НОСТРОЙ замыкает периметр информационной безопасности и советует СРО сделать то же самое
Сначала января саморегулируемые организации – члены Государственного объединения строителей – получили письмо, в каком СРО – операторам Государственного реестра профессионалов предписывалось провести мероприятия по защите индивидуальных данных. По другому операторов могли отключить от НРС.
Так как письмо вызвало разноплановую, а время от времени и нехорошую реакцию управляющих СРО, Агентство новостей «Строительный бизнес» решило разобраться, что все-таки конкретно НОСТРОЙ имел в виду, требуя от СРО ввести защиту индивидуальных данных членов НРС. Приобретенная информация показала, что неувязка верно распадается на две части: безопасность индивидуальных данных Государственного реестра профессионалов и безопасность индивидуальных данных, с которыми работает любая СРО. И они фактически не пересекаются.
Защита как требование закона
Напомним, что Федеральный закон № 152-ФЗ «О индивидуальных данных» принят в 2006 году, в него повсевременно вносятся конфигурации и дополнения, но сущность закона от этого не изменяется: в нем прописаны аспекты отнесения инфы к индивидуальным данным и обязанности тех, кто с ними работает, по организации защиты этой инфы.
По сути индивидуальными данными людей оперирует любая бухгалтерия либо бюро пропусков, так как к ним относится неважно какая информация, связанная с именованием, отчеством и фамилией человека. Защищать индивидуальные данные организации должны в любом случае, вне зависимости от согласия гражданина, который их предоставил, а при работе с большенными массивами инфы (более 100 тыщ человек) нужно проводить определенные мероприятия, включающие криптозащиту и аттестацию рабочих мест.
НОСТРОЙ столкнулся с необходимостью всеохватывающей защиты индивидуальных данных сходу после начала формирования Государственного реестра профессионалов в 2017 году, так как кроме общественной инфы о члене НРС в распоряжении НОСТРОЙ оказалось огромное количество дополнительных индивидуальных данных, которые нужно защитить (паспортные данные, СНИЛС, сведения с места работы и т.д.). Необходимо сказать, что в адресок НОСТРОЙ высказывались претензии о том, что работа по защите данных не организована подабающим образом, но процедура эта была начата сразу после получения первых пакетов документов. Другой вопрос, что она оказалась сложной, долговременной и достаточно накладной, потому окончил ее НОСТРОЙ только к сентябрю 2019 года.
Что все-таки было изготовлено, чтоб защитить индивидуальные данные согласно закону? Как поведал Агентству новостей «Строительный бизнес» (АНСБ) заместитель исполнительного директора НОСТРОЙ Валерий Карпов, большой системный проект начался в 2017 году с выявления угроз и разработки технических предложений по их предотвращению. В течение 2018-2019 годов все нужные мероприятия были проведены, все сотрудники, работающие с индивидуальными данными, также архивы перемещены на отдельный этаж, при этом доступ туда предоставляется только по специальному пропуску и под запись в журнальчике.
После чего особая организация провела проверку и выдала НОСТРОЙ аттестат о том, что защита индивидуальных данных соответствует всем требованиям закона. Процедура доказательства соответствия содержит в себе аттестацию дата-центра, серверов, оборудования и помещений в кабинете НОСТРОЙ.На все серверы было поставлено программное обеспечение, сертифицированное ФСБ. При всем этом любые конфигурации на сервере также сертифицируются. На данный момент система АИС НРС находится в защищенном периметре, и доступ в этот периметр вероятен только через дешифратор в дата-центре, а связь проходит по защищенному каналу, с незащищенного компьютерав этот периметр попасть нереально. Таким макаром, защита индивидуальных данных, организованная НОСТРОЙ, соответствует требования закона.
СРО штурмуют периметр
Но, как оказывается, в этом идеально организованном периметре безопасности есть не просто дырочка, а большая дыра, через которую может утечь неважно какая информация. И дыра находится на стороне СРО – операторов Государственного реестра профессионалов.
Напомним, что после начала загрузки данных в НРС многие СРО получили статус операторов для того, чтоб посодействовать своим членам приготовить и оперативно передать пакеты документов на сотрудников-членов НРС. НОСТРОЙ после маленький проверки отдал таковой статус более 150 СРО по всей стране. Но фактически ни одна СРО, работая с пакетами индивидуальных данных для НРС, не установила у себя защиты, которая предписана в 152-ФЗ. А закон просит, чтоб у всех операторов НРС былиаттестованы те рабочие места и техника, которые подключаются к АИС НРС для передачи данных. При всем этом степень защищенности этих рабочих мест не может быть ниже, чем степень защищенности самой АИС НРС. Другими словами, если у АИС НРС 3-ий уровень защищенности, то и рабочие места у операторов НРС также обязаны иметь 3-ий уровень.
