у нас на ро, ну человеек 5-7  админов адекватных и качевтеных, безопасников.. 1  и тот не админ, а интегратор

да временный за 5 лет

хотя можно и за 50 сказать, ничего не измениться в показателях

Ну, это не так

Прошу извинить, что нафлудили

👆

Я вот с образования, а в каждый детский сад по безопаанику не посадишь, Ла и сам не из иб, волей неволей приходится заниматься вообще всем подряд, так как людей очень мало, на все направления не набрать. Так вот вопрос такой, у нас есть учреждение, которое ведёт бухучет всех школ, садиков. Необходимо ли щаключать договор поручения со школами и садами в части обработки пдн и как он вообще выглядит?) И да юристов у нас тоже нет😊

Бухучет-бухучету рознь. Если при этом обрабатываются ПДн, например выполняются функции по начислению з/п сотрудникам учреждений, то однозначно нужно. Форму договора можно погуглить, но, обычно форму договора для централизованных бухгалтерий устанавливает либо администрация субъекта РФ, либо администрации муниципального образования. В договоре нужно прописать обязательные требования в соответствии с 152фз. Вместо договора может быть гос. или муниципальный акт.

Да там в том числе и начисление з/п идет

Кроме, собственно, договора будет ещё целый пакет приключений, в виде лицензирования деятельности по ТЗКИ и СКЗИ (вы же их защищать будете? Будете. Но при этом, это не "ваши" ПДн, вы оказываете услуги по их обработке и защите). Касаемо самих ПДн, могут быть подводные камни связанные с согласием (его сады и школы либо не брали вообще, либо брали "на себя", без права передачи).

Согласие ведь не требуется в случае работодателя, то есть в законе сказано, что-то типа: согласие не требуется если обработка предусмотрена другими федеральными законами. Вот есть трудовой кодекс, согласно ему должен вестись учёт сотрудников и прочая, вот соответственно и согласие от сотрудников не требуется ведь

О каком лицензировани  речь? Да по бух учёту куча учреждений, которые ведут учёт и начисляют зп, тоже аутсорс, и что все лицензируются?

В случае работодателя не требуется. Но тот факт, что вы обрабатываете ПДн на основании каких либо ФЗ, при котором не требуется согласие, не означает что эти ПДн можно дальше спокойно передавать так-же без согласия субъекта. Трудовой кодекс не устанавливает обязанности работодателя перечислять з/п на карту (передавать ПДн в банк), отдавать бухгалтерию на аутсорс и подобное. Что касается кучи учреждений. Я вполне допускаю, что у некоторых есть.

При лицензировании какие требования? Наличие специалистов по ИБ? И кто проводит лицензирование?

Да. По ТЗКИ - ФСТЭК, по СКЗИ - ФСБ (но вот это маловероятно, конечно. Если только организация не будет организовывать шифрование каналов со школами и садами, для передачу ПДн, выдачу ЭП для подписи и подобные радости). Чисто теоретически, можно вопрос защиты ПДн в договоре опустить. Нет защиты, нет лицензии. Но это может не понравится уже другим контролирующим органам. И ещё момент. Касательно организаций. ФСТЭК с проверками до своих лицензиатов добраться годами не может, по причине отсутствия людей. И им совершенно точно не до того, чтобы высматривать кто по идее должен быть их лицензиатом, но не является. Ну т.е. вести аутсорс по бухгалтерии и попасть на ФСТЭК, это как встретить динозавра примерно.

Ну хоть на этом успокоили😁 спасибо, в общих чертах все понял

Лицензия на тзки нужна, если только в договоре прописаны услуги из положения о лицензировании

На криптографию тоже не нужно, если не будут оказываться соответствующие услуги из ПП 313

Понял😊