Что проверяет роскомнадзор

Опыт прохождения проверки Роскомнадзора по персональным данным

Как показывает практика, проверка Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в области обработки персональных данных (ПДн) является сравнительно редким событием.Например, в 2013 году в Центральном федеральном округе проведено всего 26 (!) проверок, из которых 22 выездных и 4 документарных. В свете малочисленности подобных мероприятий они и сейчас интересны специалистам по информационной безопасности, так как практика выполнения требований ФЗ-152 от 27.06.2006 «О персональных данных» и подзаконных актов еще до конца не сформировалась. Об этом факте свидетельствуют периодически появляющиеся разъяснения контролирующего органа (по персональным данным работников, биометрическим персональным данным). Эти разъяснения выпускаются Роскомнадзором совместно с экспертами для того, чтобы помочь организациям (операторам) выполнить требования и привести все свои структурные подразделения к единому пониманию существующих нормативных правовых актов, касающихся обработки персональных данных. В данной статье описывается опыт прохождения проверки Роскомнадзора, который может оказаться полезным другим организациям при выполнении работ по защите ПДн.

В конце прошлого года компания АйТи стала консультантом «Эльдорадо» при прохождении проверки Роскомнадзора по персональным данным.

«Нашим главным критерием при выборе компании являлось наличие опыта прохождения таких проверок. Нам необходимы были определенные гарантии, поскольку мы не могли рисковать своей репутацией», – комментирует Константин Коротнев, менеджер по информационной безопасности Компании «Эльдорадо».

Перед нами поставили задачу – пройти проверку с минимальными замечаниями. Забегая немного вперед, скажу, что нам это удалось. Теперь обо всем по порядку.

РАЗМИНКА

Днем «Х» было 5 ноября, согласно «Плану проведения проверок». Какая предполагается проверка, начало, а также сроки ее проведения, можно посмотреть на сайте Управления Роскомнадзора по соответствующему федеральному округу, в нашем случае это Центральный федеральный округ.

Проверка предполагалась плановая выездная, все в соответствии с ФЗ-294 от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

До начала проверки у нас было Уведомление о проведении плановой выездной проверки ООО «Эльдорадо» вместе с перечнем документов, который необходимо предоставить сотрудникам Роскомнадзора.

Всего запрашивался 31 документ, из основных и значимых можно выделить следующие (пункты касались как автоматизированной обработки, так и неавтоматизированной):

  • Уведомление об обработке ПДн
  • Документ, определяющий ответственного за организацию обработки ПДн
  • Перечень сотрудников, допущенных к обработке ПДн
  • Документ, определяющие места хранения ПДн
  • Справка об обработке специальных и биометрических категорий ПДн
  • Справка об осуществлении трансграничной передачи ПДн
  • Типовые формы документов с ПДн
  • Порядок уничтожения ПДн
  • Порядок передачи ПДн третьим лицам
  • Типовая форма согласия на обработку ПДн
  • Порядок учета обращений субъектов ПДн
  • Перечень информационных систем персональных данных (ИСПДн)
  • Документы, регламентирующие резервирование данных в ИСПДн
  • Перечень используемых средств защиты информации
  • Матрица доступа
  • Модель угроз
  • Документ, определяющий уровни защищенности для каждой ИСПДн в соответствии с ПП-1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных»
  • Журнал учета машинных носителей ПДн

Совместно с коллегами из «Эльдорадо» мы подготовили все документы. Все организационно-распорядительные документы уже были сделаны, мы готовили только справки, выписки или копии документов. Комплект получился настолько внушительный, что в итоге сотрудникам Роскомнадзора пришлось делить его на двоих. Кроме того был подготовлен реестр документов, в котором сотрудник РКН должен расписываться за каждый полученный документ. Очень удобная вещь, позволяющая отследить все переданные документы и иметь подтверждение о передаче всех запрошенных документов в Роскомнадзор.

Помимо подготовки документов мы провели инструктаж для сотрудников центрального офиса, участвующих в проверке и взаимодействующих с представителями РКН.:

Сами сотрудники не первый раз сталкиваются с информационной безопасностью (в «Эльдорадо» внедрены процессы менеджмента ИБ и есть действующий сертификат ISO 27001). Они и до этого были подготовлены, освежили информацию в голове, вспомнили нужные определения, перечитали имеющиеся регламенты и инструкции по ПДн, навели порядок на столе. Сотрудники были готовы к предстоящей проверке.

