منذ 13 عامًا ، أصبح القانون الفيدرالي "بشأن البيانات الشخصية" رقم 152-FZ ساريًا في المجال القانوني الروسي.
يبدو أنه على مر السنين ، مرت شركات تشغيل PD بكل شيء: تحقيق الحاجة إلى حماية البيانات الشخصية ، والقبول بأنه حتى الاسم الكامل فقط هو PD ، وحتمية كتابة أكثر من عشرين وثيقة تنظيمية وإدارية ، وحتى الاتفاق الخاضع مع الحاجة إلى بناء نظام الأمن الكامل جنبا إلى جنب مع ورقة الأمن.
152-increased ليس فقط زيادة وعي مشغلي PD ، بدأت الكيانات نفسها تدرك أيضًا أنهم أصحاب المعلومات السرية ويطالبون بحمايتها الفعالة.
ومع ذلك ، على الرغم من التجربة اليومية مع PD ، فإن السؤال الأكثر إلحاحًا قبل التدقيق سيكون دائمًا: "ما هو بالضبط Roskomnadzor يراقب؟"
لحسن الحظ ، لدينا بالفعل إجابة تستند إلى الممارسة الواسعة للتحضير لعمليات تفتيش ILV: فهي تبحث في كل ما يتعلق بالدفاع التنظيمي عن PD.
لسوء الحظ ، هذا يعني أن هذه العملية ليست سهلة وواسعة النطاق ، لكن لها مزاياها: مثل هذا المشروع هو دائمًا مناسبة ممتازة لإجراء جرد لتدفقات وأنظمة المعلومات ، مما سيجعل عمليات الأعمال أكثر شفافية وستتيح تحسينها. لكن هذا بعد. سوف تصف هذه المقالة ما يجب القيام به عندما تجد شركتك من حيث عمليات التدقيق.
التحضير للتحقق
بالمناسبة ، تحتاج إلى رؤية الشركة في الخطة في أقرب وقت ممكن: لهذا ، يمكنك الآن الانتقال إلى موقع Roskomnadzor والعثور على وثيقة "خطة مكتب الخدمة الفيدرالية للإشراف في مجال الاتصالات وتكنولوجيا المعلومات والاتصالات الجماهيرية في المنطقة الفيدرالية المركزية في عام 2019". إذا كان عنوانك القانوني يقع في منطقة فيدرالية أخرى (أو في وقت قراءة هذه المقالة ، 2019 قد مضى بالفعل) ، استبدل هذه المعلمات بالمعلمات الضرورية. إذا لم تدخل في الخطة للعام الحالي ، فعند ديسمبر تقريبًا سيكون لديك بالفعل إمكانية الوصول إلى الخطة للعام المقبل.
نظرًا لأن التحضير للمراجعة يتضمن مرحلة إلزامية لاحقة من تنفيذ التوصيات ، فأنت بحاجة إلى بدء العملية قبل 6 أشهر على الأقل من تاريخ الإطلاق الرسمي - وهذا سيساعدك على تجنب ضغوط الوقت ، ونتيجة لذلك ، يصرف الموظفين بنشاط عن مهامهم الحالية (من الزملاء ، من غير المرجح أن سيتم قبولها بشكل إيجابي) وإغفال الجوانب الهامة في العمل اللازم (وهذا لن يوافق عليه المفتش).
استعد: ستجد نفسك بين نارين من الحرائق عندما تضطر إلى خلق إزعاج مؤقت من أجل الصالح العام ، ولكن حبوب منع الحمل المريرة أمر حيوي في بعض الأحيان ، والشيء الرئيسي هو الاستعداد لأخذها معًا. يجب أن تتم أعمال التفتيش ذات الصلة بالضرورة في جو من التعاون الترحيب. مهمتك ليست معاقبة شخص ما ، ولكن لمساعدة الشركة على إجراء التقييم الذاتي والقضاء على الانتهاكات وأوجه القصور.
لهذا ، أولاً وقبل كل شيء ، من الضروري أن تنقل إلى إدارة الشركة أهمية الحدث ، وأن تطلب مشاركتها النشطة. هناك قاعدة للذهب مفادها أنه في مجال الأعمال ، من الضروري التحدث بلغة المال التي يفهمها. حسنًا: يشار إلى غرامات انتهاك القانون الفيدرالي الذي يهمنا في المواد 137 و 140 و 272 و 274 من القانون الجنائي للاتحاد الروسي والمواد 13.11 و 13.12 و 13.25 و 19.5 من القانون الإداري للاتحاد الروسي ، وهي تصدر الآن عن Roskomnadzor عن كل حقيقة من حالات الانتهاك. إذا كان عملك متشككا في خسائر عدة مئات أو ملايين من الروبل ، فبطاقة الرابحة الخاصة بك هي إشارة إلى مخاطر السمعة: يمكن الوصول بشكل كامل إلى الموظفين والعملاء الذين يتعرضون للإهانة ، ومواقع الأخبار جاهزة للاستيلاء على أي تسرب صغير وتضخيمه إلى حد ما ، ومنافسيه سوف نكون سعداء لمساعدتهم في هذا.