Как узнал НОСТРОЙ, начав работу по аттестации рабочих мест у СРО – операторов НРС, половина из их даже не зарегистрированы в Роскомнадзоре как организации, работающие с индивидуальными данными людей, что нужно было сделать еще два года вспять. 30 СРО, имея статус оператора АИС НРС, в систему вообщем не разу не входили и неясно для чего получали этот статус. НОСТРОЙ в декабре прошедшего года лишил эти СРО статуса оператора НРС. Еще одна группа СРО –те, кто зарегались в Роскомнадзоре, но мероприятия по защите индивидуальных данных проводят по минимуму.
НОСТРОЙ обратился ко всем этим СРО с настоятельной просьбой провести защиту канала передачи данных в АИС НРС на том же уровне,как в НОСТРОЙ, чтоб замкнуть периметр безопасности. Если в СРО таковой защиты нет, НОСТРОЙ не станет рисковать индивидуальными данными и будет обязан лишить СРО статуса оператора НРС. Соответственное письмо было ориентировано всем СРО – операторам НРС. Им предложено в 20-дневный срок или окончить надлежащие мероприятия по защите индивидуальных данных для АИС НРС, или отрешиться от статуса оператора. Но некие СРО сочли это письмо как попытку вынудить их провести дополнительные мероприятия и понести дополнительные издержки по защите всех индивидуальных данных, которые имеются в их распоряжении.
– Некие СРО попросили дополнительно время на проведение защитных мероприятий. Естественно, мы пойдем им навстречу, – поведал АНСБ исполнительный директор НОСТРОЙ Виктор Прядеин. – Но ряд управляющих СРО считают, что они не должны это делать в большем объеме, чем уже сделали,что НОСТРОЙ вмешивается в их внутреннюю работу и предъявляет еще какие-то дополнительные требования по защите индивидуальных данных СРО. Это не так – мы предъявляем требования к безопасности в части нашей системы АИС НРС. Мы на данный момент должны окончить завершающий шаг по защите индивидуальных данных и убрать доступ в систему с незащищенных рабочих мест. Практически, мы приводим систему в то состояние, по которому она была аттестована. Другими словами, вход в нее будет только через шифрующее устройство.Потому те операторы НРС, которые не сумеют провести все нужные мероприятия, просто не сумеют войти в систему.
Полностью может быть, что многим СРО стоит задуматься, нужен ли им статус оператора НРС. Как узнало АНСБ в процессе бесед с некими руководителями СРО, на данный момент оператор передает в НОСТРОЙ 3-5 пакетов документов за месяц, потому смысла устанавливать у себя сложную дорогостоящую защиту нет. Некие СРО оценивают мероприятия по защите индивидуальных данных по требованиям НОСТРОЙ в 300 тыщ рублей и выше на одно рабочее место. При всем этом Валерий Карпов провел собственный мониторинг, который показал, что фактически во всех регионах работают сертифицированные компании, который за разработку нужных документов, поставку и установку программного обеспеченияи проведение аттестации 1-го рабочего места требуют от 40 до 60 тыс. рублей (их предложения есть в распоряжении редакции). Естественно, эти суммы существенно меньше ожиданий СРО, но с учетом малозначительного объема обрабатываемых ими документов, растрачивать и эти средства нецелесообразно. Так что СРО уже сейчас начали добровольно отрешаться от статуса оператора. Но при всем этом никто не воспрещает им посодействовать своим компаниям верно оформить документы для подачи в нацреестр профессионалов, а потом они могут быть оправлены по почте либо привезены сотрудником лично в кабинет НОСТРОЙ.
Строитель, ты с кем поделился своими данными?
Осталось осознать, почему вдруг защита индивидуальных данных стала таковой жаркой темой для НОСТРОЙ? На этот вопрос АНСБ ответил Виктор Прядеин:
–Во-1-х, мы увлечены защитой индивидуальных данных уже пару лет и делаем это в силу требований закона. Во-2-х, НРС – это база данных федерального уровня, в какой более 200 тыщ пакетов индивидуальных данных профессионалов строительной отрасли. Потому НОСТРОЙ, чтоб накрепко защитить данные и не попасть под санкции Роскомнадзора, должен делать требования закона. А часть требований автоматом перебегает и на те каналы, по которым СРО – операторы НРС передают информациюнам. НОСТРОЙ, выстроив систему защиты данных у себя снутри, должен сделать так, чтоб никакая информация снаружи не могла попасть по незащищенным каналам.
