|
Окт
21
|
Последние годы Роскомнадзор заработал в части ПДн авторитет адекватного проверяющего органа. Лично мне довелось поучаствовать в нескольких проверках и могу подтвердить, что в рамках проверок все было по делу. Однако последняя информация заставила задуматься и подготовить несколько рекомендаций для успешного прохождения проверки.
1) Чиновнику запрещено все, что явно не разрешено. Проверяющий не должен требовать ничего сверх своих компетенций. Не дело Роскомнадзора смотреть средства защиты, сети и т.п. Финансовая документация также не их вотчина. Хотя здесь есть деталь. В случае вашего отказа в предоставлении очередной справки, которая, по вашему мнению, не относится к проверке, вам могут запросто выписать замечание и его придется оспаривать. Тут все зависит от ситуации, в большинстве случаев не нужно идти на конфликт, лучше предоставить документ.
2) С уважением отношусь к представителям Роскомнадзора, и к самой службе. Однако, практика показывает, что среди проверяющих попадаются неадекватные люди и даже хамы. К встрече с такими одиозными товарищами нужно быть готовым. Во-первых, проверяющий не имеет права вас оскорблять, унижать, хамить и т.д. Эти действия наказываются. Конечно, вы не можете пристыдить проверяющего 
или воззвать к его «внутреннему интеллигенту». Есть документ, оформленный приказом Роскомнадзора, называется он ни много ни мало – «Кодекс этики и служебного поведения…». Так вот, согласно этому кодексу, представители Роскомнадзора должны исполнять должностные обязанности на высоком профессиональном уровне, проявлять корректность и внимательность в обращении с гражданами и должностными лицами, соблюдать нормы служебной и профессиональной этики и правила делового поведения (ст.9). Сотрудник службы должен воздерживаться от грубости, проявления пренебрежительного тона, заносчивости, предвзятых замечаний, предъявления неправомерных, незаслуженных обвинений, угроз, оскорбительных выражений (ст.13) и т.д. и т.п.
Конечно в кодексе есть замечательный раздел по ответственности за нарушение кодекса. Нарушение служащими Роскомнадзора указанных правил подлежит «моральному осуждению» специальной комиссией Роскомнадзора , а соблюдение правил должно быть учтено при проведении аттестаций, формировании кадрового резерва, а также при наложении взысканий .
Смех смехом, но сомневаюсь, что руководству службы будет приятно получить жалобу на своего сотрудника, который позволял себе хамское поведение и нецензурную брань в ходе проверки. Руководство службы потратило слишком много времени на поднятие авторитета службы, и не позволит «паршивой овце» все испортить.
3) «Не может быть все хорошо!»
Как не может? Может! С удивлением узнаю, что проверяемые сами соглашаются, чтобы им вписали парочку замечаний. Зачем вам это нужно? Каждое замечание – лишний повод зайти вновь.
4) Есть плановые и внеплановые проверки. Среди внеплановых стали встречаться так называемые «проверки по поручению Правительства РФ». Очень неприятное основание. За пару недель у вас может побывать Роскомнадзор, ФСБ, БСТМ, Прокуратура и т.д. Это уже риск первого уровня (всего бизнеса). Как решать? Индивидуально! Важно знать, что такое бывает, такие проверки, скорее всего, пойдут по нескольким организациям отрасли и тема ПДн – это лишь часть «проверяемого».
5) Проверяют в основном документы, поэтому документация должна быть и ее качество должно быть высоким. Нельзя показывать проверяющим акт классификации по К1, который вы делали в 2009 году, создадите себе лишние проблемы.
6) Никто не запрещает вам привлечь консультанта (физическое или юридическое лицо), который поддержит вас при проверке. Вроде бы очевидная вещь, но бывают проблемы. Дело в том, что некоторых проверяющих нервируют консультанты. Были случаи, когда появлялись угрозы и настоятельные рекомендации избавиться от консультантов (см. пункт №1). Конечно, эти требования незаконны! Вы можете привлекать для помощи кого захотите. Для большей уверенности можете подписать с консультантами договор на оказание услуг.
Пока так. Если есть у вас есть дополнительные идеи, или я что-то забыл, пишите в комментарии.
октября 21, 2011 at 8:58
Евгений, почему у вас в рекомендациях, первое предложение, выделенное подчеркиванием и последнее предложение абзаца противоречат друг другу?
Особенно пункты 1 и 6.
По пункту 5. Почему нельзя показывать акт классификации, сделанный в 2009 году?
[Reply]
Царев Евгений Reply:
октября 21, 2011 at 10:06
Где же тут противоречие?
Действительно: Чиновнику запрещено все, что явно не разрешено.
при этом вам-то зачем конфликт? лучше дать очередную справку, чем оспаривать предписание.
