[Из песочницы] Проверки Роскомнадзора: практические аспекты

habr.png

Мое почтение.

На волне последних изменений законодательства о персональных данных (в первую очередь, речь идет о введении обязательной «локализации персональных данных», а также увеличении размера административной ответственности) медиа-пространство в очередной раз наполнилось историями, живописно описывающими грядущий [вал проверок] со стороны Роскомнадзора (РКН). Проверка РКН, действительно, может стать довольно занимательным квестом, однако, сложности соответствующих мероприятий зачастую сильно преувеличиваются. С другой стороны, содержание проверок с течением времени меняется, что требует постоянного отслеживания текущей практики их проведения.

В 2017 году я имел удовольствие участвовать в проверках РКН в нескольких регионах (в том числе, Москве и Санкт-Петербурге). В связи с этим хотелось бы поделиться несколькими практическими соображениями, которые могут помочь членам сообщества в их деятельности. Для многих эта информация не станет новой, однако, кому-то может пригодиться.

(1) Не стоит ожидать, что инспекторы направят Вам конкретный перечень документов, которые требуется предоставить для прохождения проверки. «Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн» — цитата из реального списка документов, запрошенных РКН в ходе одной из проверок. Уровень конкретики, как видите, впечатляет.

(2) Следует учитывать, что исход рассмотрения того или иного вопроса во много зависит от того, насколько уверенно и обстоятельно оператор отстаивает свою точку зрения. Практика показывает, что по многим вопросам у инспекторов нет однозначной аргументированной позиции.

Особенно любопытные дискуссии могут возникать по вопросу о том, какой объем сведений можно рассматривать как персональные данные (ПДн), а также о том, какое лицо следует считать обрабатывающим ПДн по поручению оператора. К счастью, витиеватые формулировки, используемые самим РКН в его же научно-практическом комментарии, оставляют вполне существенный простор для маневра.

(3) Позиции разных должностных лиц относительно толкования одних и тех же терминов, используемых в законе, существенно разнятся. Так, один инспектор может считать файловое хранилище на сетевом диске информационной системой персональных данных (ИСПДн), в то время как другой с такой точкой зрения не согласится. Соответственно, успех в отстаивании определенной точки зрения в одном регионе не гарантирует Вам аналогичного результата в другом.

По большому счету, данное обстоятельство является лишь одним из следствий отсутствия у РКН централизованной позиции по ряду принципиальных вопросов. Следовательно, опыт прохождения проверок в прошлом не стоит переоценивать.

(4) Ни для кого не секрет, что РКН не проверяет соблюдение операторами ПДн технических требований нормативных актов. В большинстве случаев проверка ограничивается исследованием организационно-правовых документов, осмотром мест хранения документации с ПДн и, иногда, непосредственным исследованием информационных систем.

В то же время, определенный уровень погружения проверяющих в технические вопросы все же может иметь место. В частности, некоторые управления запрашивают у операторов копии моделей угроз, разработанных ими в отношении ИСПДн. Поскольку моделирование угроз безопасности ПДн прямо упоминается в Федеральном законе «О персональных данных», такой поворот нельзя назвать неожиданным.

(5) Успех прохождения проверки на 10% зависит от предварительной подготовки к мероприятию (разработка документов, обучение сотрудников), и на 90% от того, что Вы предпримите непосредственно перед встречей с инспекторами.

Вы можете разработать самый замечательные документы на свете, но если в момент проверки на столе у секретаря будет лежать неизвестно откуда взявшаяся анкета с полями для внесения ПДн (ее существование обязательно станет для Вас таким же открытием, как и для РКН) — вероятность успеха резко снижается. Поэтому, если Вы отвечаете за прохождение проверки, не уповайте на сознательность коллег и обязательно лично проведите ревизию на местах.

(6) Готовьтесь писать справки. Много справок (про трансграничную передачу, отдельные ИСПДн, видеонаблюдение, режим охраны и многое другое). Независимо от того, насколько детально внутренние документы компании описывают порядок обработки ПДн, инспекторы попросят Вас изложить большинство Ваших ответов на их вопросы в письменном виде. Если во внутренних документах (например, модели угроз) не найдется схем информационных потоков, их также могут попросить нарисовать. Учитывайте это при планировании своего времени.

Соответствующие документы, которые придется готовить непосредственно в ходе проверки, окажут на её результаты самое непосредственное влияние, в связи с чем их подготовку лучше доверить лицу, которое наиболее компетентно в вопросах обработки и защиты ПДн (в зависимости от конкретного случая, это могут быть юристы, специалисты по ИБ или привлеченные консультанты).

(7) Как уже было отмечено выше, часть информации будет получена РКН в ходе непосредственного обследования ИСПДн и помещений. Это, в свою очередь, означает, что кому-то придется эти самые системы и помещения показывать. Пояснения соответствующих лиц также могут повлиять на исход мероприятия, поэтому следует (а) по возможности замкнуть все демонстрации на наиболее компетентное лицо либо (б) провести репетиции (стресс-тесты) с сотрудниками, которые будут привлекаться для демонстрации. Особенное влияние следует уделить сотрудникам, которые любят отвечать на вопросы чрезмерно развернуто, вдаваясь в детали, о которых их не спрашивали. Ну, Вы меня понимаете.

(8) Не стоит ожидать, что акт проверки выдадут Вам в последний её день. На практике могут иметь место прецеденты оформления акта проверки в течение срока, превышающего месяц после её окончания.

Всем удачи.

© Habrahabr.ru