О примерном перечне документов, запрашиваемых Роскомнадзором в проверках, и его развитии

В руки попали две версии списка документов, которые запрашивает Роскомнадзор у коммерческих организаций при проверке в области персональных данных.
Списки от 2012 и от 2013 года решил сравнить.
Зеленым отметил то, что не изменилось, Синим - новое, а Красным - то, что из списка исчезло.

Что получилось, привожу ниже. Но некоторые выводы сделаю.

Что я никогда не видел ни в перечне, ни при надзоре

Во-первых, я всегда отмечал такую странность, что РКН не требует среди свидетельств "налаженного процесса" такую вещь, как наличие периодического контроля. Но, если раньше хотя бы был "План внутренних проверок", то сейчас Оператору в этой части вообще не на что ориентироваться. У госов-то хотябы есть ПП211, а у коммерческих ничего...
Во-вторых, не видел никогда ничего в области компетентности ответственных лиц и персонала. Хотя по нашему мнению - это краеугольный камень. С другой стороны РКН и не имеет права такое спрашивать. Хотя, если бы им дали такое право - оценивать компетентность, то она дала бы наибольший эффект среди всех видов надзорных мероприятий! И при минимальных затратах: собрали всех и протестировали! Да и штрафовать за это интереснее и быстрее. Это я отвлекся :)
Далее, про оценку вреда, про оценку угроз, про оценку эффективности - тоже не запрашивается. При этом модель угроз в момент надзора всё-таки запрашивается.
Я бы еще много практик по обеспечению живучести процесса организации обработки ПДн привел, но об этом в семинарах, в личном общении и напишу в будущем.

Итак, продолжу.

О новшествах

Пункт 19 "о структурной схеме подразделений и обмена между ними и 3-ми лицами" - действительно новшество, т.к. без него лезть в затуманенные слабоструктурированные структуры сложно, особенно когда ОтвОргПДн не сам их придумывал. Не знаю, может наши наработки повлияли, т.к. мы такое делаем во всех проектах, с некоторыми из которых в РКН знакомы :) У нас это называется кросс-функциональная диаграмма процесса обработки ПДн. Первопроходцам она не понятна и даже вызывает вопросы о зряпотраченныхденьгах, но обозреваемость даёт очень хорошую - правовые аспекты все видно, особенно если она цветная. И вообще это отличная учебная методика и ведь со многими споришь еще, почему им нужно учиться тут, а не взять готовую стопку. Вообще я надзор не рекомендовал бы людям со слабым сердцем и людям,  не представляющим, откуда "ноги растут" у ПДн в их организации. Отмечу, что в ней мы отмечаем четыре стороны взаимодействия: субъект, оператор, обработчик, 3-е лицо. Может это чем поможет Вам.

Что исчезло

Исчез запрос сведений о защите информации и устаревшие явления типа "классификаци" и "комиссия по классификации". Вообще тема надзора в области 19 статьи - она туманна. Вроде как ФСБ и ФСТЭК не имеют право этого делать в отношении неГИС, но и про Роскомнадзор ничего запрещающего там нет. Разве что может быть их останавливает одно, что требования устанавливают не они, значит сфера компетенции не их, потому и не могут проверять.

Заключение

В общем-то видно, что тема развивается. Более того отмечу, что РКН в нашем регионе очень компетентен в области ПДн и вообще связанной с ПДн методики, заложенной в законодательство. Потому по моему мнению коллеги работают более чем достойно, не смотря на ограничения. Я в данной заметке при этом указываю на пункты или идеи, которые могли бы повысить эффективность политики в данной области.

Вот список-сравнение:

1. Копия приказа о назначении ответственного представителя Оператора при проведении проверки.

2. Уведомление об обработке (о намерении осуществлять обработку) персональных данных.

3. Копии учредительных (регистрационных) документов.

4. Типовые формы договоров, заключенных между оператором и субъектом персональных данных по основным направлениям деятельности оператора.

5. Типовые формы договоров оператора с третьими лицами на обработку персональных данных, Список третьих лиц.

6. Документы, подтверждающие согласие субъектов персональных данных (абонентов и сотрудников оператора) на обработку/передачу их персональных данных (типовая форма).

7. Договоры, заключенные оператором с третьими лицами, касающиеся поручения обработки персональных данных.

8. Локальные правовые акты по организации и обеспечению конфиденциальности и безопасности персональных данных абонентов и сотрудников оператора при их обработке.

9. Положение о порядке обработки персональных данных.

10. Приказ о назначении ответственного за организацию обработки персональных данных.

11. Копии должностных инструкций лиц, имеющих доступ и (или) осуществляющих обработку персональных данных.

12. Документ, определяющий политику оператора в отношении обработки персональных данных.

13. План внутренних проверок состояния защиты персональных данных.

14. Документы, подтверждающие факты уничтожения персональных данных абонентов и сотрудников оператора при достижении цели обработки персональных данных, либо Справка подтверждающая, что уничтожения персональных данных не производилось (за период).

15. Приказ об утверждении мест хранения материальных носителей персональных данных.

16. Приказ о назначении ответственных лиц по работе с персональными данными.

17. Приказ о назначении сотрудников, ответственных за хранение и уничтожение информации, содержащей персональные данные, документы, регламентирующие порядок   хранения   и   уничтожения   информации, содержащей персональные данные.

18. Справка по осуществлению трансграничной передачи персональных данных на территорию иностранных государств (если таковая осуществляется).

19. Копия структурной схемы подразделений, в которых обрабатываются персональные данные, с указанием информационных потоков, по которым передаются персональные данные от подразделения к подразделению, от подразделения к филиалам (если имеются), от подразделений филиалов к подразделению, от подразделений к третьим лицам.

20. Перечень используемых оператором автоматизированных информационных систем (АИС) и баз данных (БД).

21. Журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию оператора.

22. Распечатки электронных шаблонов полей, содержащие персональные данные.

23. Формы документов (бланки), использующиеся при неавтоматизированной обработке персональных данных, содержащие поля, предназначенные для персональных данных сотрудников, абонентов без содержания самих персональных данных.

24. Копии документов, регламентирующие порядок предоставления доступа для сотрудников к информационным ресурсам оператора, содержащим персональные данные.

25. Копия приказа о назначении администратора защиты информации, копия его должностной инструкции.

26. Копии документов, регламентирующих порядок обмена персональными данными при их обработке в информационных системах.

27. Утвержденная схема организации информационного обмена между оператором и третьими лицами, участвующими в информационном обмене, а также другими задействованными в деятельности оператора организациями, в том числе в части предоставления отчетности, с указанием на схеме используемых технических средств защиты передаваемой информации, средств криптографической защиты информации.

28. Копии документов, определяющих уровни защищенности персональных данных при их обработке в информационных системах.

29. Пояснительная записка к схеме, содержащая сведения о сертификатах соответствия используемого оборудования (с приложением копий), программных и технических средств защиты информации.

30. Копия приказа о создании комиссии и акты проведения классификации информационных систем персональных данных оператора.

31. Справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных.

32. Справку о штатной численности и структуре организации по состоянию на дату проверки.