Clever Geek Handbook

Roskomnadzorの検査:実用的な側面

私の尊敬。



個人データに関する法律の最新の変更をきっかけに(まず、義務的な「個人データのローカリゼーション」を導入し、管理責任の規模を拡大することです)、メディアスペースは、ロスコムナゾールの今後の[チェックシャフト]を絵に描いたストーリーで再び満たされます(ILV)。 実際、ILVの検証はかなり面白い探求になる可能性がありますが、関連するイベントの複雑さはしばしば非常に誇張されます。 一方、検査の内容は時間とともに変化するため、現在の慣行を常に監視する必要があります。



2017年、私はいくつかの地域(モスクワとサンクトペテルブルクを含む)でILV検査に参加することができました。 この点で、私はコミュニティのメンバーが彼らの仕事に役立つことができるいくつかの実用的な考慮事項を共有したいと思います。 多くの場合、この情報は新しいものではありませんが、誰かが役に立つかもしれません。



(1)検査に合格するために提出しなければならない文書の特定のリストを検査官が送ることを期待すべきではありません。 「PDの安全性を確保するための法的、組織的および技術的手段の適用を確認する文書のコピー」-チェックの1つでILVによって要求された文書の実際のリストからの引用。 あなたが見るように、特異性のレベルは印象的です。



(2)特定の問題の検討結果は、オペレーターが自分の視点をどれだけ自信を持って徹底的に擁護するかに依存することに留意する必要があります。 実践では、多くの問題について、検査官には明確な理由のある立場がないことが示されています。



どの程度の情報を個人データ(PD)とみなすことができるか、およびオペレーターに代わってどの人がPDを処理しているとみなされるべきかという問題について、特に興味深い議論を行うことができます。 幸いなことに、ILV自体が科学的および実用的な解説で使用している華麗な製剤には、かなり大きな操作の余地が残されています。



(3)法律で使用される同じ用語の解釈に関するさまざまな役人の立場は大きく異なります。 そのため、ある検査官はネットワークドライブ上のファイルストレージを個人データ情報システム(ISPD)と見なすことができますが、別の検査官はこの観点に同意しません。 したがって、ある地域で特定の視点を維持することに成功しても、別の地域で同様の結果が得られるとは限りません。



概して、この状況は、ILVが多くの基本的な問題に関する集中的な立場を欠いている結果の1つにすぎません。 したがって、過去の監査経験を過大評価しないでください。



(4) ILVがPD事業者による規制制定の技術的要件へのコンプライアンスを検証しないことは誰にとっても秘密ではありません。 ほとんどの場合、検証は法的文書の調査、PDからの文書の保管場所の検査、および情報システムの直接検査に限定されます。



同時に、検査官が技術的な問題にある程度没頭することもあります。 特に、一部の部門は、ISDNに関連して開発した脅威モデルのコピーを事業者に要求しています。 PDに対するセキュリティの脅威のモデル化は、連邦法「個人データに関する」で明示的に言及されているため、このような転換は予想外とは言えません。



(5)監査の成功は、イベントの事前準備(文書の開発、スタッフのトレーニング)に10%依存し、検査官と会う直前にあなたがすることに90%依存します。



あなたは世界で最も注目すべき文書を開発できますが、チェック時に、秘書がどこから不明なPDを入力するためのフィールドを持つアンケートを持っている場合(彼女の存在はILVの場合と同じ発見であることは確かです)、成功の確率は急激に減少します。 したがって、監査に合格する責任がある場合は、同僚の意識に頼らずに、個人的に現場監査を必ず行ってください。



(6)問い合わせを書く準備をします。 多くの参考文献(国境を越えた伝送、個々のISPDn、ビデオ監視、セキュリティ体制など)。 会社の内部文書が個人データの処理手順をどの程度詳細に記述しているかに関係なく、検査官は質問に対する回答のほとんどを書面で述べるように求めます。 内部ドキュメントに情報フローパターン(脅威モデルなど)がない場合は、描画するように求められることもあります。 時間を計画するときは、このことに留意してください。



監査中に直接準備する必要がある関連文書は、結果に直接影響するため、個人データの処理と保護に最も有能な人に準備を委任することをお勧めします(特定のケースによっては、弁護士、情報セキュリティの専門家またはコンサルタントが関与)。



(7)前述のように、情報の一部はISPDと施設の直接調査の過程でILVによって受信されます。 これは、誰かがこれらのシステムと施設を見せなければならないことを意味します。 関係者の説明もイベントの結果に影響を与える可能性があるため、(a)可能であれば、すべてのデモンストレーションを最も有能な人に閉じるか、(b)デモンストレーションに関与するスタッフとリハーサル(ストレステスト)を実施します。 過度に詳細な質問に答えるのが好きな従業員に特別な影響を与えるべきであり、彼らは質問されなかった詳細に入ります。 まあ、あなたは私を理解しています。



(8)検証行為が最終日に発行されることを期待しないでください。 実際には、完成後1か月を超える期間の検査報告書の発行の先例があるかもしれません。



皆さん、頑張ってください。


More articles:


All Articles