Проверки защиты персональных данных — гайд по прохождению
По крайней мере база локализована
В сети много руководств по подготовке к проверкам РКН, ФСТЭК и ФСБ, но такие гайды сосредоточены на юридической стороне вопроса и состоят из бесконечных отсылок к законам. Они не дают представления о том, как такие мероприятия происходят на практике. По крайней мере на это жалуются некоторые наши клиенты. Так что в этом посте мы поделимся опытом проверок, в которых участвовал наш комплаенс, и дадим понятные практические советы.
Кого могут проверить
В России персональные данные (ПДн) — любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу. Четкого закрытого перечня таких данных не существует. Более того, мнение регуляторов по этому поводу периодически меняется, обрастает нюансами и рекомендациями.
Яркий пример — фотографии людей. До 2013 года никто не мог однозначно сказать, считать ли их персональными данными. Затем РКН объявила биометрическими ПДн только те фотографии, которые используются в СКУД и позволяют определить владельца пропуска.
Однако, спустя 7 лет ведомство аннулировало прежние разъяснения. Теперь фото может считаться биометрией только если оно используется оператором ПДн для установления личности, соответствует определенному госту и отнесено к биометрическим персональным данным нормативно-правовым актом. Эту позицию объявили на семинаре для операторов персональных данных в январе 2020 года.
Некоторые операторы до сих пор упускают, что «просто хранение» также попадает под понятие «обработка персональных данных», а значит, к хранению применимы все те же требования, что и к передаче, использованию и прочим действиям, совершаемым по отношению к ПДн. Поэтому проверки соблюдения законодательства о персональных данных могут коснуться практически любой компании, которая располагает информацией не только о своих сотрудниках, но и о других гражданах РФ.
Кто приходит с проверками и на что смотрят
Проверками соблюдения законодательства о персональных данных в России занимается несколько ведомств.
Роскомнадзор
Чаще всего в этом контексте вспоминают про Роскомнадзор. Проверяющие из РКН в основном интересуются правовыми основаниями обработки персональных данных в организации — вопросами типа:
- Есть ли в компании политика обработки персональных данных?
- Запрашивается ли согласие на обработку ПДн?
- Какие категории ПДн обрабатывает компания и с какими целями?
- Соответствуют ли заявленные цели обработки ПДн тому, что происходит на практике?
- Определен ли ответственный за обработку?
При этом Роскомнадзор делает акцент на проверку правовых оснований обработки персональных данных.
ФСТЭК
Федеральная служба по техническому и экспортному контролю обращает больше внимания на реализацию систем защиты ИСПДн. Если коротко, то ФСТЭК интересует, какие ИСПДн используются в организации, каким образом они защищены и правильно ли документированы:
- Определен ли для ИСПДн уровень защищенности?
- Проведено ли моделирование угроз и возможностей потенциальных нарушителей?
- Реализованы ли меры, направленные на нейтрализацию угроз?
- Установлены ли необходимые СЗИ? Определен порядок их учета и эксплуатации?
- Проводилась ли аттестация (оценка эффективности) принятых мер?
ФСБ
В части защиты ПДн Федеральную службу безопасности может заинтересовать применение криптографических средств защиты информации. Службу интересует:
- наличие криптографических средств защиты;
- наличие сертификатов на эти средства;
- правильное применение средств шифрования;
- наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ;
- организационные меры, установленные в соответствии с приказом ФСБ № 378;
- осуществление поэкземплярного учета СКЗИ и ключевых документов;
- условия хранения СКЗИ и ключевых документов — в сейфах или запираемых шкафах в условиях, исключающих бесконтрольный доступ.
Иные ведомства
Помимо трех основных ведомств, которые занимаются защитой персональных данных на регулярной основе, можно выделить еще два, которые изредка устраивают отдельные проверки.
Прокуратура РФ предпочитает отдавать этот вопрос на откуп РКН, но ее задача — следить за соблюдением всего законодательства. Поэтому изредка она касается и законов о персональных данных.
Нельзя забывать и про полицию, точнее бюро специальных технических мероприятий, которое, расследует преступления, связанные с утечками данных. Но если к вам пришли эти ребята, стоит звать на помощь не только безопасников, но и адвокатов. На всякий случай. Мы сосредоточимся на менее экстремальных и более частых сценариях — подготовке к проверкам РКН, ФСТЭК и ФСБ.
