Теперь можно отправить документы по ПДн на предварительную проверку Роскомнадзору


Как вы могли заменить из предыдущей статьи Центр Компетенций Роскомнадзора создал рабочие группы для методической помощи операторам ПДн.
В этой заметке я хочу рассказать вам про вторую важную задачу этих групп.
Перед внедрением сложных СЗИ широко практикуются так называемые Пилотные проекты / тестовые зоны / опытная эксплуатация, в рамках которых проверяется работоспособность технического решения и его соответствие требованиям и только потом решение распространяется на всю организацию и вводится в действие.

Для организационных мер ничего подобного не применяется: разрабатываем регламенты, по которым будут функционировать процессы обработки и защиты ПДн и сразу утверждаем, и внедряем их в организации. Потом оказывается, что процессы не соответствуют требованиям законодательства РФ и все нужно переделывать, менять устоявшиеся правила и переобучать персонал. 

Теперь в тестовом режиме Роскомнадзор вводит услугу по предварительной проверке пакета документов по ПДн, на соответствие обязательным требованиям. Решение по направлению проектов документов на рассмотрение исключительно добровольное. РКН называет эту процедуру “рассмотрением … подтверждающим выполнение требований” и никаких юридических последствий данная процедура иметь не будет.
  
Оператор в результате получит
·        подтверждение соответствия документов требованиям
·        либо рекомендации по потому чего не хватает

Следовать рекомендациям или нет – дело добровольное. Но как минимум вы будете в курсе того, что вам ждать на настоящей проверке РКН.

Хочу отметить, что подобные “рассмотрения” не заменяют полноценного аудита соответствия 152-ФЗ, так как не включает обследование обработки ПДн на месте и проверку соответствия фактически выполняемых процедур требованиям законодательства. Над этим вам придется поработать уже без помощи Роскомнадзора.

 Кстати, подобные предварительные проверки со стороны регулятора широко применяются в Евросоюзе и даже обязательны для определенных категорий операторов.


Напомню, что эксперимент проводится пока только в трех федеральных округах. Документы на рассмотрение можно отправить обычной почтой, по адресу управления Роскомнадзора по вашему региону, либо на электронную почту:

Я бы рекомендовал, как минимум, операторам самостоятельно (без помощи консультантов) разработавшим процессы и документы по ПДн – воспользоваться предложением РКН. Только отправляйте сразу весь пакет проектов документов который касается обработки и защиты ПДн. Не отправляйте утвержденные документы!

Комментарии

Популярные сообщения из этого блога

Обзор правоприменительной практики по ПДн от рабочей группы РКН

Сравнение статей, связанных с информационной безопасностью в проекте нового КОАП РФ

Вопросы аудита по ГОСТ 57580.2