Безвозмездно - то есть, даром?

Наконец-то Роскомнадзору стало стыдно за свои почти пустые "закрома" - реестры граждан и организаций, привлекаемых в качестве экспертов и экспертных организаций в ходе проверок в области персональных данных . По поводу банального отсутствующего, но привлекаемого для проведения проверок на неведомых основаниях МВД РФ я уже писал и, судя по реестрам - с тех пор дело сдвинулось с мертвой точки. Однако, явно недостаточно хорошо, и вчерашнего дня на сайте регулятора появился недвусмысленный призыв к всеобщей экспертной мобилизации.

Предполагается, что аккредитованные граждане и организации НА БЕЗВОЗМЕЗДНОЙ ОСНОВЕбудут привлекаться к участию в мероприятиях по контролю для оценки эффективности принимаемых оператором, осуществляющим обработку персональных данных, технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных на всей территории Российской Федерации. В состав комиссий эксперты и экспертные организации будут включаться ПУТЕМ СЛУЧАЙНОЙ ВЫБОРКИ.

Зачем это регулятору - понятно: в связи с недостатком знаний, умений и собственного опыта.  Привлекать знатока-волонтера куда проще и несравнимо дешевле, чем обучать собственных сотрудников, которые, чего доброго, еще и сбегут. Но какой резон работать волонтером, да еще и за бесплатно? Давайте взглянем, собственно, на реестры. Реестр граждан , в частности. Что мы видим? Список имен, фамилий и отчеств: Бурдело И.А., Конкин Н.Е., Шолохов В.А. и др. Аккредитованы они для следующих видов деятельности:

1. Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
2. Оценка соответствия применяемых технических средств защиты информации.
3. Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
4. Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.

Лично у меня каждый из пунктов вызывает очень много вопросов. Ну скажите, например, как эксперт в рамках проверки оператора ПДн может провести оценку соответствия технических средств защиты информации, если есть закон " О техническом регулировании ", который де-юре предусматривает определенные процедуры оценки соответствия, а де-факто этим всю жизнь занимается ФСТЭК и аккредитованные испытательные лаборатории? Или, например, определить уровень защищенности, если их по закону " О персональных данных " устанавливает правительство РФ? Про "достаточность", "эффективность", "расследования причинно-следственных связей" я вообще молчу. Но не в этом дело. Сравните список фамилий, приведенных в реестре, вот с этим , и найдите десять отличий. Бааааа, да все они - сотрудники одного и того же интегратора! А теперь глянем в реестр организаций . Что мы видим? Этот интегратор там - на первом месте в списке, вместе с остальными четырьмя, думаю, не последними.

Полагаю, теперь всем нам, дорогие читатели, понятно, с какой целью уважаемые эксперты так стремятся безвозмездно помочь Роскомнадзору и поработать на благо государства и субъектов ПДн - для того, чтобы потом, после "волчьего" предписания, сгенерированного при их непосредственном участии, вполне законно поработать на себя и свой собственный карман, "склоняя" оператора к собственным услугам. То, что было сделано у оператора до приезда "эксперта", может не иметь никакого значения - все равно все будет "очень и очень плохо". И "случайной выборки" здесь никакой не будет - не любят в нашем государстве всякие там "случайности".

Выход я вижу только один - становиться аккредитованным экспертом самому и, в случае явно "неадекватной" проверки, "бодаться" с таким же экспертом со стороны Роскомнадзора, ну а в случае разногласий - как всегда, искать правду в суде. Поэтому пойду изучать Правила аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю (утв. постановлением Правительства от 20 августа 2009 г. № 689 и приказом Роскомнадзора от 8 апреля 2011 г. № 239 ).