К кому приходят чаще
PDF-версия таблицы, конечно, удобнее
С 1 июля 2021 года Роскомнадзор перешел на риск-ориентированный подход. Ведомство разделяет компании на категории в зависимости от того, какие данные они обрабатывают, куда пересылают и в каких масштабах. Также играет роль то, какие нарушения закона о персональных данных компания допускала в прошлом.
Частота плановых проверок зависит от «категории риска»:
- Высокий риск: инспекционный визит или выездная проверка один раз в 2 года.
- Значительный риск: инспекционный визит или выездная проверка 1 раз в 3 года.
- Средний риск: инспекционный визит или документарная проверка, или выездная проверка 1 раз в 4 года.
- Умеренный риск: документарная проверка или выездная проверка 1 раз в 6 лет.
Меньше всего поводов для беспокойства у небольших компаний. Уже больше 5 лет действует мораторий на плановые неналоговые проверки малых предпринимателей. Его ежегодно продляют, и 2022 год не стал исключением.
Штат проверяющих ФСБ и ФСТЭК, значительно меньше, во многом поэтому они сосредоточены на субъектах, работающих с государственными информационными системами — государственными и муниципальными организациями. Коммерческие компании попадают в планы проверок реже. Как правило, это происходит, если они обрабатывают биометрические персональные данные и используют единую биометрическую систему.
Графики проверок
Обычно в конце года РКН публикует план проверок на будущий год. В нем указывается дата начала и ожидаемая продолжительность проверки. Графики проверок ФСБ и ФСТЭК в начале года выкладывают на сайте Генеральной прокуратуры. В документах также указывают дату проверки.
В то же время существуют внеплановые проверки. Роскомнадзор обязан предупреждать о внеплановой проверке не менее, чем за 24 часа. На практике проверяющие обычно сообщают примерно за неделю, но такие проверки все равно могут застать врасплох.
Как минимизировать риск внеплановых проверок
Подать уведомление в РКН
Прежде всего, стоит подать в Роскомнадзор уведомление об обработке персональных данных. Это можно сделать в бумажном виде или на сайте Роскомнадзора, а также через личный кабинет организации на Госуслугах.
Иногда руководство компаний не хочет «сдаваться», и таким образом «привлекать внимание регулятора». Это прямое нарушение 152 федерального закона. К тому же, стоит помнить, что добровольная отправка уведомления как бы намекает проверяющим на добропорядочность организации. А если не записаться в реестр, проверка скорее всего будет внезапной и приведет к штрафу.
Проверить интернет-ресурсы компании
С недавних пор РКН регулярно проводит мониторинг сайтов компаний в поисках нарушений. Поэтому стоит еще раз стоит перепроверить:
- Опубликована ли на сайте политика обработки персональных данных?
- Есть галочка согласия с политикой обработки персональных данных рядом с формами, которые заполняют пользователи?
- Есть ли предупреждение и кнопка согласия на использование cookies?
Это важные моменты, их отсутствие может спровоцировать внеплановую проверку.
Не спамить
Кроме того, внеплановые проверки проводятся после обращений физических лиц. Чаще всего речь идет жалобах на различный спам: персональные рекламные рассылки, SMS, звонки. Если нужен дополнительный аргумент против использования навязчивой рекламы — это он.
Что делать перед любой проверкой
Навести справки
Стоит посмотреть планы регуляторов и найти в вашем регионе компании, в которых недавно проходили проверки, а затем попробовать установить контакт через знакомых. Вам нужно выйти на специалистов по информационной безопасности, кадровиков и юристов. Они помогут понять, на что в первую очередь обращают внимание проверяющие в этом году.
Перепроверить уведомление РКН
Помните, как отправляли уведомление в Роскомнадзор? Самое время сравнить его содержание с тем, что происходит на практике.
В этом документе перечисляются категории персональных данных, которые обрабатывает компания. Несоответствие между уведомлением и фактическим положением дел — распространенное нарушение. Если сменили ответственного за обработку ПДн, обрабатываете что-то новое или перестали обрабатывать старое — обновите данные, послав новое уведомление в РКН.
Провести аудит
Перед проверкой полезно проверить, как обстоят дела с обработкой персональных данных в компании. Независимый аудит не просто даст представление об актуальном положении дел. Его результаты в виде приказов и протоколов можно показать проверяющим, как доказательство серьезного отношения к безопасности персональных данных.
