ФЗ 152 и несколько организаций в одной локальной сети


#1

Есть районная администрация и есть куча подведомственных учреждений в одной локальной сети.
Все работают с одними и теми данными на одних и тех же серверах.
Как юридически правильно все это описать (в положение об обработке пдн может что добавить) и соответствовать законодательству?


#2

Уточните, пожалуйста, какие данные “ходят” по сети? Неужели данные всех работников доступны всем? Или это единая информационная система какая-то? Я так понимаю, что учёт работников, бухгалтерский учёт должны вестись раздельно, ведь это всё разные юрлица.
Как минимум работники должны быть письменно предупреждены, что информация о них доступна через эту систему, и в положении должно быть указано, что это за система, и что данных хранятся в ней. Если есть граждане, данные которых попадают в эту сеть, то в уведомлении об обработке, это тоже надо учитывать. Если за эту систему отвечает какое-то одно лицо (организация), то можно просто прописать ( в Положении о ПДн каждой организации), что данные на обработку передаются вот этой организации.
Хотя с моей точки зрения это всё в принципе неправильно, когда всем в сети доступно всё - всегда можно разделить сеть и доступ к данным, даже на одних серверах. Поэтому хотелось бы видеть уточнение по тем ПДн, которые в этой сети.


#3

Прочитал Вас и понял, что немного переборщил. Все данные, конечно ж, всем недоступны. Доступ, например, к “1С Бухгалтерия” есть только у сотрудников бухгалтерии.
Акцент я хотел сделать на том, что несколько организаций находятся в одной локальной сети. Насколько это соответствует законодательству о ПДн? Достаточно ли разграничения доступа, и надо ли тогда это как-то описать?

Есть файловые серверы, есть электронный документооборот, общие для всех. Т.е. в положении и в согласиях указывать, что к этим данным имеют доступ сотрудники всех десяти подведомственных учреждений?


#4

Вопрос технический или организационный?
Организационно я вижу два пути: поручение на обработку или передача ПДн. Все же этот вопрос надо в первую очередь решить, а затем переходить в технической части

Тут нужно уточнить: почему все работают с одной условной базой?
Речь про сотрудников или про граждан?
Какие взаимоотношения организаций, которые собрались в одной сети?

Технически все можно организовать, вопрос только в стоимости решения. Возможно разделить сеть на vlan’ы, можно использовать персональные МЭ на каждом хосте в сети и по ним проводить границу ИСПДн каждого учреждения, можно пользоваться VPN (VipNet самый распространенный) внутри локальной сети.

И самая главная загвоздка тут в том, что если одна компания предоставляет услуги по защите информации другой компании, то у первой должна быть лицензия ТЗКИ. А это уже сильно усложняет и удоражает систему защиты. Если сервер один, то он кому-то да пренадлежит, скорей всего одной организации, а не всем понемногу. Значит и систему защиты кто-то один будет строить, а остальные пользоваться.


#5

Сейчас на серверах можно поднять виртуальные серверы, доступ к которым ограничен в пределах одной организации. Виртуальный сервер можно оформить в пользование или аренду - это чтобы формально показать, что арендуется именно отдельный сервер. С данными по сети вопрос более сложен, как Данил пишет, неплохо бы по VPN или хотя бы VLAN распихать, настроив только маршрутизацию между сетями для документооборота. Хотя эти меры, понятно, скорее для Роскомнадзора, от его придирок.
Я думаю, если вы четко разграничите доступ и работники одних организаций не будут иметь доступа к данным работников и клиентов других организаций, то требования выполняются. Если только вы в сети не храните специальные персональные данные, по которым требования более строгие - там действительно надо применять особые условия по защите данных. Если через документооборот передаются только официальные письма, запросы и т.п., то есть по сути этот процесс аналогичен обычной работе организаций с письменными документами, поэтому не думаю, что в таком случае где-то что-то надо менять.


#6

Двоим ответить одновременно нельзя, поэтому напишу отдельным ответом.

Давайте я опишу ситуацию более подробно и сначала. Думаю, это поможет найти нам ответы на мои вопросы.
Было когда-то одно большое учреждение - районная администрация. Какое-то время назад периодически стали приходить требования сократить штат в целях оптимизации бюджета. Дабы работа не остановилась из-за нехватки сотрудников, было принято решение создать подведомственное учреждение и сокращенных сотрудников принять на работу в это учреждение. Так появилось муниципальное казенное учреждение “Бухгалтерия Администрации …”. Требование сверху выполнено, работников сократили, деньги администрации сэкономили. По факту они даже с места не сдвинулись, как работали, так и работают на своих местах, поменялась только запись в трудовой. Затем также создано еще одно МКУ, которому переданы здания, транспорт, сторожа и пр. Затем еще одному передана вся компьютерная техника, сетевая инфраструктура и айтишники. И т.д. и т.п. Сейчас таких подведов больше десяти.

