ПДн. Эксплуатация. Перечни ФИО или должностей сотрудников?

Новости информационной безопасности




ПДн. Эксплуатация. Перечни ФИО или должностей сотрудников?

Ранее эта проблема уже обсуждалась, но всё ещё остается актуальной. Итак. Статьей 88 ТК РФ, Постановлением правительства №687, Постановлением правительства №1119, Постановлением правительства №211, приказом ФСБ №378 требуется установить и утвердить перечень лиц, допущенных к обработке ПДн.

Перечней может быть один, а может быть несколько (по допуску к разным ИСПДн, неавтоматизированной обработке ПДн, местам хранения ПДн, в помещения с СКЗИ, к работе с СКЗИ), не суть. Если организация достаточно большая, то в следствии текучки и кадровых перемещений приходится регулярно обновлять такие перечни.  Необходимо каждый день собирать информацию об изменениях, готовить приказ об утверждении перечня и утверждать его у руководителя Оператора.

В целях минимизации трудозатрат, небольшая часть встреченных мной организаций предпочитает вести перечни допущенных к … лиц включающие только должность и наименование подразделения.

   

Несколько лет назад региональное управление Роскомнадзора по ЮФО на семинарах и проверках категорически настаивало на том что перечни должны быть именными – содержать ещё и ФИО. Аргументы к этому были следующие:
·         Оператор обязан в документе определить лица, допущенные / уполномоченные обработке ПДн. Необходимо по каждому конкретному сотруднику понимать, допущен он к обработке ПДн или нет. Чаще всего в одном подразделении существует много ставок с одинаковым наименованием должности, что не позволяет без ФИО однозначно определить.
·         В перечнях лиц может быть указана какая-то специфика, актуальная только для конкретного сотрудника (отвечает за сохранность материальных носителей ПДн в таком-то кабинете, в таком-то шкафу, допущен к работе с каким-то специфическим СКЗИ). Без ФИО, перечень лиц будет неверно определять ответственных в таком случае.
Последние пару лет от местного Роскомнадзора уже не слышно такой четкой позиции по отношению к перечню лиц. Опять же встречал несколько операторов, которые ведут перечни допущенных лиц без ФИО, только с указанием должностей и подразделений.
К сожалению, не удалось найти судебной практики, содержащей случаи, когда у Оператора ведется перечень допущенных к обработке ПДн лиц, без указания ФИО. Если вы встречали что-то подобное, прошу поделиться информацией …
Было интересно, какая существует практика утверждения “перечня лиц” в областях не связанных с ПДн. Беглый просмотр около 100 последних публичных приказов и распоряжений об утверждении “перечня лиц” показал, что в более 90% случаев перечни содержат ФИО (примеры 1, 2, 3) но встречаются и варианты только с должностями (пример 4, 5).  

Для возможного разрешения данной проблемы задал вопрос в Роскомнадзор и Минкомсвязи. РКН традиционно ответили, что не комментируют законодательство РФ. А ответ Минкомсвязи привожу ниже.
%25D0%25BE%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582%2B%25D0%25BC%25D0%25B8%25D0%25BD%25D0%25BA%25D0%25BE%25D0%25BC%25D1%2581%25D0%25B2%25D1%258F%25D0%25B7%25D0%25B8.png
Как видно, орган государственной власти ответственный за нормативно-правовое регулирование в сфере ПДн считает что ФИО нужны.

А что вы думаете по поводу перечней лиц, ответственных/допущенных к .. ПДн?

Дата: 2017-09-13 03:26:08

Источник: http://sborisov.blogspot.com/2017/09/blog-post.html

минкомсвязи,нпа,пдн,роскомнадзор,сзпдн,эксплуатация,перечни