Подготовить документы
Как правило, проверяющим требуется большой объем документов, поэтому все советуют выстраивать бумажную безопасность, как один из постоянных процессов. Вот что необходимо по нашему опыту.
- Документ, определяющий политику оператора в отношении обработки ПДн, в порядке, установленном ФЗ от 27 июля 2006 года № 152-ФЗ «О персональных данных.
Проверяющие часто обращают внимание на его название и структуру. Стоит привести в соответствие с рекомендациями РКН. Там этот документ фигурирует как «Политика». Поэтому лучше озаглавить его «Политика в отношении обработки ПДн». Если у компании есть сайт, где происходит сбор ПДн, необходимо опубликовать там этот документ.
- Приказ о назначении ответственного за обработку ПДн в организации.
- Необходимо выбрать одного ответственного. Желательно назначать на эту роль кого-то из высшего руководства, например, заместителя директора организации.
- Согласия субъектов персональных данных, в том числе работников, на обработку их персональных данных.
- Письменные согласия на распространение ПДн неопределенному кругу лиц
- Письменные согласия субъектов на обработку биометрических и/или специальных категорий ПДн.В случае, если ваша компания обрабатывает эти категории данных.
- Письменные согласия субъектов на трансграничную передачу ПДн
- Также, в случае если такая передача имеет место.
- Если Оператор поручает обработку ПДн третьему лицу:
- Согласия субъектов на передачу их данных третьему лицу
- Договор поручения обработки ПДн с третьим лицом
- Обязательство о неразглашении ПДн и/или Соглашение об обеспечении безопасности персональных данных, переданных на обработку
- Регламент реагирования на запросы субъектов ПДн.
- Документы, устанавливающие порядок уничтожения и обезличивания персональных данных.
- Документы, устанавливающие места хранения материальных носителей персональных данных и порядок их хранения.
- Документы, подтверждающие факт ознакомления работника с внутренними документами, регламентирующими порядок и условия обработки его персональных данных.
- Договоры, одной из сторон которых является субъект персональных данных.
Когда речь идет о проверках государственных организаций к этому перечню документов добавляются акты, перечисленные в Постановлении Правительства Российской Федерации от 21 марта 2012 г. N 211.
- Модели нарушителя и угроз, разработанные с учетом требований ФСБ.;
- Согласование ФСБ для модели угроз.
Необходимо, если в государственной информационной системе используются средства криптографической защиты информации.
- Документы, подтверждающие выполнение требований Приказа ФСБ № 378 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и прочее в зависимости от уровня защищенности ПДн).
- Документы, подтверждающие наличие средств криптографической защиты информации и устанавливающие порядок их учета и эксплуатации.
- Документация на средства криптографической защиты информации (Договора купли-продажи, лицензии, сертификаты).
- Правила работы СКЗИ и документы, подтверждающие то, что сотрудники ознакомлены с этими правилами.
- Приказ о назначении ответственного за СКЗИ.
- Журналы учета и передачи СКЗИ.
- Документы, подтверждающие соответствие помещения для размещения ИСПДн, в которой используются СКЗИ, требованиям Приказа ФСБ № 378.
- Список лиц, допущенных к работе с СКЗИ.
- Перечень ПДн, обрабатываемых в организации.
- Инструкции работников, осуществляющих обработку ПДн.
- Соглашение о неразглашении ПДн.
- Бланки согласий субъектов ПДн на обработку их ПДн (если происходит обработка биометрических, специальных ПДн или трансграничная передача данных — отдельные бланки согласий).
- Перечень лиц, допущенных к обработке ПДн.
- Перечень помещений для обработки персональных данных.
- Регламент по допуску сотрудников и третьих лиц к обработке персональных данных.
- Регламент реагирования на запросы субъектов.
- Акт определения уровня защищенности для ИСПДн/ акт классификации для ГИС
- Модели нарушителя и угроз.
- Модели для ГИС должны быть согласованы с ФСТЭК.
- Приказ (или иной документ) о создании ИСПДн и вводе ИСПДн в эксплуатацию.
- Документы, подтверждающие наличие средств защиты информации, порядок их учета и эксплуатации.
