Вот уже 13 лет в российском правовом поле действует федеральный закон «О персональных данных» № 152-ФЗ.
Казалось бы, за эти годы компаниями-операторами ПДн пройдено всё: и осознание необходимости защищать персональные данные, и принятие того, что даже только ФИО – это тоже ПДн, и неизбежность написания более двадцати организационно-распорядительных документов, и даже покорное согласие с необходимостью построения полноценной системы защиты наряду с бумажной безопасностью.
152-ФЗ не только повысил осведомлённость операторов ПДн, сами субъекты также стали понимать, что являются обладателями конфиденциальной информации, и требовать её эффективной защиты.
Однако, несмотря на ежедневный опыт работы с ПДн, самым актуальным вопросом перед проверкой всегда будет: «А что конкретно смотрит Роскомнадзор?»
К счастью, у нас уже есть ответ, который базируется на обширной практике работы по подготовке к проверкам РКН: он смотрит всё, что касается организационной защиты ПДн.
К несчастью, это означает, что процесс этот — нелёгкий и масштабный, однако в этом есть свои плюсы: такой проект – всегда отличный повод провести инвентаризацию информационных потоков и систем, что сделает бизнес-процессы прозрачнее, и даст возможность оптимизировать их. Но это – после. В данной статье будет описано, что следует предпринять, когда вы обнаружили свою компанию в плане проверок.
Подготовка к проверке
Кстати, увидеть компанию в плане необходимо как можно раньше: для этого прямо сейчас можно зайти на сайт Роскомнадзора и найти там документ «План деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2019 году». Если ваш юридический адрес расположен в ином федеральном округе (или на момент прочтения статьи 2019 год уже остался в прошлом), – замените эти параметры на необходимые. Если вы не попали в план на текущий год, то примерно в декабре вам уже будет доступен план на год будущий.
Поскольку подготовка к проверке включает в себя обязательный последующий этап внедрения рекомендаций, то начинать процесс нужно минимум за 6 месяцев до официальной даты старта – это поможет вам избежать цейтнота и, как следствие, активного отвлечения сотрудников от их текущих задач (со стороны коллег это вряд ли будет воспринято позитивно) и пропуска важных аспектов в необходимых работах (а это уже не будет одобрено проверяющим).
Готовьтесь: вы окажетесь меж двух огней, когда придётся ради общего блага создавать временные неудобства, но горькая пилюля иногда жизненно необходима, главное – это готовность принять её всем вместе. Работы, связанные с проверкой, обязательно должны проходить в доброжелательной атмосфере сотрудничества. Ваша задача – не наказать кого-то, а помочь компании провести самооценку и исключить нарушения и недостатки.
Для этого, в первую очередь, следует донести до руководства компании важность мероприятия, и попросить его активного участия. Есть золоте правило, что с бизнесом нужно говорить на понятном ему языке денег. Что ж: штрафы за нарушения интересующего нас федерального закона указаны в статьях 137, 140, 272, 274 УК РФ РФ и статьях 13.11, 13.12, 13.25, 19.5 КоАп РФ, и теперь выдаются Роскомнадзором за каждый факт выявленного нарушения. Если ваш бизнес скептически относится к потерям в несколько сотен или миллионов рублей, то ваш козырь – это упоминание репутационных рисков: обиженным работникам и клиентам интернет доступен в полной мере, новостные сайты готовы схватиться за любую малую утечку и раздуть её до масштабов сенсации, а конкуренты будут рады им в этом помочь.
Но ваша задача — не напугать руководство компании, а предоставить ему решение проблемы и заручиться поддержкой. На данном этапе необходимо оценить свои силы и понять, есть ли в штате работники, которых можно привлечь на реализацию проекта. Необходимо отметить, что эти сотрудники должны иметь возможность посвящать не менее 80% рабочих часов поставленной задаче – т.е. не готовить всю компанию к проверке параллельно с кадровой/бухгалтерской/юридической деятельностью, а посвятить ей практически всё своё время. И здесь мы подходим к важному условию успешной подготовки – наличию в штате отдельного сотрудника, ответственного за обработку и защиту ПДн, который входит в подразделение информационной безопасности. Это самая эффективная модель управления данным процессом, и экономия здесь, на наш взгляд, неуместна.
Существует два варианта реализации данной модели: нанять сотрудника в штат или (а лучше одновременно) пригласить внешнюю организацию, специализирующуюся на подготовке и сопровождении проверок Роскомнадзора.
Основные критерии выбора такой компании – системного интегратора – это наличие аналогичных завершённых проектов в данной области, способность презентовать услугу и подробно рассказать об этапности работ и результатах каждого из них, умение обосновывать стоимость. Следует ожидать, что качественная работа никогда не будет стоить неприлично дешево и длиться неожиданно мало.
Хороший интегратор обязательно предложит вам полный цикл работ: от готовности убедить руководство компании в необходимости проекта до сопровождения в ходе проверки и помощи в подготовке ответов на предписания об устранении нарушений после неё.
