Вот уже 13 лет в российском правовом поле действует федеральный закон «О персональных данных» № 152-ФЗ.
Казалось бы, за эти годы компаниями-операторами ПДн пройдено всё: и осознание необходимости защищать персональные данные, и принятие того, что даже только ФИО – это тоже ПДн, и неизбежность написания более двадцати организационно-распорядительных документов, и даже покорное согласие с необходимостью построения полноценной системы защиты наряду с бумажной безопасностью.
152-ФЗ не только повысил осведомлённость операторов ПДн, сами субъекты также стали понимать, что являются обладателями конфиденциальной информации, и требовать её эффективной защиты.
Однако, несмотря на ежедневный опыт работы с ПДн, самым актуальным вопросом перед проверкой всегда будет: «А что конкретно смотрит Роскомнадзор?»
К счастью, у нас уже есть ответ, который базируется на обширной практике работы по подготовке к проверкам РКН: он смотрит всё, что касается организационной защиты ПДн.
К несчастью, это означает, что процесс этот — нелёгкий и масштабный, однако в этом есть свои плюсы: такой проект – всегда отличный повод провести инвентаризацию информационных потоков и систем, что сделает бизнес-процессы прозрачнее, и даст возможность оптимизировать их. Но это – после. В данной статье будет описано, что следует предпринять, когда вы обнаружили свою компанию в плане проверок.
Подготовка к проверке
Кстати, увидеть компанию в плане необходимо как можно раньше: для этого прямо сейчас можно зайти на сайт Роскомнадзора и найти там документ «План деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2019 году». Если ваш юридический адрес расположен в ином федеральном округе (или на момент прочтения статьи 2019 год уже остался в прошлом), – замените эти параметры на необходимые. Если вы не попали в план на текущий год, то примерно в декабре вам уже будет доступен план на год будущий.
Поскольку подготовка к проверке включает в себя обязательный последующий этап внедрения рекомендаций, то начинать процесс нужно минимум за 6 месяцев до официальной даты старта – это поможет вам избежать цейтнота и, как следствие, активного отвлечения сотрудников от их текущих задач (со стороны коллег это вряд ли будет воспринято позитивно) и пропуска важных аспектов в необходимых работах (а это уже не будет одобрено проверяющим).
Готовьтесь: вы окажетесь меж двух огней, когда придётся ради общего блага создавать временные неудобства, но горькая пилюля иногда жизненно необходима, главное – это готовность принять её всем вместе. Работы, связанные с проверкой, обязательно должны проходить в доброжелательной атмосфере сотрудничества. Ваша задача – не наказать кого-то, а помочь компании провести самооценку и исключить нарушения и недостатки.
Для этого, в первую очередь, следует донести до руководства компании важность мероприятия, и попросить его активного участия. Есть золоте правило, что с бизнесом нужно говорить на понятном ему языке денег. Что ж: штрафы за нарушения интересующего нас федерального закона указаны в статьях 137, 140, 272, 274 УК РФ РФ и статьях 13.11, 13.12, 13.25, 19.5 КоАп РФ, и теперь выдаются Роскомнадзором за каждый факт выявленного нарушения. Если ваш бизнес скептически относится к потерям в несколько сотен или миллионов рублей, то ваш козырь – это упоминание репутационных рисков: обиженным работникам и клиентам интернет доступен в полной мере, новостные сайты готовы схватиться за любую малую утечку и раздуть её до масштабов сенсации, а конкуренты будут рады им в этом помочь.
Но ваша задача — не напугать руководство компании, а предоставить ему решение проблемы и заручиться поддержкой. На данном этапе необходимо оценить свои силы и понять, есть ли в штате работники, которых можно привлечь на реализацию проекта. Необходимо отметить, что эти сотрудники должны иметь возможность посвящать не менее 80% рабочих часов поставленной задаче – т.е. не готовить всю компанию к проверке параллельно с кадровой/бухгалтерской/юридической деятельностью, а посвятить ей практически всё своё время. И здесь мы подходим к важному условию успешной подготовки – наличию в штате отдельного сотрудника, ответственного за обработку и защиту ПДн, который входит в подразделение информационной безопасности. Это самая эффективная модель управления данным процессом, и экономия здесь, на наш взгляд, неуместна.
