Как РКН будет проводить проверки по линии ПДн в ближайшее время - новое Постановление Правительства

Как РКН будет проводить проверки по линии ПДн в ближайшее время - новое Постановление Правительства
В прошлом мае Минэкономразвития уже рассматривал  проект Постановления Правительства по наделению РКН новыми полномочиями в части надзора (контроля) в области ПДн. И хотя коллеги из Роскомнадзора неоднократно уверяли меня, что они и в мыслях не имели желания проводить контроль и надзор за соблюдением технических и организационных мер обеспечения безопасности ПДн в негосударственных ИСПДн, я одну из задач, возлагаемых на РКН проектом Постановления, и читаемую как "Контроль и надзор за соблюдением обязательных требований ФЗ и принимаемыми в соответствии с ними НПА, в т.ч. за выполнением организационных и технических мер по обеспечению безопасности ПДн в негосударственных информационных системах" не могу воспринимать никак иначе. Чтобы совсем уж поставить точку над i в данном вопросе еще одно доказательство - в прошлом проекте Постановления Правительства служащий РКН наделялся правом "получать доступа и проверять выполнение организационных и технических мер по обеспечению безопасности ПДн в негосударственных информационных системах".

Потом, на различных заседаниях с участием представителей ФСТЭК и ФСБ они неоднократно заявляли, что они не пропустят проект в такой формулировке, т.к. РКН вторгается не в свою область. Но вот на последнем заседании Консультативного Совета при РКН, в котором я состою, было вскользь отмечено, что РКН договорился со всеми (Минкомсвязь, ФСТЭК, ФСБ и МинЮст) и направил финальный вариант проекта Постановления на экспертизу в Минэкономразвития. Вот этот проект !

Второй абзац данного положения, еще до начала нумерации, четко говорит, что "Действие данного Положения не распространяется на деятельность по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствие со статьей 19 Федерального закона "О персональных данных". И хотя это пока проект, я думаю можно поставить точку в вопросе полномочий РКН по части технических проверок (да и сам РКН это подтверждает).

Что еще интересного есть в этом проекте?
  • Письма счастья в явной форме не относятся к документарным проверкам.
  • Вся информация и документы запрашиваются только на основании мотивированного письменногозапроса.
  • РКН имеет право получать доступ к ИСПДн.
  • РКН имеет право применять меры по приостановлению или прекращению деятельности, осуществляемой с нарушением ФЗ-152.
  • Проверки госорганов, муниципалов и физлиц проводятся в соответствие с внутренними планами РКН и они не должны публиковаться, как это делается в отношении юрлиц и индивидуальных предпринимателей.
  • Число оснований для плановых и внеплановых проверок по сравнению с предыдущим проектом и административным регламентом чуть снизилось, но незначительно. А вот пункт об отсутствии согласовывать свои внеплановые проверки с прокуратурой остался.
Вот и все ;-) Ничего более интересного в проекте нет. По сути он фиксирует то, что и так уже делается сотрудниками РКН в рамках своих проверок, но что вызывало некоторые вопросы и коллизии.

ЗЫ. Интересно, что в пояснительной записке в проекту Постановления написано, что он выкладывался на сайт РКН в открытый доступ, но ни одного предложения по нему в адрес РКН не поступило. Я конечно не ежедневно хожу на сайт РКН, но что-то я не припомню, чтобы именно этот текст выкладывался на сайт. Ну да ладно...
законодательство Роскомнадзор персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!