لكن مهمتك ليست تخويف إدارة الشركة ، ولكن تزويده بحل للمشكلة وطلب الدعم. في هذه المرحلة ، تحتاج إلى تقييم قوتك وفهم ما إذا كان هناك موظفون في الولاية يمكن اجتذابهم إلى المشروع. تجدر الإشارة إلى أن هؤلاء الموظفين يجب أن يكونوا قادرين على تخصيص 80٪ على الأقل من ساعات العمل للمهمة المعينة - أي لا تعد الشركة بأكملها للتحقق بالتوازي مع أنشطة الموظفين / المحاسبة / القانونية ، ولكن خصص كل وقتها تقريبًا. وهنا نصل إلى شرط مهم لنجاح التدريب - وجود موظف منفصل مسؤول عن معالجة البيانات الشخصية وحمايتها ، وهو جزء من قسم أمن المعلومات. هذا هو النموذج الأكثر فعالية لإدارة هذه العملية ، والوفورات هنا ، في رأينا ، غير مناسبة.
هناك خياران لتطبيق هذا النموذج: لتوظيف موظف في الولاية أو (أو بشكل أفضل في نفس الوقت) لدعوة منظمة خارجية متخصصة في إعداد ودعم عمليات تفتيش Roskomnadzor.
تتمثل المعايير الرئيسية لاختيار مثل هذه الشركة - أحد مدمني الأنظمة - في وجود مشاريع مكتملة مماثلة في هذا المجال ، والقدرة على تقديم خدمة والتحدث بالتفصيل عن مراحل العمل ونتائج كل منها ، والقدرة على تبرير التكلفة. من المتوقع ألا يتكلف العمل الجيد أبدًا بثمن بخس وبأقل تكلفة بشكل غير متوقع.
بالتأكيد سوف يقدم لك شركة متكاملة جيدة دورة كاملة من العمل: من الاستعداد لإقناع إدارة الشركة بالحاجة إلى دعم المشروع أثناء التدقيق والمساعدة في إعداد الإجابات على الإرشادات الخاصة بالتخلص من المخالفات بعده.
بغض النظر عما إذا كنت ستجذب منظمة تابعة لجهة خارجية أم لا ، فإن أكبر شيء يمكن أن تساعدك الإدارة العليا - بالإضافة إلى الميزانية - هو إطلاق رسالة إخبارية على مستوى الشركة حول بدء العمل مع طلب مساعدة الشخص المسؤول بالكامل. من المهم للغاية التأكيد على أن هذا تقييم ذاتي ، وليس مراجعة لتحديد الجناة ومعاقبتهم. لسوء الحظ ، كانت هناك حالات من الذعر والمقاومة من جانب الموظفين حتى رفض تقديم المعلومات التي تشتد الحاجة إليها حول عملية معينة. تذكر: طلب مهذب من الإدارة والوعي بالمشاركة في قضية مشتركة من أجل تحقيق هدف جيد من جانب جميع الموظفين الذين يتساءلون عن العمل.
المراحل الرئيسية للعمل
الآن وبعد إعطاء الضوء الأخضر ، دعنا نذهب إلى مراحل العمل الضرورية.
إن الطريقة الأكثر فعالية للتحضير للتدقيق هي محاولة تغطية كل شيء إلى الحد الأقصى: من غير المعروف مسبقًا ما هي العمليات المحددة التي سينظر إليها المنظم - كل هذا يتوقف على الوقت والموارد المخصصة من قبل Roskomnadzor.
قبل بدء التدقيق ، ستتلقى الشركة خطابًا رسميًا يوضح الشروط والخطة الخاصة بها. تقليديا ، يمكن تقسيم العملية إلى قسمين: طلب ودراسة الوثائق (نحن نتحدث عن أكثر من عشرين وثيقة تنظيمية وإدارية مذكورة في البداية) ومقابلة وجهاً لوجه مع المسؤولين التنفيذيين المباشرين: المفتش غير مهتم تمامًا للجلوس في قاعة اجتماعات والتواصل مع رؤساء الأقسام لمدة شهر. دائمًا ما تقام المحادثات في أماكن عمل الموظفين. يحق للمفتش أن يطلب عرض النظم / المجلدات / البريد ، وكذلك البحث عن شيء ما على جهاز الكمبيوتر العامل: فهو لا يحتاج إلى توفير الوصول إلى شبكة الشركة ، ومع ذلك ، يمكنه التقاط لقطات من عمليات معينة.
سيقومون بالتأكيد بالتحقق من العمليات المعتادة لجميع الشركات: وضع المرور ("من الذي يعالج كيفية إدارة PD للزوار؟") ، والبحث عن المرشحين لشغل الوظائف الشاغرة ("كم من الوقت تستأنف من الباحثين عن عمل؟") ، وإدارة الموارد البشرية ("لماذا تحتاج إلى الاحتفاظ بتطوير PD للمغادرة؟" الموظفون؟ ") ، المحاسبة (" على أي أساس يتم تحويل ملفات التعريف الشخصية إلى البنك والتأمين؟ ") ، والتفاعل مع المقاولين (" هل تم إعطاؤهم تعليمات للمعالجة؟ هل قناة نقل البيانات محمية؟ هل حماية المعلومات المنقولة مسيطر عليها؟ ") ، التخزين و تسليم الوثائق أرشيف ( "ملف سواء كان من حيث التشريعات؟").