- Документация на средства защиты информации (лицензии, сертификаты, формуляры и пр.).
- Документы подтверждающие выполнение требований приказов ФСТЭК России № 17 и/или 21 (назначение ответственных лиц, регламентирующие порядок допуска работников к ИСПДн, физическую защиту объектов и пр.).
- Приказ о назначении постоянно действующей комиссии по защите информации.
- Сведения о сотрудниках подразделения по защите информации: приказ о назначении, штатная и фактическая численность, стаж в области защиты информации, копии дипломов об обучении, сведения о повышении квалификации.
- Материалы аттестационных испытаний для ГИС и сам аттестат (материалы оценки соответствия и ее результаты для других информационных систем).
- Технический паспорт информационной системы или технические паспорта средств защиты информации.
- Матрица доступа для информационной системы.
- Инструкция администратора ИСПДн.
- Инструкция пользователя ИСПДн.
- Регламент резервного копирования и восстановления для ИСПДн
- Регламент предоставления доступа.
- Приказ о назначении ответственного за обеспечение безопасности ПДн.
- Необходим, если ИСПДн классифицирована как ИСПДн 3-его класса защищенности и выше.
К сожалению, исчерпывающего перечня документов, необходимых для проверок не существует. Проверяющие всегда могут запросить что-нибудь еще. Отчасти потому, что компании и процессы обработки данных внутри них сильно различаются, отчасти потому, что специалисты могут чего-то не понять и потребовать разъяснений.
Что касается регламента, то проверки могут проходить удаленно, в формате документальной проверки, и очно, с выездом сотрудников ведомства в организацию. В обоих случаях есть свои особенности.
Что делать перед документальной проверкой
Расскажем на примере проверки Роскомнадзора.
В организацию приходит письмо от местного управления Роскомнадзора с запросом документов, как правило, из числа перечисленных выше.
В письме указывается срок, к которому они должны оказаться у регулятора. По закону на подготовку и отправку этих бумаг дается не менее трех дней, в реальности обычно предупреждают за неделю или две. Поэтому если вы уже подготовили набор документов, то у вас останется время, чтобы все перепроверить. А вот успеть с нуля — тот еще челлендж, порой заведомо невыполнимый.
Регулятору передаются копии документов, в первозданном виде без изъятий и цензуры. Их необходимо заверить печатью организации и подписью руководителя или его представителя. Электронные копии подписываются квалифицированной электронной подписью.
Роскомнадзор рассматривает полученные материалы, и при необходимости запрашивает пояснения, также в письменном виде, на бумаге или в электронной форме. Если пояснения не предоставлены за три для или недостаточно убедительны, назначается выездная проверка.
Минус документальной проверки в том, что вся коммуникация происходит на бумаге, и порой возникают ситуации, когда регулятор чего-то не находит в пакете документов или не учитывает какие-то детали даже после прочтения пояснений. В процессе выездной проверки проще найти общий язык с инспекторами.
Что делать перед выездной проверкой или инспекционным визитом
С начала пандемии, проверяющие стали приезжать реже, однако они все еще регулярно посещают компании. Проверку проводят месту работы или регистрации бизнеса. В компанию приезжают один или несколько человек.
Подготовить рабочее место
Выездная проверка продолжается до 10 рабочих дней и может быть продлена еще на 10. Инспекторы не пробудут в вашем офисе все это время, но точно проведут там несколько дней. Поэтому на время проверки им стоит выделить отдельное рабочее место.
Как минимум, им понадобятся компьютер и принтер, на котором можно печатать протоколы. Лучше всего предоставить отдельный кабинет или переговорку с проектором или большим экраном, на котором удобно показывать документы.
Проинструктировать работников
Не лишним будет рассказать сотрудникам о проверке и полномочиях проверяющих, например, о том, что они могут попросить показать работу информационных систем, в которых обрабатываются персональные данные.
Навести порядок
Проверяющие обращают внимание на то, как и где хранятся документы, содержащие персональные данные. Закон содержит ряд требований к их хранению, но замечания могут последовать, даже если к концу дня договоры с клиентами останутся лежать на столах в офисе без присмотра.
Если говорить про ФСБ, то они могут проверить условия размещения, пломбы и любые другие моменты, касающиеся СКЗИ.
