Инструкция Роскомнадзора для сотрудников и экспертов при проведении проверок в области персональных данных (Секретно) Часть №1. Выездная проверка

Общие положения

    1. Каждый сотрудник Службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Служба) обязан быть готов провести выездную и документарную проверку Операторов персональных данных в любое время, 365 дней в году.

Совершенно секретно

    1. В ходе проверок необходимо руководствоваться положениями Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) (далее – Закон), внутренними инструкциями Службы и здравым смыслом…

 

  1. Так же Сотрудник Службы должен проверять исполнение Закона во всех проявлениях гражданской жизни у юридических лиц и индивидуальных предпринимателей, с которыми сталкивается по вопросам бытового получения товаров и услуг. В случае выявления признаков нарушений, следует воспользоваться Инструкцией №1 по формированию плана проверок.

Проведение выездной проверки

    1. Если вам выпало проводить выездную проверку, расслабьтесь. Посмотрите, привлекаются ли аккредитованные эксперты? Если да – хорошо, они братюни и можно будет хорошо провести время. Если нет, не отчаивайтесь – повезет в следующий раз.
    2. Хорошенько выспитесь.
    3. Перед проверкой распечатайте последнее уведомление об обработке Оператора.
    4. Если в уведомлении указан один юридический адрес, а Оператор находиться совершенно по другому адресу – смело езжайте по первому. Будьте внезапным. Это заставит понервничать ответственного у Оператора. Приятная поездка на другой конец Москвы плюс легальный выходной. Помните наш девиз № 42: Служба в радость!
    5. Вы на месте, внимательно посмотрите, кто пришел со стороны Оператора. Если он пригласил – юриста, консультантов и того парня, чей блог вы иногда читаете, значит, ему есть что скрывать. Не паникуйте! Вы тут главный.

 

  1. Сразу запросите весь перечень проверяемых документов в электронном виде. Если ответственный их предоставляет – он душка, плюс в карму. Если нет, то подумайте, что делать с таким букой. Может быть дать ему печеньку?
  2. Попросите Ответственного перечислить ИСПДн с персональными данными. Если среди них нет:
    • Бухгалтерской;
    • Кадровой;
    • Системы контроля доступа;
    • Электронной почты;
    • Домена Active Directory (при наличии ).

Внимательно к ним присмотритесь.

    1. Спросите, есть ли биометрия?
    2. Потролльте ответственного вопросом о видеонаблюдении. Если ответ оригинальный – запишите в книжечку для размещения на нашей Доске крутых отмазок (ДКО).
    3. Проверьте актуальность уведомления и всех данных в нем представленных.
    4. Посмотрите, кто делал документы по защите персональных данных. Если лицензиат – попросите договор. Если сами – попросите документы о соответствующей подготовке или переподготовке (минимум на 2 человек).
    5. Посмотрите на дату последнего отчета об обследовании. Если ей больше года, мы красавчики. Если меньше, ответственный – красавчик.
    6. Если у Оператора есть самописные или самостоятельно дописываемые системы (1С, SAP, SharePoint, сайт и т.п.), обратите внимание на решение вопроса с НДВ. Если угроза НДВ нивелирована, послушайте объяснение. Если оно хорошее, запишите для добавления в ДКО.
    7. Не будьте букой.
    8. Если Оператор использует облака, мы в Эльдорадо. Если облако зарубежное, то в Эльдорадо-плюс-плюс. Сразу напишите смс коллегам во ФСТЭК и ФСБ, они должны это увидеть.
    9. Посмотрите договор на использование облака. Попросите показать вам пункты отвечающие за безопасность вообще, и безопасность персональных данных в частности. Попросите копию договора. Ну, а, вдруг?
    10. Посмотрите модель угроз. Если много неактуальных угроз – выберите наугад 3 и попросите объяснить. Лучшие ответы запишите для ДКО.

 

  1. Посмотрите проект на систему защиты персональных данных. Если с вами нет братюнь-экспертов или коллег из ФСТЭК или ФСБ, вам нельзя оценивать технические меры – печалька. Зато можно выписать используемые средства защиты.
  2. Попросите акты установки на все используемые средства защиты.
  3. Послушайте и запишите лучшее, почему вы этого не можете получить.
  4. Не будь букой.
  5. Попросите сертификаты ко всем используемым средствам защиты.
  6. Послушайте и запишите лучшее, почему этого нет.
  7. Не будь букой.
  8. Переходите к осмотру помещения…
Неожиданный конец документа
Найдены новые фрагменты… Сканирую… распознаю

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

42 ÷ = 6