СЗПДн. Проверки. Переход РКН к систематическому контролю операторов ПДн


В последнее время Роскомнадзор на конференциях рассказывал, что они переходят от единичных плановых проверок к систематическому контролю.

“В первую очередь глава службы рассказал о снижении административной нагрузки на бизнес в рамках контрольно-надзорной деятельности и подготовке к переходу на риск-ориентированную модель контроля и надзора. Вследствие этого, Роскомнадзор не запланировал на следующий год ни одной проверки малого бизнеса и минимизировал проверки среднего. В целом объем плановых проверок сократится в пять с половиной раз – с 2805 до 500. При этом объемы систематического наблюдения возрастут на 12%.

Давайте посмотрим, что это за систематический контроль и в какой мере он компенсирует уменьшение в 5 раз количества плановых проверок.
План систематического наблюдения идет отдельным пунктом и выглядит примерно так



 К сожалению, нет точных данных, о количестве организаций, попадающих в систематический контроль, но по публичной информации с сайтов РКН можно составить общее представление о проверках в регионах:
·         за одно наблюдение проверяется достаточно большое количество организаций, так, например, при систематическом наблюдении государственных и муниципальных органов Краснодарскому краю было выявлено 4 нарушителя, а проверялось, наверное, не менее 10, что превышает количество плановых проверок по тем же категориям организаций

·         по Ставропольскому Краю в начале года также выявлено 4 нарушителя среди государственных и муниципальных органов и более 20 остальных типов организаций (все без проведения очных проверок)

·         по УРФО видимо уже устали публиковать нарушителей поименно, указывают пачками: “более 60 операторов привлечены к ответственности”, “более 30 операторов вызваны для составления протокола обадминистративном правонарушении

·         по сути правонарушений тоже нет четкой картины и единообразия

·         так, например, судя по квартальному отчету РКН в КК, основные нарушения проходили по статье 19.7 (непредставление информации РКН), но встречается и гораздо более опасная ст. 19.5 (неисполнение в срок предписаний органа гос. контроля). Не во всех случаях за краснодарский РКН одинаково наказывает за нарушения. Иногда и прощают как в случае с систематическим контролем гос. и мун. органов – вместо штрафа, требование устранить нарушение в 10 срок  

·         РКН по СКФО выявляет нарушителей в основном по статье 19.7 и наказывал на одинаковую сумму в 3000 руб. всех начиная от администраций и заканчивая детскими садами (кстати на территории КК количество таких нарушителей – детских садов и школ – переваливает за тысячу. Видимо РКН по СКФО поняли эту тему и улучшили свои показатели сразу на 10 выявленных нарушителей)

·         РКН по УРФО в рамках систематического контроля выявлял нарушителей по статье 13.11, правда зачастую не указывая что именно за организации и что именно нарушили. Эдакие удобные отчеты, которые можно повторять ежегодно: интернет магазины, дистанционные продажи, ЖКХ, учреждения здравоохранения.

Возможно стоит обратить внимание на план проверок РКН в части систематического контроля, чтобы не прошляпить, когда РКН будет проверять организации вышей отрасли.  А в следующей статье планирую рассмотреть, что именно проверяют или могут проверять в рамках систематического контроля.

PS: По аналогии с РКН - прокуратура периодически проводит проверки скопом большого количества организаций. В этот раз попали коллекторы, которых также привлекали по статье ст. 13.11 КоАП.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...