إذا كان نشاطك الرئيسي هو توفير الخدمات ، فسيكون مجال التحقق أكثر شمولًا: البحث عن العملاء ، التعاقد ، الخدمة ، الإنهاء ، الإعلان.
من موقع غير عادي يمكنهم أن ينظروا إلى موقع الشركة ("هل هناك سياسة لمعالجة وحماية البيانات الشخصية؟ رسالة حول ملفات تعريف الارتباط والعدادات؟") ، تطبيقات الهاتف المحمول ("من لديه قواعد البيانات؟") ، اذهب إلى المكتب الأمامي كمتسوق غامض ، تحقق من العمل مركز الاتصال ، اطلب نموذج تهديد ، واسأل عن عملية طلب بطاقات العمل.
من أين تبدأ التدريب؟ نقترح التصرف بنفس الطريقة التي يعمل بها المراجع (بروفة كبيرة قبل إجراء فحص حقيقي) ، مع الفارق الوحيد الذي يجعل جميع الموظفين على استعداد لمساعدتك وسيقولون كل شيء كما هو ، مع كل أوجه القصور - وهذا هو سبب أهمية مشاركة الإدارة العليا والتوضيح الأولي. أسباب عمل المراجعة الداخلية المفاجئة.
أولاً ، قم بدراسة الهيكل التنظيمي للشركة بعناية (وإذا كانت متوفرة ، قائمة ISPDs) ، وإبراز بجرأة عمليات معالجة PD النموذجية ، توحي حيث يمكن أن تكون بالإضافة إلى هذه المجالات ، وجدولة مقابلة. من التجربة: من الأفضل ترك أقسام تكنولوجيا المعلومات وأمن المعلومات في وقت لاحق ، عندما يكون لديك بالفعل فكرة عن جميع عمليات معالجة PD. ابحث عن جميع المستندات المتاحة في الشركة لمعالجة وحماية البيانات الشخصية.
يجب أن تستغرق كل مقابلة من 30 إلى 60 دقيقة: خلال هذا الوقت ، يمكنك جمع جميع المعلومات الضرورية دون أخذ المحاور من مهام عمله لفترة طويلة. تعد المقابلات فرصة عظيمة لمعرفة ما يفتقر إليه زملاؤك لجعل العمل أكثر راحة: في كثير من الأحيان نسمع طلبات للتفكير في عدم وجود أجهزة تمزيق أو خزانات قابلة للقفل ، وكذلك عدم وجود وصف للإجراءات الإلزامية لجمع وحماية PDS - وهذا سيساعد على حماية الميزانية في المستقبل لبناء أو ترقية نظام الأمان.
تأكد من إعداد محضر المقابلة أثناء الاتصال وتنسيقها مع المحاور بعد ذلك. فكر فيه جميع المستندات التي قد تحتوي على PD أو تتضمن إيصالها / إرسالها ، وتمت مناقشتها أثناء المحادثة - في المستقبل ، تحتاج إلى طلب وتحليلها.
وبالتالي ، في نهاية مرحلة الفحص ، يجب أن يكون لديك:
- بروتوكولات المقابلة المتفق عليها
- جميع الوثائق صالحة المتاحة على تجهيز وحماية PD
- جميع المستندات التي قد تتضمن إدخال PD أو استلامها أو نقلها
في النهاية
يبقى الشيء الأكثر إثارة للاهتمام: تجميع تقرير المسح ، حيث يكون من الضروري تضمين جميع البروتوكولات ، وتحليلات كل وثيقة ، وتحليلات كل عملية. وكنتيجة لعملك - قائمة الانتهاكات التي تم العثور عليها ، توصيات لإزالتها ، مع الإشارة إلى التوقيت والمسؤولية.
هذا كل شيء: الآن يمكنك أن تتنفس الصعداء ... وشرع فوراً في تنفيذ هذه التوصيات.
هل يضمن العمل المنجز اختبارًا مثاليًا؟ لا أحد يستطيع أن يعدك بأن العملية ستستمر دون تعليق واحد (على أي حال ، ليس أحد الخبراء ذوي الخبرة الحسنة النية - بالتأكيد) ، لكن يمكنك التأثير جيدًا على عدد هذه التعليقات بأقل قدر ممكن وإزالتها مؤلمة إلى الحد الأدنى في المخصصات (الديمقراطية تماما الآن 3-6 أشهر) شروط.
بعد التدقيق ، تأكد من التفكير في الجوانب الفنية لحماية PD ، ودعم الإجراءات والمستندات المنفذة ، وإجراء تدريب الموظفين ، وفي المرة القادمة ستكون بالتأكيد أسهل قليلاً.