Еще раз. Все работники, как выполняли свои обязанности при работе в администрации, так и продолжают их выполнять. В силу этого разграничить доступ между организациями, наверное, не имеет смысла. Приходит, например, заявление в администрацию. Сотрудник отдела по работе с обращениями граждан читает его и в системе электронного документооборота отправляет в отдел в вопросам семьи и детства, которое является отдельным юр. лицом. Те, в свою очередь, обработав заявление, могут отправить его дальше, например, в юридический отдел, который тоже, например, отдельное юр. лицо.

Специальные персональные данные также могут присутствовать, ибо в обращении гражданин может написать все, что угодно.

По сути, из общих для всех программ, есть только электронный документооборот. К “1С Бухгалтерии”, как я писал выше, имеют доступ только сотрудники Бухгалтерии и айтишники (из другого подведа). Программа 1С куплена Бухгалтерией, серверы и прочее принадлежит другому подведу, в 1С обрабатываются ПДн сотрудников всех подведов.

Вне электронного документооборота доступ друг к другу никто не имеет, но меня смущает нахождение всех в одной локальной сети. Устанавливать персональные МЭ… Нууу… Лучше без этого.

Какими организационными мерами (договорами, соглашениями, регламентами, согласиями) привести все это в соответствие законодательству? Вопросы я задаю ради избежания санкций со стороны Роскомнадзора и прочих проверяющих организаций.

З.Ы. А вот с лицензией на ТЗКИ очень стало интересно. ПДн в эксельку вбивает девочка из Администрации, комп принадлежит подведу, офис на нем принадлежит подведу, антивирус на него устанавливают сотрудники этого же подведа. В таком случае лицензия, как я понимаю, не нужна?

З.Ы.Ы. Спасибо за ваши ответы. Пока формулировал вопросы, кирпичики в голове понемногу начинают складываться)


#7

@farid давайте сначала решим юридическую сторону вопроса, а затем уже будет ясно, как технически реализовать систему защиты информации. Иначе получается Вы строите систему защиты незаконно полученной информации.

По ФЗ-152 Вы можете или передать ПДн другому ЮЛ, или поручить ему обработку. При передаче - отдали данные и забыли, что там получатель делает с ними, это Вас уже и не волнует. При поручении - Вы устанавливаете цели обработки, способы обработки и руководите процессом.

Процесс передачи ПДн не регламентируется явно ФЗ-152, но предполагаем, что субъект ПДн должен быть явно проинформирован об этом и получено согласие на обработку. Согласие можно не брать, если есть законные основания на передачу.

Поручение на обработку описано в ч. 3 ст. 6. И тут тоже требуется согласие субъекта и соглашение сторон (двух ЮЛ).

Нужно выбрать что-то. Речь не о технологиях, а о информационных потоках. Сможете все оформить юридически, считайте, что половина дела сделана.

Хотя организации и подведомственны и полностью зависят от головной, и все сотрудники работают, как работали раньше, но все же это разные ЮЛ со своими взаимоотношениями. По опыту проверок РКН, я точно знаю, что за рамки деятельности одной конкретной организации они не выйдут, поэтому если есть получение-передача то эти действия должны иметь правовое обоснование.


Пока Вы не столкнетесь с необходимостью кому-то поручить установить сертифицированные СЗИ, Вы не будете знать о такой проблеме. Но она есть. Есть ФЗ “О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ”, и если ЮЛ оказывает услуги по защите информации (в т.ч. устанавливает антивирусы, МЭ и пр.), то оно должно иметь лицензию на ТЗКИ.


#8

@Danil

Вот именно за этим я сюда и пришел)

Своим первым вопросом я как раз и спросил как это сделать.

Вроде бы ФСТЭК публиковала информационное сообщение о необязательности лицензии на ТЗКИ для собственных нужд.


#9

Выше уже писал:

Из того описания, что Вы дали, мне пока нечего добавить. Других способов я не знаю и не встречал. Что Вас смущает?

Да, только нужды не собственные в Вашей схеме взаимодействия. У Вас несколько подведомственных организаций, и одна из них будет оказывать услуги по защите информации другим, и вот тут проходит граница когда необходима лицензия. Было бы без разделения, было бы свое подразделение и этого вопроса не возникло бы.

Предвидя гору сложностей в оформлении бумаг, сбора согласий на передачу, необходимость в привлечении лицензиата ТЗКИ, может вернуть все обратно?


#10

Хорошо, я Вас понял.

Но комьютеры тоже ведь принадлежат подведу.
Если я компьютер сдаю в аренду и обслуживаю его, мне нужна лицензия на ТЗКИ?

Неа, денег нет все это содержать