Несколько вопросов по защите ПДн - Форум по вопросам информационной безопасности

Возникло несколько вопросов по защите ПДн:

1. организовывая защиту ПДн в школе или там в детсаде, нужно ли руководствоваться ПП РФ 211 и Приказом ФСТЭК 17, или же достаточно 21 приказа ФСТЭК и ПП РФ 1119

2. есть фотографии с детьми на стендах, некоторые сфотканы организацией (работает с детьми) некоторые просто взяты из интернета, что нужно ответить при проверке регулятора? то что это обезличенные ПДн, или нужно подписи о согласии брать с неизвестных нам детей? если так, то получается надо снимать их...

3. при уходе человека в отпуск, работа с ПДн на его компе должна продолжаться, каким образом реализуется передача пароля на время отпуска? в письменном виде? а после отпуска пароль изменяется?

User | 54342

1. ПП РФ 211 относится к государственным или муниципальным органам власти, к которым школы и детсады никак не отнесешь.
Приказ ФСТЭК 17 касается государственных информационных систем. Если ваша ИСПДн в детсаду признана ГИС, что вряд ли, то тогда работайте по 17 приказу.
2. Думаю с детей проблематично взять письменное согласие на обработку их персональных данных, тем более если под фото не указаны их Ф.И.О.
3. Если на ПК должны работать несколько пользователей, то у каждого должна быть своя учетная запись и свой пароль. И передавать никому ничего не нужно. А парольная политика должна быть определена в соответствующих организационно-распорядительных документах - инструкциях, приказах и т.д.

спасибо, но что отвечать регуляторам при проверке по поводу второго вопроса непонятно, ну конечно если они его зададут, а так спасибо за ответы

2User
1. Да, действительно из текста 211 ПП следует, что:
Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами

Однако школы и детские сады (особенно государственные) подчиняются соответствующему муниципальному органу (например, комитету по образованию) поэтому в данном случае всего спросить: считают ли они, что ПП 211 необходимо применять в подведомственных учреждениях или нет?
И думаю. что Вам ответят - Считают применять.

И тут решайте сами будете спорить с ними или нет.

"Однако школы и детские сады (особенно государственные) подчиняются соответствующему муниципальному органу (например, комитету по образованию) поэтому в данном случае всего спросить: считают ли они, что ПП 211 необходимо применять в подведомственных учреждениях или нет? И думаю. что Вам ответят - Считают применять. - "

Подведомственное учреждение не является органом (власти), и не только по этому вопросу, но и организация дсп-делопроизводства, бухгалтерские особенности; поэтому без письменного ответа (с исходящим номером) об обязательности применения ПП 211 можно получить по шапке, например, за нецелевое расходование средств на ТЗИ от других проверяющих )))

Кстати, вроде бы школы и детсады бывают частные и муниципальные, государственные - это федерального подчинения?

Что вы путаете людей знатоки в области ЗПД. Школы и детсады являются муниципальным учреждением и для них обязательно исполнение всех приказов постановлений правит-ва и РД в области защиты ПДн. Цитата: муниципальные информационные системы, созданные на основании решения органа местного самоуправления. Например создание виртуальной школы или электронного дневника принято на основании распоряжения непосредственно гос. органа власти, вот поэтому это и ГИС.

Уважаемый user если Ваше образовательное учреждение муницип-е либо гос-е, то для вас исполнение ПП РФ 211 и Приказа ФСТЭК 17, 21, пп 1119 является обязательным и это табу.

"Школы и детсады являются муниципальным учреждением и для них обязательно исполнение всех приказов постановлений правит-ва и РД в области защиты ПДн"

Неужто ВСЕХ?

Что же касается ГИС, то какую систему считать ГИС, а какую нет точно не знает даже сам ФСТЭК. По этому поводу в форуме уже было достаточно большое обсуждение и в итоге - сколько людей, столько и мнений. Поэтому не нужно свою точку зрения выставлять как единственно правильную. К тому же задававший вопрос не писал о том какая именно у него система, обрабатывающая ПДн

Практик

С точки зрения контролирующих органов я не знаю, как они отнесутся к тому, если муниципальные учреждения (НЕ органы власти) не будут применять те же меры защиты, что и ГМО, но знаю, что на практике ГМО в ведении которых находятся образовательные учреждения, учреждения культуры, медицинские учреждения обязывают выполнять все необходимые мероприятия как для органов власти (естественно с поправкой на уровни и классы защищенности).

Моё мнение, что ПП 211, думаю, применять в любом случае, тем более это "мелочевка".
Что до 17 приказа ФСТЭК то для НЕ органов власти и если нет точек с доступом в МИС или ГИС - не применять.

P.S.
Точка доступа в МИС или ГИС - это, когда оператором является госорган и более того, сам определяет систему, как МИС или ГИС.

2 ДНК

Поймите простую вещь: проверки и планирование бывают не только по линии ФСТЭК.
И если Ваше "расширенное экспертное толкование" не подтверждено официально органом власти, которому учреждение подведомственно (а юристы и бухгалтеры в них не любят самодеятельности), то лично Вы выполнять любые требования, но материальное обеспечение и административная поддержка будут минимальными.
Поэтому считать ГИС (МИС) систему, не внесенную в реестр, применять ПП 211 к подведомственным учреждениям - право ответственного, а обязанностью оно станет, когда такое понимание темы официально подтверждено либо регулятором, либо руководством.

Кстати, Ваше "на практике обязывают выполнять" относится к какому масштабу статистики?
Просто (кроме медицины, где более-менее "вертикаль" ТЗИ) мне массовые соответствия "всем правилам" не попадались, но я и не изучал распространенность.