Im russischen Rechtsbereich gilt seit 13 Jahren das Bundesgesetz „Über personenbezogene Daten“ Nr. 152-FZ.
Es scheint, dass die PD-Betreiber im Laufe der Jahre alles durchgemacht haben: sowohl die Erkenntnis der Notwendigkeit, personenbezogene Daten zu schützen, als auch die Akzeptanz, dass auch nur ein vollständiger Name PD ist, und die Unvermeidlichkeit, mehr als zwanzig Organisations- und Verwaltungsdokumente zu schreiben, und sogar eine unterwürfige Vereinbarung mit der Notwendigkeit des Aufbaus ein komplettes Sicherheitssystem zusammen mit Papiersicherheit.
152- erhöhte nicht nur das Bewusstsein der PD-Betreiber, sondern die Unternehmen selbst erkannten auch, dass sie Eigentümer vertraulicher Informationen waren und forderten deren wirksamen Schutz.
Trotz der täglichen Erfahrung mit PD wird die dringlichste Frage vor dem Audit immer lauten: „Was genau beobachtet Roskomnadzor?“
Glücklicherweise haben wir bereits eine Antwort, die auf der umfassenden Praxis der Vorbereitung auf ILV-Inspektionen basiert: Sie befasst sich mit allem, was mit der organisatorischen Verteidigung von PD zu tun hat.
Leider bedeutet dies, dass dieser Prozess nicht einfach und umfangreich ist, aber dies hat seine Vorteile: Ein solches Projekt ist immer eine hervorragende Gelegenheit, eine Bestandsaufnahme von Informationsflüssen und -systemen vorzunehmen, wodurch Geschäftsprozesse transparenter werden und optimiert werden können. Aber das ist nach. In diesem Artikel wird beschrieben, was zu tun ist, wenn Sie Ihr Unternehmen in Bezug auf Audits finden.
Vorbereitung zur Überprüfung
Übrigens müssen Sie das Unternehmen so früh wie möglich im Plan sehen: Dazu können Sie jetzt auf der Website von Roskomnadzor das Dokument „Der Plan des Bundesamtes für die Überwachung von Kommunikation, Informationstechnologien und Massenkommunikation im Bundesdistrikt 2019“ finden. Wenn sich Ihre rechtliche Adresse in einem anderen Bundesbezirk befindet (oder zum Zeitpunkt des Lesens dieses Artikels bereits 2019 vergangen ist), ersetzen Sie diese Parameter durch die erforderlichen. Wenn Sie nicht in den Plan für das laufende Jahr aufgenommen wurden, haben Sie ungefähr im Dezember bereits Zugriff auf den Plan für das nächste Jahr.
Da die Vorbereitung des Audits die obligatorische Folgephase der Umsetzung von Empfehlungen umfasst, müssen Sie den Prozess mindestens 6 Monate vor dem offiziellen Starttermin starten. Dies hilft Ihnen, Zeitdruck zu vermeiden und die Mitarbeiter aktiv von ihren aktuellen Aufgaben abzulenken (von Kollegen ist dies unwahrscheinlich) wird positiv akzeptiert) und das Weglassen wichtiger Aspekte bei den erforderlichen Arbeiten (und dies wird vom Inspektor nicht genehmigt).
Machen Sie sich bereit: Sie befinden sich zwischen zwei Bränden, wenn Sie vorübergehend Unannehmlichkeiten für das Gemeinwohl schaffen müssen, aber eine bittere Pille ist manchmal von entscheidender Bedeutung. Hauptsache, die Bereitschaft, alles zusammenzunehmen. Inspektionsarbeiten müssen notwendigerweise in einer einladenden Atmosphäre der Zusammenarbeit stattfinden. Ihre Aufgabe ist es nicht, jemanden zu bestrafen, sondern dem Unternehmen zu helfen, eine Selbsteinschätzung durchzuführen und Verstöße und Mängel zu beseitigen.
Dazu ist es zunächst erforderlich, der Unternehmensleitung die Bedeutung der Veranstaltung zu vermitteln und um deren aktive Teilnahme zu bitten. Es gibt eine Regel für Gold, dass es im Geschäftsleben notwendig ist, die Sprache des Geldes zu sprechen, die er versteht. Nun: Geldbußen für Verstöße gegen das für uns interessante Bundesgesetz sind in den Artikeln 137, 140, 272, 274 des Strafgesetzbuchs der Russischen Föderation und in den Artikeln 13.11, 13.12, 13.25, 19.5 des Verwaltungsgesetzbuchs der Russischen Föderation angegeben und werden nun von Roskomnadzor für jeden Verstoß ausgestellt. Wenn Ihr Unternehmen skeptisch gegenüber Verlusten von mehreren hundert oder Millionen Rubel ist, dann ist Ihre Trumpfkarte eine Erwähnung von Reputationsrisiken: Beleidigte Mitarbeiter und Kunden sind im Internet uneingeschränkt zugänglich, Nachrichtenseiten sind bereit, jedes kleine Leck zu greifen und es im Ausmaß einer Sensation aufzublasen, und Konkurrenten hilft ihnen gerne dabei.
