6 рекомендаций чтобы успешно пройти проверку Роскомнадзора

6 рекомендаций чтобы успешно пройти проверку Роскомнадзора

Последние годы Роскомнадзор заработал в части ПДн авторитет адекватного проверяющего органа. Лично мне довелось поучаствовать в нескольких проверках и могу подтвердить, что в рамках проверок все было по делу. Однако последняя информация заставила задуматься и подготовить несколько рекомендаций для успешного прохождения проверки.

1) Чиновнику запрещено все, что явно не разрешено. Проверяющий не должен требовать ничего сверх своих компетенций. Не дело Роскомнадзора смотреть средства защиты, сети и т.п. Финансовая документация также не их вотчина. Хотя здесь есть деталь. В случае вашего отказа в предоставлении очередной справки, которая, по вашему мнению, не относится к проверке, вам могут запросто выписать замечание и его придется оспаривать. Тут все зависит от ситуации, в большинстве случаев не нужно идти на конфликт, лучше предоставить документ.

2) С уважением отношусь к представителям Роскомнадзора, и к самой службе. Однако, практика показывает, что среди проверяющих попадаются неадекватные люди и даже хамы. К встрече с такими одиозными товарищами нужно быть готовым. Во-первых, проверяющий не имеет права вас оскорблять, унижать, хамить и т.д. Эти действия наказываются. Конечно, вы не можете пристыдить проверяющего ;-) или воззвать к его [внутреннему интеллигентуk. Есть документ , оформленный приказом Роскомнадзора, называется он ни много ни мало [Кодекс этики и служебного поведенияk. Так вот, согласно этому кодексу, представители Роскомнадзора должны исполнять должностные обязанности на высоком профессиональном уровне, проявлять корректность и внимательность в обращении с гражданами и должностными лицами, соблюдать нормы служебной и профессиональной этики и правила делового поведения (ст.9). Сотрудник службы должен воздерживаться от грубости, проявления пренебрежительного тона, заносчивости, предвзятых замечаний, предъявления неправомерных, незаслуженных обвинений, угроз, оскорбительных выражений (ст.13) и т.д. и т.п.

Конечно в кодексе есть замечательный раздел по ответственности за нарушение кодекса. Нарушение служащими Роскомнадзора указанных правил подлежит [моральному осуждениюk специальной комиссией Роскомнадзора ;-) , а соблюдение правил должно быть учтено при проведении аттестаций, формировании кадрового резерва, а также при наложении взысканий ;-) .

Смех смехом, но сомневаюсь, что руководству службы будет приятно получить жалобу на своего сотрудника, который позволял себе хамское поведение и нецензурную брань в ходе проверки. Руководство службы потратило слишком много времени на поднятие авторитета службы, и не позволит [паршивой овцеk все испортить.

3) [Не может быть все хорошо!k
Как не может? Может! С удивлением узнаю, что проверяемые сами соглашаются, чтобы им вписали парочку замечаний. Зачем вам это нужно? Каждое замечание лишний повод зайти вновь.

4) Есть плановые и внеплановые проверки. Среди внеплановых стали встречаться так называемые [проверки по поручению Правительства РФk. Очень неприятное основание. За пару недель у вас может побывать Роскомнадзор, ФСБ, БСТМ, Прокуратура и т.д. Это уже риск первого уровня (всего бизнеса). Как решать? Индивидуально! Важно знать, что такое бывает, такие проверки, скорее всего, пойдут по нескольким организациям отрасли и тема ПДн это лишь часть [проверяемогоk.

5) Проверяют в основном документы, поэтому документация должна быть и ее качество должно быть высоким. Нельзя показывать проверяющим акт классификации по К1, который вы делали в 2009 году, создадите себе лишние проблемы.

6) Никто не запрещает вам привлечь консультанта (физическое или юридическое лицо), который поддержит вас при проверке. Вроде бы очевидная вещь, но бывают проблемы. Дело в том, что некоторых проверяющих нервируют консультанты. Были случаи, когда появлялись угрозы и настоятельные рекомендации избавиться от консультантов (см. пункт 1). Конечно, эти требования незаконны! Вы можете привлекать для помощи кого захотите. Для большей уверенности можете подписать с консультантами договор на оказание услуг.

Пока так. Если есть у вас есть дополнительные идеи, или я что-то забыл, пишите в комментарии.

Персональные данные Проверки регуляторов безопасность персональных данных Заблуждения закон о персональных данных Информационная безопасность Проверки Роскомнадзор система персональных данных Требования Уведомление угрозы безопасности ФСБ ФСТЭК
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации