Desde hace 13 años, la ley federal "sobre datos personales" Nº 152-FZ ha estado en vigor en el ámbito jurídico ruso.
Parece que a lo largo de los años, las compañías operadoras de PD han pasado por todo: tanto la comprensión de la necesidad de proteger los datos personales como la aceptación de que incluso solo un nombre completo también es PD, y la inevitabilidad de escribir más de veinte documentos organizativos y administrativos, e incluso un acuerdo sumiso con la necesidad de construir Un sistema de seguridad completo junto con papel de seguridad.
152- no solo aumentó la conciencia de los operadores de DP, sino que las propias entidades también comenzaron a darse cuenta de que eran los propietarios de la información confidencial y exigieron su protección efectiva.
Sin embargo, a pesar de la experiencia diaria con DP, la pregunta más urgente antes de la auditoría siempre será: "¿Qué está mirando Roskomnadzor exactamente?"
Afortunadamente, ya tenemos una respuesta que se basa en la práctica extensa de prepararse para las inspecciones de ILV: analiza todo lo relacionado con la defensa organizacional de la EP.
Desafortunadamente, esto significa que este proceso no es fácil y a gran escala, pero tiene sus ventajas: este proyecto siempre es una excelente ocasión para hacer un inventario de los flujos y sistemas de información, lo que hará que los procesos comerciales sean más transparentes y permita optimizarlos. Pero esto es después. Este artículo describirá qué hacer cuando encuentre su empresa en términos de auditorías.
Preparación para la verificación
Por cierto, debe ver a la compañía en el plan lo antes posible: para esto, en este momento puede ir al sitio web de Roskomnadzor y encontrar allí el documento "El plan de la Oficina del Servicio Federal de Supervisión de Comunicaciones, Tecnologías de la Información y Comunicaciones Masivas en el Distrito Federal Central en 2019". Si su dirección legal se encuentra en otro distrito federal (o, al momento de leer este artículo, 2019 ya ha pasado), reemplace estos parámetros con los necesarios. Si no ingresó al plan para el año en curso, aproximadamente en diciembre ya tendrá acceso al plan para el próximo año.
Dado que la preparación para la auditoría incluye la etapa posterior obligatoria de implementación de las recomendaciones, debe comenzar el proceso al menos 6 meses antes de la fecha oficial de lanzamiento; esto lo ayudará a evitar la presión del tiempo y, como resultado, distraerá activamente a los empleados de sus tareas actuales (de los colegas es poco probable será aceptado positivamente) y la omisión de aspectos importantes en el trabajo necesario (y esto no será aprobado por el inspector).
Prepárese: se encontrará entre dos incendios cuando tenga que crear inconvenientes temporales para el bien común, pero una píldora amarga a veces es vital, lo principal es la voluntad de tomarlo todo junto. El trabajo relacionado con la inspección debe realizarse necesariamente en un ambiente acogedor de cooperación. Su tarea no es castigar a alguien, sino ayudar a la empresa a realizar una autoevaluación y eliminar infracciones y deficiencias.
Para esto, en primer lugar, es necesario transmitir a la gerencia de la empresa la importancia del evento y solicitar su participación activa. Hay una regla para el oro que con los negocios es necesario hablar el lenguaje del dinero que él entiende. Bueno: las multas por violaciones de la ley federal que nos interesan están indicadas en los artículos 137, 140, 272, 274 del Código Penal de la Federación Rusa y los artículos 13.11, 13.12, 13.25, 19.5 del Código Administrativo de la Federación Rusa, y ahora son emitidas por Roskomnadzor por cada hecho de la violación. Si su negocio es escéptico ante las pérdidas de varios cientos o millones de rublos, entonces su carta de triunfo es una mención de los riesgos de reputación: los empleados y clientes ofendidos son totalmente accesibles en Internet, los sitios de noticias están listos para aprovechar cualquier pequeña fuga e inflarla en la medida de lo posible, y los competidores Estaremos encantados de ayudarlos con esto.