Существует два варианта реализации данной модели: нанять сотрудника в штат или (а лучше одновременно) пригласить внешнюю организацию, специализирующуюся на подготовке и сопровождении проверок Роскомнадзора.
Основные критерии выбора такой компании – системного интегратора – это наличие аналогичных завершённых проектов в данной области, способность презентовать услугу и подробно рассказать об этапности работ и результатах каждого из них, умение обосновывать стоимость. Следует ожидать, что качественная работа никогда не будет стоить неприлично дешево и длиться неожиданно мало.
Хороший интегратор обязательно предложит вам полный цикл работ: от готовности убедить руководство компании в необходимости проекта до сопровождения в ходе проверки и помощи в подготовке ответов на предписания об устранении нарушений после неё.
Вне зависимости от того, будете ли вы привлекать стороннюю организацию или нет, самое большое, чем вам сможет помочь топ-менеджмент – помимо бюджета – это инициация общекорпоративной рассылки о старте работ с просьбой всецело содействовать ответственному лицу. Очень важно сделать акцент на том, что это самооценка, а не аудит с целью выявить и покарать виновных. К сожалению, бывали случаи паники и сопротивления со стороны сотрудников вплоть до отказа предоставлять столь необходимую информацию о том или ином процессе. Помните: вежливая просьба со стороны руководства и осознание участия в общем деле ради благой цели со стороны всех сотрудников творят чудеса.
Основные этапы работ
Теперь, когда дан зелёный свет, пройдёмся по необходимым этапам работ.
Самый эффективный способ подготовки к проверке – это постараться охватить всё по максимуму: ведь заранее неизвестно, какие конкретно процессы посмотрит регулятор – всё зависит от выделенных Роскомнадзором временных и кадровых ресурсов.
До начала проверки в компанию придет официальное письмо с указанием её сроков и планом. Условно процесс можно разделить на две части: запрос и изучение документации (речь о более чем двадцати организационно-распорядительных документах, упоминавшихся в начале) и очное интервьюирование непосредственных исполнителей: проверяющему совсем неинтересно весь месяц сидеть в переговорной и общаться с руководителями департаментов. Практически всегда беседы проходят на рабочих местах сотрудников. Проверяющий вправе попросить показать системы/папки/почту, а также поискать что-то на рабочем компьютере: доступ в сеть компании ему предоставлять не нужно, однако, он вполне может сделать скриншоты тех или иных процессов.
Совершенно точно будут проверять типовые для всех компаний процессы: проходной режим («кто и как обрабатывает ПДн посетителей?»), поиск кандидатов на вакантные должности («долго ли хранятся резюме соискателей?»), ведение кадрового производства («зачем вам хранить ПДн уволенных работников?»), бухгалтерия («на каком основании передаются ПДн в банк и страховую?»), взаимодействие с контрагентами («даются ли им поручения на обработку? защищён ли канал передачи данных? контролируется ли защита переданной информации?»), хранение и сдача документов в архив («а архив ли это в терминах законодательства?»).
Если ваша основная деятельность – это предоставление услуг, то здесь поле для проверки ещё обширнее: поиск клиентов, заключение договоров, обслуживание, расторжение отношений, реклама.
Из нетипового могут посмотреть сайт компании («есть ли политика обработки и защиты ПДн? сообщение о cookies и счётчиках?»), мобильные приложения («у кого находятся базы данных?»), зайти во фронт-офис в качестве тайного покупателя, проверить работу call-центра, запросить модель угроз и даже поинтересоваться процессом заказа визиток.
С чего же начать подготовку? Предлагаем действовать точно так же, как проверяющий (отличная репетиция перед реальной проверкой), с той лишь разницей, что весь персонал готов вам помогать и будет рассказывать всё, как есть, со всеми недостатками – вот почему так важна вовлеченность топ-менеджмента и предварительное разъяснение причин внезапных работ по внутреннему аудиту.
Для начала тщательно изучите организационную структуру компании (а при наличии – перечень ИСПДн), смело выделяйте типовые процессы обработки ПДн, предположите, где они могут быть помимо этих направлений, составьте график интервью. По опыту: подразделения ИТ и ИБ лучше оставить на потом, когда у вас уже будет представление обо всех процессах обработки ПДн. Найдите все доступные действующие в компании документы по обработке и защите ПДн.
Каждое интервью должно занимать от 30 до 60 минут: за это время можно собрать всю необходимую информацию, не отрывая вашего собеседника надолго от его рабочих задач. Интервью — отличный шанс узнать, чего не хватает вашим коллегам, чтобы работа была более комфортной: очень часто мы слышим просьбы отразить в отчёте недостаток шредеров или запираемых шкафов, а также отсутствие описания обязательных процедур по сбору и защите ПДн – это в дальнейшем поможет защитить бюджет на построение или модернизацию системы защиты.
Обязательно составляйте протоколы интервью во время общения и согласовывайте его с вашим собеседником после. Отражайте в нём все документы, которые могут содержать ПДн или подразумевают их получение/отправку, и обсуждались в процессе беседы – в дальнейшем вам необходимо их запросить и проанализировать.
Таким образом, в конце этапа обследования у вас на руках должны быть:
- Согласованные протоколы интервью
- Все доступные действующие документы по обработке и защите ПДн
- Все документы, которые могут включать в себя внесение ПДн, их получение или передачу
В итоге
Осталось самое интересное: составить отчёт об обследовании, куда необходимо включить все протоколы, аналитику каждого документа, аналитику каждого процесса. И как итог вашего труда — перечень найденных нарушений, рекомендации по их устранению с указанием сроков и ответственных.
Всё: теперь можно облегчённо выдохнуть и…немедленно приступать к реализации указанных рекомендаций.
Будет ли проделанная работа гарантом идеального прохождения проверки? Пообещать, что процесс пройдет без единого замечания, вам не может никто (во всяком случае, ни один добросовестный опытный специалист — точно), однако вы вполне можете повлиять на то, чтобы таких замечаний было максимально мало, а их устранение прошло минимально болезненно в отведенные (вполне демократичные сейчас 3-6 месяцев) сроки.
После проверки обязательно подумайте над техническими аспектами защиты ПДн, поддерживайте внедрённые процедуры и документы, проводите тренинги сотрудников, — и в следующий раз вам обязательно будет чуточку легче.
Комментарии (17)
ormoulu
01.03.2019 19:24горькая пилюля иногда жизненно необходима, главное – это готовность принять её всем вместе
И занять очередь пораньше вечером в пятницу.
diomas
01.03.2019 20:42не менее 80% рабочих часов
мда… и это только на обслуживание РКН, а сколько у нас еще замечательных надзоров и министерств!MotoDruG
02.03.2019 08:43— пожарные кошмарят бизнес!
— ок, вот вам поблажки и каникулы!
— спасибо, а вот вам Зимняя вишня. Власти ничего не контролируют и не проверяют!
— усиливаем контроль!
— *пока ещё шепотом* опять кошмарят бизнес…
Elizaveta_Betty Автор
02.03.2019 10:33Подготовка к проверке требует временных вложений, что поделать.
В большой компании, ориентированной на продажу услуг физ.лицам, вообще необходимо завести отдельного, специально обученного ПДн, человека — это вопрос не только прохождения проверки, но и клиент-ориентированного бизнеса.
Naves
02.03.2019 00:29Куча текста и в итоге непонятно, будут ли реально смотреть, что сеть предприятия «защищена сертифицированным средством», или достаточно будет показать формулярчик от устройства, и то что оно вон там стоит и лампочками мигает.
и вообще нет лопатыПриезжает на предприятие комиссия. Проверяют все 3 дня — все в порядке, придраться не к чему, на четвертый день инженер по ГОиЧС видит — главный проверяющий что-то радостно пишет около пожарного щита. Подходит и видит: список недостатков из 28 пунктов:
1. Лопата на пожарном щите висит неправильно, с юга на север а не наоборот
2. Черенок лопаты на 2 см короче установленной длины
3. Окраска лопаты по оттенку не совпадает с основным тоном щита
4. На лопате имеются царапины и сколы
и т.д.