Подготовить пакет документов
Для проверки снова потребуются кипы бумаг. Имеет смысл распечатать только основные акты, а все объемные документы, типа инструкций для пользователей информационных систем, предоставить в электронном виде. Опять же, с электронной подписью. Однако важно иметь в ввиду, что вас все же могут попросить все распечатать. Поэтому важно запастись бумагой и чернилами. Да, они есть в любом офисе, но на практике бывают случаи, когда принтеры работают по несколько дней без перерыва и расходников не хватает.
Если компания, например, работает с большой агентской сетью, то в архиве могут скопиться тысячи договоров с персональными данными. В таком случае допустимо передать проверяющим шаблон договора и набор примеров — договоры, подписанные за последние полгода или год. Это поможет уменьшить объем документации.
Вести список переданных бумаг
В больших объемах документации легко запутаться, поэтому хорошая практика — составить список документов с указанием даты передачи и формы (бумажная или электронная), и передавать их проверяющим под роспись. Так можно будет отследить документы и в случае чего доказать факт передачи.
Собрать рабочую группу для общения с проверяющими
По закону инспекторов должен встретить ответственный за обработку персональных данных, либо его представитель с доверенностью. Однако, одного человека обычно мало, ведь он не может знать все.
Лучше сформировать команду и позвать специалиста по информационной безопасности, сотрудника кадрового отдела, юриста и системного администратора, ответственного за базы с персональными данными. Такая группа поддержки сможет уверенно ответить на любые вопросы по обработке персональных данных.
Как проходит проверка
Как правило, проверка начинается со встречи специалистов со стороны компании и проверяющих, изучения документов и нескольких серий вопросов и ответов. Четкого регламента этого мероприятия не существует, поэтому многое зависит от самих проверяющих.
Вы можете столкнуться с «усталыми» аудиторами, у которых за плечами множество подобных проверок. Если они не наткнутся на что-то непонятное, то скорее всего ограничатся минимумом бумаг и пояснений.
С другой стороны, молодые специалисты, которые карабкаются по карьерной лестнице, бывают намного дотошнее и глубже разбираются в информационных технологиях. Они не поленятся изучить архитектуру баз данных или лично заглянуть в серверную. Особенно любят вникать в технические вопросы сотрудники ФСТЭК и ФСБ.
Что бы они ни делали инспекторы, вы имеете право присутствовать при проверке и интересоваться ее ходом. Это очень полезная возможность. Держите руку на пульсе. Своевременные разъяснения помогают избавиться от множества проблем.
Если вы не согласны с выводами проверяющих, можете что-то добавить или предоставить дополнительные бумаги, стоит делать это в процессе проверки, до составления итогового акта. Это объемный и трудоемкий документ, поэтому проверяющие очень неохотно вносят в него исправления.
Результаты проверки
Когда подписан итоговой акт, остается либо согласиться с результатами проверки, либо подавать жалобу. Ее можно направить в электронном или бумажном виде руководителю регионального подразделения или руководителю ведомства, если нарушения допущены сотрудниками центрального подразделения. На рассмотрение уйдет 30 дней со дня регистрации обращения.
Руководство ведомства может согласиться с жалобой полностью или частично и пересмотреть выводы проверки, а может и не согласиться. Если вы подавали жалобу в региональное подразделение, то можно продублировать жалобу в центральный отдел. Но если не нашли понимания и там, остается только оспаривать результаты проверки в суде.
Как не бывает идеальной кибербезопасности, так не бывает идеальной бумажной безопасности. Пройти проверку без единого замечания — редкость.
Дело в том, что для государственных ведомств количество найденных нарушений — прежде всего метрика добросовестной работы проверяющих. Отчеты, в которых все идеально, зачастую воспринимаются с подозрением, ведь написать, что все хорошо, проще, чем действительно проверить соблюдение законодательства. Поэтому нормальный результат взаимодействия с регулятором не отсутствие замечаний, как таковых, а отсутствие реальных санкций, административно-правовых и тем более уголовных. Комиссия оказала вам методическую помощь показала, что можно улучшить, а вы дали материал для отчета, который ляжет на стол их руководству. В этой игре все остались в плюсе. До встречи в следующем раунде.
P.S. Пост получился длинным, но мы дали только базовые советы по прохождению проверок ПДн. Вам интересны нюансы и подробности, связанные с ФСТЭК и ФСБ? Пишите в комментариях.