ПОСТАНОВКА В ЧЕТЫРЕХ АКТАХ

Плановая выездная проверка должна была проводиться с 5 по 29 ноября. Надо понимать, что РКН не будет все это время находиться у Оператора, в этом нет особого смысла. Всего было 4 встречи с представителями РКН на территории «Эльдорадо».

Первая встреча состоялась 5 ноября, как и планировалось. Сотрудники Роскомнадзора привезли бумажную версию Уведомления о проведении плановой выездной проверки ООО «Эльдорадо», договорились о дате следующей встречи, очертили масштаб проверки (сразу сказали, что будут проверять центральный офис и несколько магазинов, в итоге остановились на двух) и уехали.

Вторая встреча была основной. В первую очередь сотрудники РКН посмотрели Уведомление оператора и внесенные изменения, среди значимых комментариев были следующие:

  • Обработка персональных данных начинается с момента создания организации (то есть регистрации в ФНС), а не с момента подачи Уведомления в Роскомнадзор
  • В Уведомлении необходимо указывать все физические адреса Оператора (если они относят к данному юридическому лицу), где ведется обработка ПДн, даже если они находятся в других федеральных округах РФ
  • В случае изменения сведений, указанных в Уведомлении, необходимо в течение десяти рабочих дней донести эту информацию до РКН (ФЗ-152, ст. 22, п. 7)

Специалисты Роскомнадзора задавали вопросы по основным отделам, в которых ведется обработка ПДн, для понимания целей обработки в целом. Затем прошлись по всем компаниям, с которыми возникает обмен персональными данными – ЧОП, кадровые агентства, банки, операторы связи, архивное хранение документов. Остановились на камерах видеонаблюдения, мы упомянули новые разъяснения Роскомнадзора, сослались на то, что идентификация человека не производится (соответственно, это не биометрические персональные данные), коллеги из Роскомнадзора согласились, правда, попросили повесить табличку «Ведется видеонаблюдение». Через 10 минут на входе висела табличка с соответствующей надписью.

По информационным системам персональных данных (ИСПДн) запросили перечень, модели угроз на ИСПДн, проект по созданию системы защиты персональных данных и сертификаты на средства защиты информации. Также был вопрос по трансграничной передаче информации по каналам связи. Сотрудники Роскомнадзора понимают, что осуществить обмен зашифрованными данными по каналам, используя ГОСТ 28147-89, с зарубежным государством практически невозможно, поэтому им было достаточно понять, что осуществляется шифрование, и информация не передается в открытом виде.

После ознакомления с документами сотрудники РКН перешли к обследованию на местах. Вся наша большая команда пошла в отдел кадров. Проверяющие посмотрели, где хранятся личные дела и трудовые книжки, убедились, что личные дела действующих работников хранятся отдельно от личных дел уволенных. Руководитель отдела кадров рассказал, как набирают сотрудников, как хранят дела, как происходит удаление персональных данных и при каких обстоятельствах. После этого работникам Роскомнадзора показали, как работает сотрудник отдела кадров: вход/выход из операционной системы, вход/выход из ИСПДн. Также проверяющие попросили сделать скриншоты программ, используемых для обработки ПДн, для подтверждения информации об ИСПДн.

Когда закончили проверять отдел кадров, решено было поехать в ближайший магазин «Эльдорадо» и проверить, как там производится обработка ПДн. В магазине ведется очень ограниченная обработка персональных данных, в основном это анкеты клиентов, которые хранятся в бумажном виде и заносятся в базу клиентов, которая не хранится локально. Анкеты хранятся в коробках, в защищаемых помещениях. Хранить каждую анкету в отдельном файле не нужно в соответствии с ПП-687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Затем работники Роскомнадзора посмотрели, как работает сотрудник магазина за компьютером: вход/выход из системы, вход/выход из ИСПДн, скриншоты используемых программ.

В рамках третьей встречи проверяли еще один магазин, который находился недалеко от Управления Роскомнадзора. Проверка проходила также как и в первом магазине, принципы организации магазинов «Эльдорадо» одинаковые, вне зависимости от размеров, поэтому подходы и способы обработки ПДн точно такие же. Проверяющие убедились в этом достаточно быстро, на этом проверка в магазине закончилась.

В ходе проверки было запрошено еще большее количество документов (чем изначальный перечень из 31 документа), это различные регламенты, справки, выписки, договоры, в итоге общее количество перевалило за сотню. Роскомнадзор был доволен, что под каждым словом был документ.

На этом проверка оператора заканчивается.

