Закон «О персональных данных». Проверки. Кто проверяет, кого проверяют и как. Часть 2

Проверки ФСТЭК и ФСБ.
Статья 19 федерального закона «О персональных данных» определяет, как должна быть обеспечена безопасность персональных данных при их обработке. ФСБ и ФСТЭК могут проверять только организации, использующие государственные информационные системы. Для остальных информационных систем контроль в законе не закреплен. Прописано только, что ФСТЭК И ФСБ «решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер…, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных…».
Проверки ФСТЭК и ФСБ могут быть как плановыми, так и внеплановыми.
В рамках проверок ФСБ обращает внимание на: наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ; организационные меры, установленные в соответствии с приказом ФСБ № 378 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.); наличие средств криптографической защиты информации, порядок их учета и эксплуатации; документацию на средства криптографической защиты информации (лицензии, сертификаты, формуляры и пр.).
В рамках проверок ФСТЭК обращает внимание на: наличие модели нарушителя и угроз, актов установления уровней защищенности для ИСПДн; наличие средств защиты информации, порядок их учета и эксплуатации; документацию на средства защиты информации (лицензии, сертификаты, формуляры и пр.); организационные меры, установленные в соответствии с приказом ФСТЭК России № 21 (назначение ответственных лиц, локальные акты, порядок допуска работников к ИСПДн, физическую защиту объектов и пр.); материалы аттестационных испытаний (в ГИС).
Итак, сели раньше некоторые компании предпочитали ничего не делать и ждать возможную проверку и по ее результату заплатить небольшой штраф (до 10 000 рублей), то теперь, в свете увеличения штрафов, компании должны более внимательно относится к такому важному понятию, как персональные данные.
Но как лучше исполнить требование закона?
Собственными силами;
Привлечь профессионалов на аутсорсинг;
Выполнение закона собственными силами
Для того, чтобы выполнить все предписания, надо не только знать сам закон «О персональных данных» и подзаконные акты, но и разбираться в технических моментах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.
На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.
Выполнение закона с помощью внешнего специалиста.
Достаточно хороший способ, если у компании, которой вы доверяете, есть необходимые знания по информационной безопасности.
Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.
При выборе такого варианта уточняйте у компании — какие именно документы её специалисты будут разрабатывать, будут ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.
Специалисты Группы компаний ITI имеют большой опыт и достаточную квалификацию для проведения качественного аудита по соблюдению Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных». Они помогут устранить все недочеты и пробелы, выявленные в результате аудита, смогут проконсультировать специалистов вашей компании, а также участвовать при проведении проверок различными службами, контролируя правомерность деятельности представителей проверяющих органов.