Pero su tarea no es asustar a la administración de la empresa, sino brindarle una solución al problema y buscar apoyo. En esta etapa, debe evaluar su fortaleza y comprender si hay empleados en el estado que puedan sentirse atraídos por el proyecto. Cabe señalar que estos empleados deberían poder dedicar al menos el 80% de las horas de trabajo a la tarea asignada, es decir, No prepare a toda la empresa para la verificación en paralelo con el personal / contabilidad / actividades legales, sino que dedique casi todo su tiempo a ello. Y aquí llegamos a una condición importante para una capacitación exitosa: la presencia en el estado de un empleado separado responsable del procesamiento y protección de datos personales, que es parte de la división de seguridad de la información. Este es el modelo más efectivo para administrar este proceso, y los ahorros aquí, en nuestra opinión, son inapropiados.
Hay dos opciones para implementar este modelo: contratar a un empleado en el estado o (o mejor al mismo tiempo) para invitar a una organización externa especializada en la preparación y el apoyo de las inspecciones de Roskomnadzor.
El criterio principal para elegir una empresa de este tipo, un integrador de sistemas, es la presencia de proyectos similares completados en esta área, la capacidad de presentar un servicio y contar en detalle las etapas de trabajo y los resultados de cada una de ellas, la capacidad de justificar el costo. Es de esperar que el trabajo de calidad nunca cueste indecentemente barato y que dure poco.
Un buen integrador ciertamente le ofrecerá un ciclo completo de trabajo: desde la disposición para convencer a la gerencia de la compañía de la necesidad del proyecto de apoyar durante la auditoría y ayudar a preparar las respuestas a las instrucciones sobre la eliminación de las infracciones posteriores.
Independientemente de si atraerá a una organización de terceros o no, lo más importante que la alta gerencia puede ayudarlo, además del presupuesto, es iniciar un boletín informativo para toda la empresa sobre el inicio del trabajo con una solicitud para ayudar completamente a la persona responsable. Es muy importante enfatizar que esta es una autoevaluación, no una auditoría para identificar y castigar a los perpetradores. Desafortunadamente, hubo casos de pánico y resistencia por parte de los empleados hasta la negativa a proporcionar información muy necesaria sobre un proceso en particular. Recuerde: una solicitud cortés de la gerencia y la conciencia de participación en una causa común en aras de un buen objetivo por parte de todos los empleados hacen maravillas.
Las principales etapas del trabajo.
Ahora que se da luz verde, veamos las etapas necesarias de trabajo.
La forma más efectiva de prepararse para una auditoría es tratar de cubrir todo al máximo: no se sabe de antemano qué procesos específicos analizará el regulador; todo depende del tiempo y los recursos de personal asignados por Roskomnadzor.
Antes del inicio de la auditoría, la compañía recibirá una carta oficial indicando sus términos y plan. Convencionalmente, el proceso puede dividirse en dos partes: solicitud y estudio de la documentación (estamos hablando de más de veinte documentos organizativos y administrativos mencionados al principio) y entrevistas personales con los ejecutores directos: el inspector no tiene ningún interés en sentarse en una sala de reuniones y comunicarse con los jefes de departamento durante un mes. Casi siempre, las conversaciones tienen lugar en los lugares de trabajo de los empleados. El inspector tiene derecho a solicitar mostrar los sistemas / carpetas / correo, así como buscar algo en la computadora que funciona: no necesita proporcionar acceso a la red de la empresa, sin embargo, puede tomar capturas de pantalla de ciertos procesos.
Definitivamente verificarán los procesos típicos de todas las empresas: modo de aprobación ("¿quién procesa cómo gestionar la PD de los visitantes?"), Buscar candidatos para puestos vacantes ("¿Cuánto tiempo duran los currículums de solicitantes de empleo?"), Gestión de recursos humanos ("¿por qué necesita mantener PD de despedidos? empleados? "), contabilidad (" ¿sobre qué base se transfieren los PD al banco y al seguro? "), interacción con los contratistas (" ¿se les da instrucciones para el procesamiento? ¿Está protegido el canal de transmisión de datos? ¿Se controla la protección de la información transferida? "), almacenamiento y entrega de documentos el archivo ( "un archivo ya sea en términos de la legislación?").
Si su actividad principal es la provisión de servicios, entonces el campo de verificación es aún más extenso: búsqueda de clientes, contratación, servicio, terminación, publicidad.
Desde uno atípico, pueden mirar el sitio web de la empresa ("¿existe una política para procesar y proteger datos personales? ¿Un mensaje sobre cookies y contadores?"), Aplicaciones móviles ("¿quién tiene las bases de datos?"), Ir a la oficina principal como un comprador misterioso, verificar el trabajo centro de llamadas, solicite un modelo de amenaza e incluso pregunte sobre el proceso de pedido de tarjetas de visita.
¿Dónde comenzar a entrenar? Proponemos actuar de la misma manera que un revisor (un excelente ensayo antes de una revisión real), con la única diferencia de que todo el personal está listo para ayudarlo y le dirá todo como es, con todas las deficiencias, por eso es tan importante la participación de la alta dirección y la aclaración preliminar. razones para el trabajo repentino de auditoría interna.
Primero, estudie cuidadosamente la estructura organizativa de la empresa (y, si está disponible, la lista de ISPD), resalte audazmente los procesos de procesamiento de DP típicos, sugiera dónde pueden estar además de estas áreas, programe una entrevista. Por experiencia: los departamentos de TI y seguridad de la información son mejores para más adelante, cuando ya tenga una idea de todos los procesos de procesamiento de PD. Encuentre todos los documentos disponibles en la empresa para el procesamiento y protección de datos personales.
Cada entrevista debe durar de 30 a 60 minutos: durante este tiempo, puede recopilar toda la información necesaria sin tener que quitarle a su interlocutor de sus tareas laborales durante mucho tiempo. Las entrevistas son una gran oportunidad para descubrir qué les falta a sus colegas para que el trabajo sea más cómodo: muy a menudo escuchamos solicitudes para reflexionar sobre la falta de trituradoras o gabinetes con cerradura, así como la falta de una descripción de los procedimientos obligatorios para recopilar y proteger los PD: esto ayudará a proteger el presupuesto en el futuro para construir o actualizar un sistema de seguridad.
Asegúrese de redactar los minutos de la entrevista durante la comunicación y coordínelos con su interlocutor después. Refleje en él todos los documentos que puedan contener PD o impliquen su recibo / envío, y fueron discutidos durante la conversación; en el futuro, deberá solicitarlos y analizarlos.
Por lo tanto, al final de la fase de examen, debe tener:
- Protocolos de entrevista acordados
- Todos los documentos válidos disponibles sobre el procesamiento y la protección de la EP
- Todos los documentos que pueden incluir la entrada de PD, su recibo o transferencia
Al final
Lo más interesante permaneció: compilar un informe de encuesta, donde es necesario incluir todos los protocolos, el análisis de cada documento, el análisis de cada proceso. Y como resultado de su trabajo: una lista de violaciones encontradas, recomendaciones para su eliminación, indicando el momento y la responsabilidad.
Eso es todo: ahora puede respirar aliviado y ... inmediatamente proceder con la implementación de estas recomendaciones.
¿El trabajo realizado garantizará una prueba perfecta? Nadie puede prometerle que el proceso se llevará a cabo sin un solo comentario (en cualquier caso, ni un solo especialista experimentado de buena fe, por supuesto), pero puede influir muy bien en la cantidad de comentarios tan pequeños como sea posible y su eliminación será mínimamente dolorosa en los casos asignados. (bastante democrático ahora 3-6 meses) términos.
Después de verificar, asegúrese de pensar en los aspectos técnicos de la protección de DP, respaldar los procedimientos y documentos implementados, llevar a cabo la capacitación de los empleados y la próxima vez definitivamente será un poco más fácil.