Ihre Aufgabe ist es jedoch nicht, das Management des Unternehmens zu erschrecken, sondern ihm eine Lösung für das Problem zu bieten und Unterstützung zu suchen. In dieser Phase müssen Sie Ihre Stärke bewerten und verstehen, ob es Mitarbeiter im Bundesstaat gibt, die von dem Projekt angezogen werden können. Es ist zu beachten, dass diese Mitarbeiter in der Lage sein sollten, mindestens 80% der Arbeitszeit für die zugewiesene Aufgabe aufzuwenden - d. H. Bereiten Sie nicht das gesamte Unternehmen parallel zur Personal- / Buchhaltungs- / Rechtstätigkeit auf die Überprüfung vor, sondern widmen Sie fast die gesamte Zeit dem Unternehmen. Und hier kommen wir zu einer wichtigen Voraussetzung für eine erfolgreiche Schulung - der Anwesenheit eines separaten Mitarbeiters im Staat, der für die Verarbeitung und den Schutz personenbezogener Daten verantwortlich ist und Teil der Abteilung für Informationssicherheit ist. Dies ist das effektivste Modell für die Verwaltung dieses Prozesses, und die Einsparungen hier sind unserer Meinung nach unangemessen.
Es gibt zwei Möglichkeiten, dieses Modell umzusetzen: einen Mitarbeiter im Staat einzustellen oder (oder besser gleichzeitig) eine externe Organisation einzuladen, die auf die Vorbereitung und Unterstützung von Inspektionen von Roskomnadzor spezialisiert ist.
Das Hauptkriterium für die Auswahl eines solchen Unternehmens - eines Systemintegrators - ist das Vorhandensein ähnlicher abgeschlossener Projekte in diesem Bereich, die Fähigkeit, einen Service zu präsentieren und detailliert über die Arbeitsphasen und die Ergebnisse jedes einzelnen zu berichten, die Fähigkeit, die Kosten zu rechtfertigen. Es ist zu erwarten, dass Qualitätsarbeit niemals unangemessen billig kostet und unerwartet wenig hält.
Ein guter Integrator bietet Ihnen mit Sicherheit einen vollständigen Arbeitszyklus: von der Bereitschaft, die Unternehmensleitung von der Notwendigkeit zu überzeugen, dass das Projekt während des Audits unterstützt wird, und bei der Vorbereitung von Antworten auf die Anweisungen zur Beseitigung von Verstößen danach.
Unabhängig davon, ob Sie eine Drittorganisation gewinnen oder nicht, kann Ihnen das Top-Management neben dem Budget vor allem helfen, einen unternehmensweiten Newsletter über den Beginn der Arbeit mit der Bitte um vollständige Unterstützung der verantwortlichen Person zu erstellen. Es ist sehr wichtig zu betonen, dass dies eine Selbsteinschätzung ist, keine Prüfung, um die Täter zu identifizieren und zu bestrafen. Leider gab es Fälle von Panik und Widerstand seitens der Mitarbeiter, bis sie sich weigerten, dringend benötigte Informationen über einen bestimmten Prozess bereitzustellen. Denken Sie daran: Eine höfliche Bitte des Managements und das Bewusstsein für die Teilnahme an einer gemeinsamen Sache zum Wohle eines guten Ziels aller Mitarbeiter wirken Wunder.
Die Hauptphasen der Arbeit
Nachdem das grüne Licht gegeben ist, gehen wir die notwendigen Arbeitsschritte durch.
Der effektivste Weg, sich auf ein Audit vorzubereiten, besteht darin, zu versuchen, alles maximal abzudecken: Es ist nicht im Voraus bekannt, welche spezifischen Prozesse die Regulierungsbehörde prüfen wird - alles hängt von der Zeit und den von Roskomnadzor zugewiesenen Personalressourcen ab.
Vor Beginn des Audits erhält das Unternehmen ein offizielles Schreiben mit den Bedingungen und dem Plan. Herkömmlicherweise kann der Prozess in zwei Teile unterteilt werden: Anforderung und Studium der Dokumentation (es handelt sich um mehr als zwanzig eingangs erwähnte Organisations- und Verwaltungsdokumente) und persönliche Befragung von direkten Ausführenden: Der Inspektor ist völlig uninteressiert, den ganzen Monat im Besprechungsraum zu sitzen und mit den Abteilungsleitern zu sprechen. Fast immer finden Gespräche an den Arbeitsplätzen der Mitarbeiter statt. Der Inspektor hat das Recht, die Anzeige der Systeme / Ordner / E-Mails sowie die Suche nach etwas auf dem funktionierenden Computer anzufordern: Er muss keinen Zugriff auf das Unternehmensnetzwerk gewähren, kann jedoch Screenshots bestimmter Prozesse erstellen.