Инженер говорит проверяющему — Погоди минуту.
Снимает лопату со щита и выкидывает.
— Пиши — нет лопаты!MotoDruG
02.03.2019 08:36возможно зависит от грамотности проверяющих, ведь в каждом субъекте свои кадры, а не одна группа экспертов на всю страну. И не уверен, что наличие подробной инструкции действия сильно поможет, ведь везде есть нюансы.
Elizaveta_Betty Автор
02.03.2019 10:30Куча текста направлена исключительно на освещение темы подготовки к проверке РКН.
А РКН проверяет реализацию только организационных мер защиты и (максимум) наличие Модели угроз и Актов присвоения уровня защищённости: именно наличие, а не содержание.
Технические меры, кроме СКЗИ, проверяет ФСТЭК, СКЗИ проверяет ФСБ.
Если интересно, что регуляторы смотрят при проверках, то они этого никогда не скрывали — всё есть в административных регламентах на официальных сайтах.
saipr
02.03.2019 10:51даже только ФИО – это тоже ПДн,
Интересно, когда диктор на вокзале объявляет: "Ваня Иванов, мама тебя ищет и ждет ", он диктор взял расписку о том, что Ваня Мванов согласен на разглашение ПДн?
Elizaveta_Betty Автор
02.03.2019 18:50До 14 лет такое согласие дают родители)
saipr
02.03.2019 18:56И где на вокзале хранят эти расписки?
Elizaveta_Betty Автор
02.03.2019 19:25+1Они не нужны: только имя+фамилия чаще всего рассматриваются как не ПДн.
Magnum72
03.03.2019 09:50Мы и сдавали и проверку проходили, ничего такого нет и в помине. В РКН работают малоквалифицированные специалисты, в техническом плане вообще никак, по бумагам еще более менее, но у них нет единого понимание что требовать. Например в 15 году с нас потребовали убрать ПД из биллинга и нам пришлось переименовать Иванов Иван Иванович в Иванов И. И., а в 2017 мы вернули это обратно.
Так вот, как проходит сдача: нанимаем специалиста, он за 50000 подготовил нам список макулатуры, завели несколько журналов учета, потом макулатуру отвезли в РКН, и все, никто даже не приезжал.
Как проходила проверка, уведомили нас о предстоящей проверке, запросили макулатуры, мы ее откопировали и отправили в РКН, в день проверки появились две мадамы, пролистали оригиналы макулатуры и уехали. Ничего не смотрели, ничего не спрашивали.Elizaveta_Betty Автор
03.03.2019 18:49Это в Москве было?
Последние 3 проверки, которые я сопровождала в 2018г. в Москве, были весьма тщательные и проводились хорошим специалистом в этой области: никакой халявы и халтуры.
А вот описанный вами подход (что со стороны заказчика, что со стороны проверяющего) я, к сожалению, наблюдала в одном немаленьком городе в тысяче км от столицы.
pvp
"… штрафы за нарушения интересующего нас федерального закона указаны в статьях 137, 140, 272, 274 УК РФ РФ и статьях 13.11, 13.12, 13.25, 19.5 КоАп РФ…
Но ваша задача — не напугать руководство компании..."
А что же, простите, сделать? Вы перечислили статьи, большинство из которых притянуты за уши, а к ПДн прямо относится только 13.11.
Особенно, конечно, порадовало наличие в списке 272 и 273 УК. И 137, конечно, куда же без нее.
Elizaveta_Betty Автор
Зато честно. Наказать по этим статьям могут, но вероятность не очень большая (это никогда и не скрывается: решения судов по ПДн доступны для ознакомления), зато репутационные риски огромные (пару дней назад, например, была новость про утечку ПДн парковочных сессий).
Бизнес должен знать все последствия, чтобы принять решение: тратить деньги и время на подготовку или нет.
pvp
По 272, 273 и 137? За персональные данные? По результатам проверки РКН? Ну сказок-то не надо.