РЕЗУЛЬТАТЫ

По результатам проверки Роскомнадзора передал компании «Эльдорадо» следующие документы:

  • Акт проверки (с выявленными нарушениями)
  • Справка о результатах плановой выездной проверки
  • Предписание об устранении двух незначительных несоответствий, которое было исполнено в течение месяца после получения

«Результаты проверки оказались положительными. Роскомнадзор подтвердил, что мы выполняем требования ФЗ-152. Со своей стороны могу добавить, что мы понимаем, насколько важно обеспечить защиту персональных данных наших клиентов и работников компании, и прикладываем все усилия для создания современной и надежной системы управления информационной безопасностью, соответствующей как лучшим мировым практикам, так и нормативным актам РФ», — подытоживает Константин Коротнев, менеджер по информационной безопасности компании «Эльдорадо».

ВЫВОДЫ

Представители Роскомнадзора не ставят перед собой задачу закрыть компанию. Происходит конструктивный диалог, в рамках которого можно и нужно отстаивать свою позицию, для этого есть все необходимые инструменты в виде нормативных документов по персональным данным. Все в ваших руках.

— Защищайтесь, сударь!

Предметом проверки со стороны Роскомнадзора являются:

  • документы, характер информации в которых предполагает или допускает включение в их состав персональных данных;
  • деятельность по обработке персональных данных;
  • информационные системы персональных данных.

Что проверяет Роскомнадзор

Для полноты картины необходимо уточнить, что проверки порядка обработки персональных данных проводит не только Роскомнадзор, но также сотрудники Прокуратуры, Трудовой инспекции, а также, в отдельных случаях, сотрудники ФСТЭК России и ФСБ России. Но данные проверки достойны отдельного рассмотрения.
Проверки делятся на плановые и внеплановые и могут проводиться сотрудниками Роскомнадзора в форме документарной или выездной проверки.

Плановая проверка Роскомнадзора.

Плановые проверки Операторов осуществляются по утверждаемому на год вперед плану, который доступен онлайн с середины декабря текущего года на официальном сайте Роскомнадзора (https://rkn.gov.ru/plan-and-reports/) и на сайтах территориальных управлений (https://%номер-региона%.rkn.gov.ru). План утверждается руководителем территориального органа Роскомнадзора после завершения органами прокуратуры процедуры рассмотрения на предмет законности включения в него объектов государственного контроля (надзора) и внесения предложений о проведении совместных плановых проверок. (С 1 сентября 2015 года Роскомнадзору не требуется согласовывать с органами прокуратуры планы проверок по персональным данным).
Плановые проверки проводятся как в отношении организаций, включенных в реестр Операторов персональных данных, так и в отношении Операторов, не включенных в реестр, но осуществляющих обработку персональных данных. Бытует мнение, что если не подавать уведомление об обработке персональных данных в Роскомнадзор, то возможно избежать включение в план проверок. Практика показывает, что такое мнение ошибочно.
Основаниями для включения в план проверок Роскомнадзора по персональным данным являются:

  • начало обработки персональных данных Оператором;
  • истекли 3 года после осуществления государственной регистрации организации – Оператора;
  • истекли 3 года после последней плановой проверки организации — Оператора.

О том, что в организацию направляется плановая проверка Роскомнадзора, будет сообщено Оператору в направляемом не позднее чем за 3 (три!) дня до начала проверки почтовом (!!!) сообщении. Как правило, уведомление о проверке будет направлено на электронный адрес лица, указанного как ответственный за организацию обработки в организации. Приложением к уведомлению будет «Программа проведения … проверки в области персональных данных».
Согласно Административного регламента, продолжительность проведения плановой проверки не может превышать 20 рабочих дней. Но на самом деле срок может быть больше: «de jure» если требуются сложные экспертизы в порядке, указанном в Регламенте возможно продление еще на 20 дней, «de facto» путем затягивания выдачи Акта проведения проверки.

Внеплановая проверка Роскомнадзора.

Предупреждение о внеплановом посещении комиссии «ревизоров» организация получит за 24 часа любым доступным сотрудникам Роскомнадзора способом (но только, если Оператор не причиняет вред здоровью граждан — тогда предупреждения не будет). Как правило, предупреждение делается по телефону, электронной почте или факсу.
Основаниями для проведения внеплановой проверки Роскомнадзора являются:

  • истечение срока ранее выданного предписания Роскомнадзора об устранении выявленного нарушения требований законодательства о персональных данных. Как правило, проводится такая проверка в след за плановой проверкой в форме документарной с целью выяснения сведений об устраненных Оператором замечаниях.
  • приказ руководителя Роскомнадзора (руководителя тер.органа), изданный во исполнение поручения Президента России, Правительства РФ, и на основании требования прокурора по поступившим в прокуратуру материалам и обращениям.
  • заявления и обращения (жалобы), поступившие в Роскомнадзор от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации.

