Перейти на шаг «Установка СЗИ», далее указать перечень АРМ/серверов, на которых установлено СКЗИ.

Тогда на шаге «Перечень лиц, допущенных к работе с криптосредствами» вкладки «Эксплуатация криптосредств» будут проставлены допуски к СКЗИ.
Если напротив Ф.И.О. сотрудника стоит зеленая галочка, то это означает, что у сотрудника есть допуск к СКЗИ. Если напротив Ф.И.О. сотрудника стоит красный крестик, то это означает, что данный сотрудник имеет допуск в помещения, в которых расположены СКЗИ (Допуск в помещение, где используется СКЗИ ставится на шаге «Перечень лиц, допущенных к работе с криптосредствами» вкладки «Эксплуатация криптосредств», для этого необходимо нажать на кнопку «Добавить сотрудника» и выбрать сотрудников имеющих допуск в помещения, где используется СКЗИ).

Для проставления доступа сотрудника к СКЗИ, которое связано с носителем ключевой информации, обязательно внесите сведения в полях «Владелец ключевого носителя» и «Связь со средством защиты». У выбранных сотрудников автоматически установится отметка о допуске к криптосредствам.

Специально для пользователей ПК «АльфаДок» в Портфеле документов на вкладке «Уникальные документы» и в Базе знаний содержатся подробные памятки по работе с пакетом документов в соответствии с приобретенной клиентской лицензией. 

Мы рекомендуем проводить актуализацию локальных актов по вопросам обработки и защиты ПДн в рамках мероприятия внутреннего контроля «Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ-152 «О персональных данных» от 27 июля 2006 года и принятым в соответствии с ним нормативным правовым актам». Запланировать данное мероприятие и определить его периодичность возможно в разделе «Операционная деятельность/Внутренние проверки/ К планированию». Периодичность данного мероприятия не определена законодательством и устанавливается на усмотрение оператора.

Также хотим отметить, что мы в обязательном порядке рекомендуем провести актуализацию локальных актов по вопросам обработки и защиты ПДн в случае предстоящей проверки регуляторов (Роскомнадзор, ФСТЭК России и ФСБ России).

  1. Проверьте свой тарифный план. Тарифный план можно посмотреть в разделе Меню (правый верхний угол рабочего стола пользователя).
  2. Если тарифный план содержит признак «ГИС» (например, ГИС.ПДн.Эксперт), проверьте заполнена ли вкладка «ГИС».
  3. Если вкладка «ГИС» не заполнена и не активна (подсвечена серым цветом), перейдите на шаг «Перечень программных комплексов» вкладки «Общие сведения» и установите признак «ГИС» хотя бы для одного программного комплекса.
  4. Заполните всю необходимую информацию на вкладке «ГИС», которая стала активна после выполнения предыдущего шага инструкции.
  5. Перейдите в рабочий стол «Документы», в раздел «Портфель документов», сформируйте и выгрузите необходимые документы.

Ответственный за обеспечение безопасности КИИ назначается независимо от присвоения категории значимости, т.к. данный ответственный предусмотрен в форме о результатах категорирования («Сведения о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»), которая утверждена приказом ФСТЭК России от 22.12.2017 № 236.

Указанные меры не сформированы в Портфеле документов ПК «АльфаДок» в виде отдельного перечня. К таким мерам относятся мероприятия, ограничивающие круг лиц, имеющих доступ к обработке ПДн и имеющих доступ в помещения с обработкой ПДн, а также мероприятия по обеспечению сохранности носителей ПДн. В частности, они реализуются утверждением следующих приказов, формирующихся в ПК «АльфаДок»:

  • «Об обеспечении безопасности материальных носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну»;
  • «Об обеспечении безопасности помещений, в которых размещены информационные системы, и сохранности носителей защищаемой информации».

Исходя из нашей практики, на указанный запрос Роскомнадзора достаточно предоставить эти 2 утвержденных приказа с приложениями.

Для ГИС 3 класса защищенности

  • ​длина пароля не менее 6 символов;
  • алфавит пароля не менее 60 символов;

  • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток;

  • блокировка программно-технического средства или учетной записи пользователя
    в случае достижения установленного максимального количества неуспешных попыток аутентификации от 5 до 30 минут;

  • смена паролей не более чем через 120 дней

Для ГИС 2 класса защищенности

  • длина пароля не менее 6 символов;

  • алфавит пароля не менее 70 символов;

  • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток;

  • блокировка программно-технического средства или учетной записи пользователя
    в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут;

  • смена паролей не более чем через 90 дней

Для ГИС 1 класса защищенности

  • длина пароля не менее 8 символов;

  • алфавит пароля не менее 70 символов;

  • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток;

  • блокировка программно-технического средства или учетной записи пользователя
    в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут;

  • смена паролей не более чем через 60 дней

 

Требования к усилению ИАФ.4 «Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации» установлены в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г.

 

?