Досвід проходження перевірки Роскомнадзора по персональних даних, bisa

Досвід проходження перевірки Роскомнадзора по персональних даних, bisa

Як показує практика, перевірка Федеральної служби з нагляду в сфері зв'язку, інформаційних технологій і масових комунікацій (Роскомнадзор) в області обробки персональних даних (ПДН) є порівняно рідкісною подією.

В кінці минулого року компанія АйТі стала консультантом «Ельдорадо» при проходженні перевірки Роскомнадзора по персональних даних.

Перед нами поставили завдання - пройти перевірку з мінімальними зауваженнями. Забігаючи трохи вперед, скажу, що нам це вдалося. Тепер про все по порядку.

До початку перевірки у нас було Повідомлення про проведення планової виїзної перевірки ТОВ «Ельдорадо» разом з переліком документів, який необхідно надати співробітникам Роскомнадзора.

Всього запитували 31 документ, з основних і значущих можна виділити наступні (пункти стосувалися як автоматизованої обробки, так і неавтоматизированной):

Спільно з колегами з «Ельдорадо» ми підготували всі документи. Всі організаційно-розпорядчі документи вже були зроблені, ми готували тільки довідки, виписки або копії документів. Комплект вийшов настільки значний, що в результаті співробітникам Роскомнадзора довелося ділити його на двох. Крім того був підготовлений реєстр документів, в якому співробітник РКН повинен розписуватися за кожен отриманий документ. Дуже зручна річ, що дозволяє відстежити всі передані документи і мати підтвердження про передачу всіх запитаних документів в Роскомнадзор.

Крім підготовки документів ми провели інструктаж для співробітників центрального офісу, що беруть участь у перевірці і взаємодіючих з представниками РКН .:

Самі співробітники не вперше стикаються з інформаційною безпекою (в «Ельдорадо» впроваджені процеси менеджменту ІБ і є діючий сертифікат ISO 27001). Вони і до цього були підготовлені, освіжили інформацію в голові, згадали потрібні визначення, перечитали наявні регламенти та інструкції по ПДН, навели порядок на столі. Співробітники були готові до майбутньої перевірки.

ПОСТАНОВКА У ЧОТИРЬОХ актах

За інформаційним системам персональних даних (ІСПДн) запросили перелік, моделі загроз на ІСПДн, проект зі створення системи захисту персональних даних і сертифікати на засоби захисту інформації. Також було питання по транскордонної передачі інформації по каналах зв'язку. Співробітники Роскомнадзора розуміють, що здійснити обмін зашифрованими даними по каналах, використовуючи ГОСТ 28147-89, із закордонним державою практично неможливо, тому їм було досить зрозуміти, що здійснюється шифрування, і інформація не передається у відкритому вигляді.

Після ознайомлення з документами співробітники РКН перейшли до обстеження на місцях. Вся наша велика команда пішла у відділ кадрів. Перевіряючі подивилися, де зберігаються особисті справи і трудові книжки, переконалися, що особисті справи діючих працівників зберігаються окремо від особистих справ звільнених. Керівник відділу кадрів розповів, як набирають співробітників, як зберігають справи, як відбувається видалення персональних даних і за яких обставин. Після цього працівникам Роскомнадзора показали, як працює співробітник відділу кадрів: вхід / вихід з операційної системи, вхід / вихід з ІСПДн. Також перевіряючі попросили зробити скріншоти програм, що використовуються для обробки ПДН, для підтвердження інформації про ІСПДн.

В рамках третьої зустрічі перевіряли ще один магазин, який знаходився недалеко від Управління Роскомнадзора. Перевірка проходила також як і в першому магазині, принципи організації магазинів «Ельдорадо» однакові, незалежно від розмірів, тому підходи і способи обробки ПДН точно такі ж. Члени групи пересвідчилися в цьому досить швидко, на цьому перевірка в магазині закінчилася.

В ході перевірки було запрошено ще більшу кількість документів (ніж початковий перелік з 31 документа), це різні регламенти, довідки, виписки, договори, в результаті загальна кількість перевалила за сотню. Роскомнадзор був задоволений, що під кожним словом був документ.

На цьому перевірка оператора закінчується.

За результатами перевірки Роскомнадзора передав компанії «Ельдорадо» наступні документи:

  • Акт перевірки (з виявленими порушеннями)
  • Довідка про результати планової виїзної перевірки
  • Припис про усунення двох незначних невідповідностей, яке було виконано протягом місяця після отримання

«Результати перевірки виявилися позитивними. Роскомнадзор підтвердив, що ми виконуємо вимоги ФЗ-152. Зі свого боку можу додати, що ми розуміємо, наскільки важливо забезпечити захист персональних даних наших клієнтів і працівників компанії, і прикладаємо всі зусилля для створення сучасної і надійної системи управління інформаційною безпекою, відповідної як найкращим світовим практикам, так і нормативним актам РФ », - підсумовує Костянтин Коротнев, менеджер з інформаційної безпеки компанії «Ельдорадо».

Представники Роскомнадзора не ставлять перед собою завдання закрити компанію. Відбувається конструктивний діалог, в рамках якого можна і потрібно відстоювати свою позицію, для цього є всі необхідні інструменти у вигляді нормативних документів щодо персональних даних. Все у ваших руках.