Há 13 anos, a lei federal “Sobre dados pessoais” nº 152-FZ está em vigor no campo jurídico russo.
Parece que, ao longo dos anos, as empresas operacionais da PD passaram por tudo: tanto a realização da necessidade de proteger dados pessoais, como a aceitação de que mesmo apenas um nome completo também é a PD, e a inevitabilidade de escrever mais de vinte documentos organizacionais e administrativos e até um acordo submisso com a necessidade de criar um sistema de segurança completo junto com a segurança do papel.
152- não apenas aumentou a conscientização dos operadores de DP, as próprias entidades também começaram a perceber que eram os proprietários de informações confidenciais e exigem sua proteção efetiva.
No entanto, apesar da experiência diária com DP, a pergunta mais urgente antes da auditoria será sempre: "O que exatamente Roskomnadzor está assistindo?"
Felizmente, já temos uma resposta que se baseia na prática extensiva de se preparar para as inspeções de ILV: ela analisa tudo relacionado à defesa organizacional da DP.
Infelizmente, isso significa que esse processo não é fácil e em larga escala, mas tem suas vantagens: esse projeto é sempre uma excelente ocasião para fazer um inventário dos fluxos e sistemas de informações, o que tornará os processos de negócios mais transparentes e permitirá otimizá-los. Mas isso é depois. Este artigo descreve o que fazer quando você encontra sua empresa em termos de auditorias.
Preparação para verificação
A propósito, você precisa ver a empresa no plano o mais cedo possível: para isso, agora você pode acessar o site da Roskomnadzor e encontrar o documento `` O plano do Serviço Federal de Supervisão de Comunicações, Tecnologias da Informação e Comunicações de Massa no Distrito Federal Central em 2019 ''. Se o seu endereço legal estiver localizado em outro distrito federal (ou, no momento da leitura deste artigo, 2019 já tiver passado), substitua esses parâmetros pelos necessários. Se você não entrou no plano para o ano atual, aproximadamente em dezembro, você já terá acesso ao plano para o próximo ano.
Como a preparação para a auditoria inclui o estágio subsequente obrigatório das recomendações de implementação, é necessário iniciar o processo pelo menos 6 meses antes da data oficial de lançamento - isso ajudará a evitar a pressão do tempo e, como resultado, distrair ativamente os funcionários de suas tarefas atuais (dos colegas é improvável serão aceitos positivamente) e a omissão de aspectos importantes no trabalho necessário (e isso não será aprovado pelo inspetor).
Prepare-se: você se encontrará entre dois incêndios quando precisar criar inconvenientes temporários para o bem comum, mas às vezes uma pílula amarga é vital, o principal é a vontade de tomar tudo junto. O trabalho relacionado à inspeção deve necessariamente ocorrer em um ambiente acolhedor de cooperação. Sua tarefa não é punir alguém, mas ajudar a empresa a realizar uma auto-avaliação e eliminar violações e deficiências.
Para isso, antes de tudo, é necessário transmitir à gerência da empresa a importância do evento e solicitar sua participação ativa. Existe uma regra para o ouro: com os negócios é necessário falar a linguagem do dinheiro que ele entende. Bem: multas por violações da lei federal de interesse para nós são indicadas nos artigos 137, 140, 272, 274 do Código Penal da Federação Russa e nos artigos 13.11, 13.12, 13.25, 19.5 do Código Administrativo da Federação Russa e agora são emitidos por Roskomnadzor para cada violação. Se sua empresa é cética em relação a perdas de centenas ou milhões de rublos, seu trunfo é uma menção a riscos de reputação: funcionários e clientes ofendidos estão totalmente acessíveis na Internet, sites de notícias estão prontos para capturar qualquer pequeno vazamento e inflá-lo à medida de uma sensação e concorrentes. ficará feliz em ajudá-los com isso.
Mas sua tarefa não é assustar a gerência da empresa, mas fornecer uma solução para o problema e procurar apoio. Nesta fase, você precisa avaliar sua força e entender se há funcionários no estado que podem ser atraídos pelo projeto. Deve-se observar que esses funcionários devem poder dedicar pelo menos 80% das horas de trabalho à tarefa atribuída - ou seja, Não prepare toda a empresa para verificação em paralelo com atividades pessoais / contábeis / legais, mas dedique quase todo o seu tempo a ela. E aqui chegamos a uma condição importante para o treinamento bem-sucedido - a presença no estado de um funcionário separado responsável pelo processamento e proteção de dados pessoais, que faz parte da divisão de segurança da informação. Este é o modelo mais eficaz para gerenciar esse processo, e as economias aqui, em nossa opinião, são inadequadas.
Existem duas opções para implementar esse modelo: contratar um funcionário no estado ou (ou melhor ao mesmo tempo) convidar uma organização externa especializada na preparação e suporte de inspeções de Roskomnadzor.
O principal critério para a escolha de uma empresa - um integrador de sistemas - é a presença de projetos concluídos semelhantes nessa área, a capacidade de apresentar um serviço e informar detalhadamente as etapas do trabalho e os resultados de cada uma delas, a capacidade de justificar o custo. É de se esperar que um trabalho de qualidade nunca custe indecentemente mais barato e dure inesperadamente pouco.
Um bom integrador certamente oferecerá um ciclo completo de trabalho: desde a prontidão para convencer a gerência da empresa da necessidade de suporte do projeto durante a auditoria e ajudar a preparar respostas para as instruções sobre como eliminar violações após ele.
Independentemente de você atrair ou não uma organização de terceiros, a maior coisa que a alta gerência pode ajudá-lo - além do orçamento - é iniciar um boletim informativo para toda a empresa sobre o início do trabalho com uma solicitação para ajudar totalmente a pessoa responsável. É muito importante enfatizar que se trata de uma auto-avaliação, não de uma auditoria para identificar e punir os autores. Infelizmente, houve casos de pânico e resistência por parte dos funcionários, até a recusa em fornecer informações necessárias sobre um processo específico. Lembre-se: um pedido educado da gerência e conscientização da participação em uma causa comum em prol de um bom objetivo por parte de todos os funcionários faz maravilhas.
As principais etapas do trabalho
Agora que a luz verde é dada, vamos percorrer as etapas necessárias do trabalho.
A maneira mais eficaz de se preparar para uma auditoria é tentar cobrir tudo ao máximo: não se sabe com antecedência quais processos específicos o regulador analisará - tudo depende do tempo e dos recursos humanos alocados por Roskomnadzor.
Antes do início da auditoria, a empresa receberá uma carta oficial indicando seus termos e plano. Convencionalmente, o processo pode ser dividido em duas partes: solicitação e estudo da documentação (estamos falando de mais de vinte documentos organizacionais e administrativos mencionados no início) e entrevistas presenciais com executores diretos: o inspetor fica completamente desinteressado em sentar-se na sala de reuniões e conversar com os chefes de departamentos durante todo o mês. Quase sempre, as conversas ocorrem nos locais de trabalho dos funcionários. O inspetor tem o direito de pedir para mostrar os sistemas / pastas / e-mail, além de procurar algo no computador de trabalho: ele não precisa fornecer acesso à rede da empresa, no entanto, pode tirar capturas de tela de determinados processos.
Definitivamente, eles checam os processos típicos de todas as empresas: modo de passagem ("quem processa como gerenciar o PD dos visitantes?"), Procura de candidatos para cargos vagos ("Por quanto tempo os currículos dos candidatos a emprego?"), Gerenciamento de pessoal ("por que você precisa manter o PD demitido?" funcionários? "), contabilidade (" em que base os PDs são transferidos para o banco e seguros? "), interação com contratados (" recebem instruções de processamento? O canal de dados é protegido? A proteção das informações transferidas é controlada? "), armazenamento e entrega de documentos o arquivo ( "um arquivo seja em termos de legislação?").
Se sua principal atividade é a prestação de serviços, o campo para verificação é ainda mais amplo: pesquisa de clientes, contratação, serviço, rescisão, publicidade.
De um atípico, eles podem acessar o site da empresa ("existe uma política para processar e proteger dados pessoais? Uma mensagem sobre cookies e contadores?"), Aplicativos móveis ("quem possui os bancos de dados?"), Ir ao escritório principal como um comprador misterioso, verificar o trabalho call center, solicite um modelo de ameaça e até pergunte sobre o processo de pedido de cartões de visita.
Por onde começar o treinamento? Propomos agir da mesma maneira que um revisor (um excelente ensaio antes de uma revisão real), com a única diferença de que toda a equipe está pronta para ajudá-lo e contará tudo como está, com todas as deficiências - é por isso que o envolvimento da alta gerência e do esclarecimento preliminar é tão importante razões para o trabalho súbito de auditoria interna.
Primeiro, estude cuidadosamente a estrutura organizacional da empresa (e, se disponível, a lista de ISPDs), destaque com ousadia os processos típicos de processamento de PD, sugira onde eles podem estar além dessas áreas e marque uma entrevista. Por experiência: é melhor deixar os departamentos de TI e segurança da informação para mais tarde, quando você já tiver uma idéia de todos os processos de processamento de PD. Encontre todos os documentos disponíveis na empresa para processamento e proteção de dados pessoais.
Cada entrevista deve levar de 30 a 60 minutos: durante esse período, você pode coletar todas as informações necessárias sem tirar o interlocutor de suas tarefas de trabalho por um longo tempo. As entrevistas são uma ótima chance de descobrir o que seus colegas não têm para tornar o trabalho mais confortável: muitas vezes ouvimos pedidos para refletir sobre a falta de trituradores ou armários com chave, bem como a falta de uma descrição dos procedimentos obrigatórios para coletar e proteger PDs - isso ajudará a proteger o orçamento no futuro para construir ou atualizar um sistema de segurança.
Certifique-se de elaborar a ata da entrevista durante a comunicação e depois coordená-la com o seu interlocutor. Reflita nele todos os documentos que podem conter DP ou implicam em recebimento / envio e foram discutidos durante a conversa - no futuro, você precisará solicitá-los e analisá-los.
Assim, no final da fase de exame, você deve ter:
- Protocolos de Entrevistas Acordados
- Todos os documentos válidos disponíveis sobre o processamento e a proteção da DP
- Todos os documentos que podem incluir a entrada da DP, seu recebimento ou transferência
No final
O mais interessante permaneceu: compilar um relatório de pesquisa, onde é necessário incluir todos os protocolos, as análises de cada documento, as análises de cada processo. E como resultado do seu trabalho - uma lista de violações encontradas, recomendações para sua eliminação, indicando o momento e a responsabilidade.
É isso: agora você pode dar um suspiro de alívio e ... prosseguir imediatamente com a implementação dessas recomendações.
O trabalho realizado garantirá um teste perfeito? Ninguém pode prometer que o processo ocorrerá sem um único comentário (em qualquer caso, nem um especialista experiente de boa-fé - com certeza), mas você pode muito bem influenciar o número de comentários o mínimo possível e sua eliminação será minimamente dolorosa nos alocados. (bastante democrático agora de 3 a 6 meses).
Após a verificação, não deixe de pensar nos aspectos técnicos da proteção contra DP, apoie os procedimentos e documentos implementados, realize o treinamento dos funcionários e, na próxima vez em que você for definitivamente um pouco mais fácil.