Sie werden auf jeden Fall die für alle Unternehmen typischen Prozesse überprüfen: Übergabemodus („Wer verarbeitet die Verwaltung der PD von Besuchern?“), Suche nach Kandidaten für freie Stellen („Wie lange dauern Lebensläufe von Arbeitssuchenden?“), Personalmanagement („Warum müssen Sie die PD entlassen? Mitarbeiter? “), Buchhaltung („ Auf welcher Grundlage werden PDs an die Bank und die Versicherung übertragen? “), Interaktion mit Auftragnehmern („ Erhalten sie Anweisungen zur Verarbeitung? Ist der Datenkanal geschützt? Wird der Schutz der übertragenen Informationen kontrolliert? “), Speicherung und Lieferung von Dokumenten das Archiv ( „eine Datei, ob es sich in Bezug auf die Gesetzgebung?“).
Wenn Ihre Haupttätigkeit die Erbringung von Dienstleistungen ist, ist das Feld für die Überprüfung noch umfangreicher: Kundensuche, Vertragsabschluss, Service, Kündigung, Werbung.
Von einer atypischen Seite aus können sie die Website des Unternehmens ("Gibt es eine Richtlinie zum Verarbeiten und Schützen personenbezogener Daten? Nachricht über Cookies und Zähler?"), Mobile Anwendungen ("Wer hat die Datenbanken?") Und die Arbeit als Testkäufer im Front Office überprüfen Call-Center, fordern Sie ein Bedrohungsmodell an und fragen Sie sogar nach dem Bestellvorgang für Visitenkarten.
Wo soll ich mit dem Training beginnen? Wir schlagen vor, wie ein Prüfer zu handeln (eine großartige Probe vor einer echten Überprüfung), mit dem einzigen Unterschied, dass alle Mitarbeiter bereit sind, Ihnen zu helfen, und alles so wie es ist, mit allen Mängeln - deshalb ist die Einbeziehung des Top-Managements und die vorläufige Klärung so wichtig Gründe für plötzliche interne Revisionsarbeiten.
Studieren Sie zunächst sorgfältig die Organisationsstruktur des Unternehmens (und, falls verfügbar, die Liste der ISPDs), heben Sie typische PD-Verarbeitungsprozesse kühn hervor, schlagen Sie vor, wo sie sich zusätzlich zu diesen Bereichen befinden können, und planen Sie ein Interview. Aus Erfahrung: IT- und Informationssicherheitsabteilungen bleiben am besten für später übrig, wenn Sie bereits eine Vorstellung von allen PD-Verarbeitungsprozessen haben. Hier finden Sie alle im Unternehmen verfügbaren Dokumente zur Verarbeitung und zum Schutz personenbezogener Daten.
Jedes Interview sollte 30 bis 60 Minuten dauern: Während dieser Zeit können Sie alle erforderlichen Informationen sammeln, ohne Ihren Gesprächspartner für längere Zeit von seinen Arbeitsaufgaben zu entbinden. Interviews sind eine großartige Gelegenheit, um herauszufinden, was Ihren Kollegen fehlt, um die Arbeit komfortabler zu gestalten: Sehr oft hören wir Anfragen, über das Fehlen von Aktenvernichtern oder abschließbaren Schränken sowie das Fehlen einer Beschreibung der obligatorischen Verfahren zum Sammeln und Schützen von PDs nachzudenken - dies wird dazu beitragen, das Budget in Zukunft zu schützen um ein Sicherheitssystem zu erstellen oder zu aktualisieren.
Stellen Sie sicher, dass Sie das Protokoll des Interviews während der Kommunikation erstellen und es anschließend mit Ihrem Gesprächspartner abstimmen. Reflektieren Sie darin alle Dokumente, die PD enthalten können oder deren Empfang / Senden implizieren und die während des Gesprächs besprochen wurden - in Zukunft müssen Sie sie anfordern und analysieren.
Am Ende der Prüfungsphase sollten Sie also Folgendes haben:
- Vereinbarte Interviewprotokolle
- Alle verfügbaren gültigen Dokumente zur Verarbeitung und zum Schutz von PD
- Alle Dokumente, die die Eingabe von PD, deren Empfang oder Übertragung enthalten können
Zusammenfassend
Das Interessanteste blieb: einen Umfragebericht zu erstellen, in dem alle Protokolle, die Analyse jedes Dokuments und die Analyse jedes Prozesses enthalten sein müssen. Und als Ergebnis Ihrer Arbeit - eine Liste der gefundenen Verstöße, Empfehlungen für deren Beseitigung, die den Zeitpunkt und die Verantwortung angeben.
Das war's: Jetzt können Sie aufatmen und ... sofort mit der Umsetzung dieser Empfehlungen fortfahren.
Wird die geleistete Arbeit einen perfekten Test garantieren? Niemand kann Ihnen versprechen, dass der Prozess ohne einen einzigen Kommentar abläuft (auf jeden Fall kein einziger gutgläubiger erfahrener Spezialist - sicher), aber Sie können die Anzahl solcher Kommentare so gut wie möglich beeinflussen, und ihre Beseitigung ist in den zugewiesenen Fällen minimal schmerzhaft (ziemlich demokratisch jetzt 3-6 Monate) Bedingungen.
Denken Sie nach der Überprüfung unbedingt über die technischen Aspekte des PD-Schutzes nach, unterstützen Sie die implementierten Verfahren und Dokumente, führen Sie Mitarbeiterschulungen durch, und beim nächsten Mal werden Sie auf jeden Fall ein wenig einfacher.