Вне зависимости от того, будете ли вы привлекать стороннюю организацию или нет, самое большое, чем вам сможет помочь топ-менеджмент – помимо бюджета – это инициация общекорпоративной рассылки о старте работ с просьбой всецело содействовать ответственному лицу. Очень важно сделать акцент на том, что это самооценка, а не аудит с целью выявить и покарать виновных. К сожалению, бывали случаи паники и сопротивления со стороны сотрудников вплоть до отказа предоставлять столь необходимую информацию о том или ином процессе. Помните: вежливая просьба со стороны руководства и осознание участия в общем деле ради благой цели со стороны всех сотрудников творят чудеса.
Основные этапы работ
Теперь, когда дан зелёный свет, пройдёмся по необходимым этапам работ.
Самый эффективный способ подготовки к проверке – это постараться охватить всё по максимуму: ведь заранее неизвестно, какие конкретно процессы посмотрит регулятор – всё зависит от выделенных Роскомнадзором временных и кадровых ресурсов.
До начала проверки в компанию придет официальное письмо с указанием её сроков и планом. Условно процесс можно разделить на две части: запрос и изучение документации (речь о более чем двадцати организационно-распорядительных документах, упоминавшихся в начале) и очное интервьюирование непосредственных исполнителей: проверяющему совсем неинтересно весь месяц сидеть в переговорной и общаться с руководителями департаментов. Практически всегда беседы проходят на рабочих местах сотрудников. Проверяющий вправе попросить показать системы/папки/почту, а также поискать что-то на рабочем компьютере: доступ в сеть компании ему предоставлять не нужно, однако, он вполне может сделать скриншоты тех или иных процессов.
Совершенно точно будут проверять типовые для всех компаний процессы: проходной режим («кто и как обрабатывает ПДн посетителей?»), поиск кандидатов на вакантные должности («долго ли хранятся резюме соискателей?»), ведение кадрового производства («зачем вам хранить ПДн уволенных работников?»), бухгалтерия («на каком основании передаются ПДн в банк и страховую?»), взаимодействие с контрагентами («даются ли им поручения на обработку? защищён ли канал передачи данных? контролируется ли защита переданной информации?»), хранение и сдача документов в архив («а архив ли это в терминах законодательства?»).
Если ваша основная деятельность – это предоставление услуг, то здесь поле для проверки ещё обширнее: поиск клиентов, заключение договоров, обслуживание, расторжение отношений, реклама.
Из нетипового могут посмотреть сайт компании («есть ли политика обработки и защиты ПДн? сообщение о cookies и счётчиках?»), мобильные приложения («у кого находятся базы данных?»), зайти во фронт-офис в качестве тайного покупателя, проверить работу call-центра, запросить модель угроз и даже поинтересоваться процессом заказа визиток.
С чего же начать подготовку? Предлагаем действовать точно так же, как проверяющий (отличная репетиция перед реальной проверкой), с той лишь разницей, что весь персонал готов вам помогать и будет рассказывать всё, как есть, со всеми недостатками – вот почему так важна вовлеченность топ-менеджмента и предварительное разъяснение причин внезапных работ по внутреннему аудиту.
Для начала тщательно изучите организационную структуру компании (а при наличии – перечень ИСПДн), смело выделяйте типовые процессы обработки ПДн, предположите, где они могут быть помимо этих направлений, составьте график интервью. По опыту: подразделения ИТ и ИБ лучше оставить на потом, когда у вас уже будет представление обо всех процессах обработки ПДн. Найдите все доступные действующие в компании документы по обработке и защите ПДн.
Каждое интервью должно занимать от 30 до 60 минут: за это время можно собрать всю необходимую информацию, не отрывая вашего собеседника надолго от его рабочих задач. Интервью — отличный шанс узнать, чего не хватает вашим коллегам, чтобы работа была более комфортной: очень часто мы слышим просьбы отразить в отчёте недостаток шредеров или запираемых шкафов, а также отсутствие описания обязательных процедур по сбору и защите ПДн – это в дальнейшем поможет защитить бюджет на построение или модернизацию системы защиты.
Обязательно составляйте протоколы интервью во время общения и согласовывайте его с вашим собеседником после. Отражайте в нём все документы, которые могут содержать ПДн или подразумевают их получение/отправку, и обсуждались в процессе беседы – в дальнейшем вам необходимо их запросить и проанализировать.
Таким образом, в конце этапа обследования у вас на руках должны быть:
- Согласованные протоколы интервью
- Все доступные действующие документы по обработке и защите ПДн
- Все документы, которые могут включать в себя внесение ПДн, их получение или передачу
В итоге
Осталось самое интересное: составить отчёт об обследовании, куда необходимо включить все протоколы, аналитику каждого документа, аналитику каждого процесса. И как итог вашего труда — перечень найденных нарушений, рекомендации по их устранению с указанием сроков и ответственных.
Всё: теперь можно облегчённо выдохнуть и…немедленно приступать к реализации указанных рекомендаций.
Будет ли проделанная работа гарантом идеального прохождения проверки? Пообещать, что процесс пройдет без единого замечания, вам не может никто (во всяком случае, ни один добросовестный опытный специалист — точно), однако вы вполне можете повлиять на то, чтобы таких замечаний было максимально мало, а их устранение прошло минимально болезненно в отведенные (вполне демократичные сейчас 3-6 месяцев) сроки.
После проверки обязательно подумайте над техническими аспектами защиты ПДн, поддерживайте внедрённые процедуры и документы, проводите тренинги сотрудников, — и в следующий раз вам обязательно будет чуточку легче.