Практически НОСТРОЙ, подняв этот вопрос со собственной системой, поставил вопрос перед всем обществом: как вы защищаете индивидуальные данные ваших членов, служащих ваших членов, ваших органов управления, ваших работников? Полностью может быть, что СРО об этом даже не думают – а напрасно, закон один для всех! И мы готовы в рамках нашей прямой уставной деятельности посодействовать СРО сделать такую защиту, проводить круглые столы, завлекать Роскомстройнадзор для объяснений.
– В чем опасность невыполнения требований по защите индивидуальных данных и в НРС, и в СРО?
– Эти индивидуальные данные могут быть похищены жуликами и выплыть где угодно. К примеру, сам спец подал свои данные в Нацреестрот одной организации, а позже, после сверки базы данных нескольких СРО, оказался сотрудником еще ряда организаций по всей Рф, даже не зная об этом.
А когда этот сотрудник выходит на пенсию, вдруг оказывается, что прибавка к пенсии ему не положена, так как он – работающий пенсионер. Другими словами, организация, которая каким-то образом получила индивидуальные данные спеца НРС, фиктивно оформила его на должность с маленьким окладом, исправно платит на него налоги, а в действительности сотрудник при выходе на пенсию теряет положенные ему льготы. И начинается длинноватая процедура по установлению правды. Это один из вариантов. Но эти данные могут употребляться в всех других жульнических схемах.
Но я уверен, что источник этих данных – не СРО и тем паче не НОСТРОЙ. Наши строители – люди, по большей части, наивные и тотчас даже не думают, кому и как они передают свои индивидуальные данные. К примеру, проходя увеличение квалификации в учебных центрах, они предоставляют им целый пакет индивидуальных данных. А кто и как их там защищает?
2-ой вариант – бессчетные консалтинговые компании, которые «помогали» кандидатам в НРС оформить пакеты документов – и получили доступ к большому массиву индивидуальных данных. Уверен, никто из профессионалов даже не думал о том, а что далее эти консультанты делали с их индивидуальными данными и как их защищали?
Потому НОСТРОЙ, защищая данные в НРС, безотступно рекомендует и СРО, и членам СРО заняться этим же самым. При всем этом нет необходимости аттестовывать все рабочие места и растрачивать излишние средства – любая СРО должна найти, кто из служащих и с каких компов будет работать с индивидуальными данными.
Желаю снова выделить: закон о защите индивидуальных данных – это закон прямого деяния для всех организаций, имеющих с ними дело. Никаких других законов либо документов для того, чтоб исполнять требования закона 152-ФЗ, не надо.
При всем этом СРО знают, что не исполняют закон, но исправлять ситуацию не спешат. Многие считают, что если они уведомили Роскомнадзор о том, что работают с индивидуальными данными, то на этом все и завершается. А ведь источник утечек данных выявляется очень стремительно, и это является поводом для проведения проверки Роскомнадзора и получения огромных штрафов. Так что всем руководителям СРО стоит задуматься над этим вопросом.
На последнем заседании Совета НОСТРОЙ 7 февраля вопрос о необходимости защиты индивидуальных данных, передаваемых операторами в АИС НРС, дискуссировался очень бурно. В конечном итоге Антон Глушков отдал поручение Экспертному совету проработать юридическую сторону вопроса и вынести его на последующее заседание Совета (которое, кстати, состоится 19 марта в городке Калининграде). Ранее разговора решено никаких операторов кроме их воли от системы не отключать.
Цифра «6» самоклеящаяся 40х32 мм пластик цвет матовое золото
Цифра 6 SG создана для размещения на дверном полотне с целью обозначения номера помещения. Изделие произведено в Китае торговой маркой Lamplandia. Символ имеет прекрасный цвет матового золота, способный красиво выделить дизайн дверей. Цифра сделана из пластика, не содержащего вредных добавок. Размер изделия – 40х32 мм – позволяет просто принимать информацию.
Достоинства:
- на тыльной стороне числа нанесен клеевой слой, позволяющий просто укреплять ее к двери;
- символ крепко держится на поверхности, не отклеивается во время эксплуатации;
- изделие не деформируется под воздействием температуры и воды.
Магазин предлагает приобрести самоклеящиеся пластмассовые числа разных цветов и размеров по симпатичной стоимости.