Еще одним основанием для проведения внеплановой проверки являются нарушения, выявленные при систематическом контроле, проводимом Роскомнадзором.
Продолжительность проведения внеплановой проверки, также как плановой не может превышать 20 рабочих дней.

Документарная проверка.

Документарные проверки проводятся в форме запроса Роскомнадзором необходимых документов и предоставления заверенных копий этих документов в адрес Роскомнадзора в 10 дневный срок. Зачастую, формулировки в запросе не дают четкого понимания о перечне требуемых Роскомнадзором документов. «Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн» — как характерный пример реальной строчки из запроса Роскомнадзора. Предоставляйте в Роскомнадзор копии только тех документов, которые были запрошены. Рекомендуется придерживаться правила «Лучшее — враг хорошего».
Если по содержанию присланного Роскомнадзором запроса у вас остаются вопросы, то в конце письма всегда указаны контактные данные исполнителя – рекомендуется позвонить и уточнить неясные моменты. Как говорится, за спрос …

Следует так же учитывать, что одним из неприятных для Оператора последствий проведения документарных проверок является тот факт, что проверка может при определенных условиях перетечь в выездную. Например, игнорирование запросов Роскомнадзора гарантированно приведет к выездной внеплановой проверке организации – Оператора персональных данных.

Выездная проверка.

Выездная проверка осуществляется по месту осуществления деятельности Оператором. Подавляющее большинство плановых проверок проводится в форме выездных проверок, в то время как внеплановые проверки чаще проводятся в форме документарных проверок.
Не секрет, что техническая составляющая защиты персональных данных Роскомнадзором при проверках не проверяется. Основная задача Роскомнадзора проверить легитимность обработки Оператором персональных данных, оправданность заявленных Оператором целей обработки и соответствие объемов указанным целям.
Несмотря на то, что проверка выездная – это вовсе не означает, что комиссия из Роскомнадзора будут находиться в организации все 20 рабочих дней, предписанные на выполнение проверки. Как правило, комиссия проверяющих посещают офис Оператора 3-4 раза.
По опыту проверок, процесс выездной проверки выглядит следующим образом:

  1. Команда проверяющих прибывает в офис Оператора для представления комиссии, знакомства с руководителем или иным назначенным ответственным лицом, вручения копии Приказа и Программы проведения проверки, уточнения круга вопросов, решаемых в процессе проверки (где, что, когда будут осматривать).
  2. Следующим шагом представители Роскомнадзора требуют предоставить доступ к документации по вопросам обработки персональных данных. Требование как правило оформляются в виде «Перечня документов, представление которых необходимо для достижения целей и задач проведения проверки»
  3. Для ознакомления с предоставляемыми документами сотрудники Роскомнадзора либо просят предоставить копии документов для дальнейшего их изучения в территориальном органе (в последнее время это происходит в подавляющем числе случаев), либо будут изучать представленные документы в офисе Оператора. На часть вопросов возможно потребуется написание справок
  4. Документы могут быть запрошены сотрудниками Роскомнадзора как превентивно, так и в процессе обсуждения организации обработки ПДн, который будет проходить в виде интервью сотрудников основных отделов Оператора, занятых в обработке ПДн. В связи с этим крайне желательно заранее определиться со списком таких сотрудников и их подготовить к общению с сотрудниками Роскомнадзора.
  5. После уточнения вопросов организации процесса обработки ПДн сотрудники Роскомнадзора, как правило, переходят к осмотру мест обработки ПДн и исследованию ИС. Особое внимание всегда уделяется отделу кадров и организации процесса обработки ПДн работников Оператора. Так же без внимания не остаются бухгалтерия и охрана.
  6. Завершается проверка оформлением результатов проверки в виде Акта. Выявленные нарушения будут зафиксированы, составлено Предписание об устранении выявленных нарушений и, при определенных условиях, будет составлен Протокол об административном правонарушении. Если есть повод для уголовного преследования – материалы будут направлены в прокуратуру. Финальная стадия завершается, как правило, по месту нахождения территориального органа Роскомнадзора, проводившего проверку. Собственный опыт и опыт коллег по цеху говорит о том, что выдача Акта проверки, как правило, затягивается.

Общие рекомендации по подготовке к проверке Роскомнадзора и её прохождению — рассмотрим в отдельной статье.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *