Общие положения
- Каждый сотрудник Службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Служба) обязан быть готов провести выездную и документарную проверку Операторов персональных данных в любое время, 365 дней в году.
- В ходе проверок необходимо руководствоваться положениями Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) (далее – Закон), внутренними инструкциями Службы и здравым смыслом…
- Так же Сотрудник Службы должен проверять исполнение Закона во всех проявлениях гражданской жизни у юридических лиц и индивидуальных предпринимателей, с которыми сталкивается по вопросам бытового получения товаров и услуг. В случае выявления признаков нарушений, следует воспользоваться Инструкцией №1 по формированию плана проверок.
Проведение выездной проверки
- Если вам выпало проводить выездную проверку, расслабьтесь. Посмотрите, привлекаются ли аккредитованные эксперты? Если да – хорошо, они братюни и можно будет хорошо провести время. Если нет, не отчаивайтесь – повезет в следующий раз.
- Хорошенько выспитесь.
- Перед проверкой распечатайте последнее уведомление об обработке Оператора.
- Если в уведомлении указан один юридический адрес, а Оператор находиться совершенно по другому адресу – смело езжайте по первому. Будьте внезапным. Это заставит понервничать ответственного у Оператора. Приятная поездка на другой конец Москвы плюс легальный выходной. Помните наш девиз № 42: Служба в радость!
- Вы на месте, внимательно посмотрите, кто пришел со стороны Оператора. Если он пригласил – юриста, консультантов и того парня, чей блог вы иногда читаете, значит, ему есть что скрывать. Не паникуйте! Вы тут главный.
- Сразу запросите весь перечень проверяемых документов в электронном виде. Если ответственный их предоставляет – он душка, плюс в карму. Если нет, то подумайте, что делать с таким букой. Может быть дать ему печеньку?
- Попросите Ответственного перечислить ИСПДн с персональными данными. Если среди них нет:
- Бухгалтерской;
- Кадровой;
- Системы контроля доступа;
- Электронной почты;
- Домена Active Directory (при наличии ).
Внимательно к ним присмотритесь.
- Спросите, есть ли биометрия?
- Потролльте ответственного вопросом о видеонаблюдении. Если ответ оригинальный – запишите в книжечку для размещения на нашей Доске крутых отмазок (ДКО).
- Проверьте актуальность уведомления и всех данных в нем представленных.
- Посмотрите, кто делал документы по защите персональных данных. Если лицензиат – попросите договор. Если сами – попросите документы о соответствующей подготовке или переподготовке (минимум на 2 человек).
- Посмотрите на дату последнего отчета об обследовании. Если ей больше года, мы красавчики. Если меньше, ответственный – красавчик.
- Если у Оператора есть самописные или самостоятельно дописываемые системы (1С, SAP, SharePoint, сайт и т.п.), обратите внимание на решение вопроса с НДВ. Если угроза НДВ нивелирована, послушайте объяснение. Если оно хорошее, запишите для добавления в ДКО.
- Не будьте букой.
- Если Оператор использует облака, мы в Эльдорадо. Если облако зарубежное, то в Эльдорадо-плюс-плюс. Сразу напишите смс коллегам во ФСТЭК и ФСБ, они должны это увидеть.
- Посмотрите договор на использование облака. Попросите показать вам пункты отвечающие за безопасность вообще, и безопасность персональных данных в частности. Попросите копию договора. Ну, а, вдруг?
- Посмотрите модель угроз. Если много неактуальных угроз – выберите наугад 3 и попросите объяснить. Лучшие ответы запишите для ДКО.
- Посмотрите проект на систему защиты персональных данных. Если с вами нет братюнь-экспертов или коллег из ФСТЭК или ФСБ, вам нельзя оценивать технические меры – печалька. Зато можно выписать используемые средства защиты.
- Попросите акты установки на все используемые средства защиты.
- Послушайте и запишите лучшее, почему вы этого не можете получить.
- Не будь букой.
- Попросите сертификаты ко всем используемым средствам защиты.
- Послушайте и запишите лучшее, почему этого нет.
- Не будь букой.
- Переходите к осмотру помещения…
Неожиданный конец документа