По 5 пункту: суть не в сроке подготовки, а в его актуальности
[Reply]
Сергей Б Reply:
октября 21, 2011 at 14:54
В самом начале вы пишите что это ваши рекомендации.
1. С одной стороны вы говорите что “чиновнику запрещено все, что явно не разрешено”, с другой советуете “давать ему всё”.
Так вы рекомендуете “давать” или “не давать”?
6. С одной стороны “можно привлечь консультанта”, с другой стороны “опасно привлекать консультанта”.
Таки рекомендуете привлекать или нет?
5. Да, документы могут устареть.
Но скорее всего это будет не акт классификации ИСПДн, а уведомление Роскомнадзору или перечень лиц допущенных к обработке или перечень сотрудников, которые уведомлены об обработке их ПДн.
[Reply]
Евгений Царев Reply:
октября 21, 2011 at 17:38
Не нужно придумывать противоречия, их тут нет.
1) “советуете “давать ему всё”” – где вы это прочитали? я такого не говорил.
“чиновнику запрещено все, что явно не разрешено” – это факт, а не рекомендация и каждый “проверяемый” должен это знать и не следовать слепо всем капризам инспектора. При этом не следует создавать препятствий проверке и если спорных справок немного, лучше удовлетворить запрос.
2) “опасно привлекать консультанта” – снова придумываете. Такого я не писал.
3) Речь идет не только о “моральной старости” документа. В 2009 даже крупные интеграторы делали документы с формальными ошибками.
октября 21, 2011 at 9:45
Все проверки, в которых я участвовал (налоговые, ведомственные, РКН и т.п.) сводятся к поиску компромисса между проверяющими и проверяемым и зависят от личных качеств представителя проверяемого (в первую очередь) и представителя проверяющего.
Заставлять “на все согласного директора” отстаивать свои права – просто увеличивать количество замечаний в геометрической прогрессии. В этом случае лучше показать все и согласиться на мелкие недочеты.
Если в компании директор кремень и юрист зубастый, то да – права надо отстаивать и спуска не давать. Но вежливо и аргументировано.
[Reply]
октября 21, 2011 at 10:56
“Не может быть все хорошо” – чисто армейская тема: некоторые даже САМИ говорят замечания, которые потом им вписывают. Квадратное кати, круглое неси. Совок непобедим
[Reply]
Евгений Царев Reply:
октября 21, 2011 at 12:45
“Всесоюзная тема”
[Reply]
октября 21, 2011 at 12:50
Да, в целом, рекомендации интересные, только слегка настораживает тот факт, что проверки РКН превращаются в данном случае в бюрократический акт, отступая от изначальной цели контроля обеспечения прав субъектов персональных данных. Поэтому и рекомендации существенно изменились за 3 года. Если раньше были рекомендации, как подготовить организацию к проверке, т. е. построить ИСПД, провести необходимые мероприятия лучше – ведь требования ФСБ и ФСТЭК, как всегда, напоминают сферическое парнокопытное в безвоздушном пространстве, – то теперь рекомендуют, как не попасть на проверяющего-урода и как пройти саму проверку. Как ЕГЭ прям.
[Reply]
Евгений Царев Reply:
октября 21, 2011 at 13:00
Любая проверка – это бюрократическая процедура. И к ней просто правильный подход нужен. Это как в адвокатской деятельности, хороший адвокат решает много проблем, т.к. он хорошо знает систему. Также как хороший прокурор добьется большего срока по сравнению с неопытным. Все – бюрократия.
[Reply]
slmaxim Reply:
октября 21, 2011 at 22:58
Кхм.. да, в целом так, что уж спорить. Позвольте проявить неосведомленность, помнится около трех лет назад на одном из первых пленарных заседаний на тему 152-ФЗ на InfoSecurity 2009 представители регуляторов грозились, что пока РКН лишь проверяется соответствие фактической системы заявленной модели, а в будущем будет и модель проверять на объективность, т. е. озадачится самостоятельным анализом угроз. Не наступили ли еще это светлое время?)
[Reply]
Евгений Царев Reply:
октября 22, 2011 at 13:40
И не наступит)
октября 21, 2011 at 14:26
По п.1 – “не дело РКН смотреть СЗИ, сети и т.д.” – откуда такая информация. Проверяя выполнение требований ФЗ РКН в том числе и анализирует реализуемые меры по защите. Другое дело, что сотрудники РКН некомпетентны, но посмотреть они могут. Тем более сами Операторы им о своих СЗИ в уведомлениях рассказывают.
Также непонятно, чем плох акт классификации 2009 года – в чем его неактуальность?
В целом выступаете “капитаном очевидность”, хотя может и Операторы это прочитают.
И еще пять копеек – РКН действительно очень далек от реальности при проверках… Но это плюс для Операторов – в суде вероятность выигрыша 100 процентная.
[Reply]