 |
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Прямые и косвенные проверки надзорных органов ИТ-инфраструктуры бизнеса
Прямые и косвенные проверки Чем больше бизнес, тем сильнее внимание государственных надзорных органов, контролирующих бизнес в соблюдении требований норм, описанных в законодательных документах, часть которых напрямую регулирует деятельность ИТ-службы компании. Давайте рассмотрим, какие бывают проверки и с чем можно столкнуться Исполнительная власть через сеть различных ведомств, распространенных по всей стране, следит за исполнением правовых норм и выполняет требования действующих законодательных актов на своей подведомственной территории. Сотрудники таких ведомств формируют план ежегодных проверок, в который включают компании со своей подведомственной территории. До даты Х надзорный орган заранее высылает почтой проверяемой компании уведомления, чтоназначена проверка, иногда такие уведомления не доходят, и проверка получается внезапной. Но при ряде проверок уведомления не высылаются, например, при обыске или выемке документов сотрудниками правоохранительных органов. Поводом для внеплановой проверки может быть письменное заявление гражданина нанарушения в компании, отправленное в прокуратуру или напрямую в надзорный орган. Также внезапные проверки могут быть спровоцированы коррумпированными чиновниками, стремящимися получить деньги вымогательством, или понаводке конкурентов. В свою очередь, проверки бывают камеральными и выездными. Первый тип подразумевает, что сотрудники проверяемой компании привезут в офис надзорного органа необходимые документы, которые обычно описываются вуведомлении о проверке. Выездные проверки подра-зумевают приезд сотрудников надзорного органа, на основании процессуальных законодательных норм выполнения проверки порядок и специфика зависят от надзорного органа. Иногда планы проверок надзорный орган выкладывает на свой сайт, например, когда я работал в страховой компании, юристы обнаружили такой план на сайте Роскомнадзора, который хотел проверить компании на соответствие закону озащите персональных данных. Такая оперативность позволила выполнить большой объем подготовительных работ, результат – успешное прохождение проверки. Конечно, я не предлагаю постоянно следить за сайтами надзорных органов, но, если в ИТ-службе есть проблемы в какой-то области, не мешало бы и поглядывать, чтобы подготовиться и устранить проблемы или хотя бы минимизировать потери. Типы проверок Проверки могут проводить различные, не связанные между собой напрямую надзорные органы, которые выполняют требования того или иного законодательного акта. Проверка может быть косвенной, когда надзорный орган захватывает лишь некоторую часть работы ИТ-службы наряду с работой других подразделений компании. Бывают проверки прямые, когда проверяется только работа ИТ-службы. Далее в статье будут описаны известные мне проверки, отдельное внимание в развернутом виде уделю проверкам, с которыми сталкивался лично. Типы проверок:
Личный опыт и советы Опишу личный опыт прохождения проверок надзорных органов в разных организациях, проблемы, которые были выявлены на этапе подготовки к проверкам и по результатам самих проверок. Известие о проверке Роскомнадзора нашей компании было получено ИТ-отделом от юристов, которые, в свою очередь, узнали эту информацию от юристов одного из партнера. Письменное уведомление по почте от надзорного органа мы еще не получали, так как проверка была назначена через два месяца, а уведомление приходит обычно за 14 дней. На сайте Роскомнадзора в плане проверок на год [8] для нашего региона была указана выездная проверка, но не только в нашей области, но и в филиале в соседней республике, два территориальных ведомства действовали сообща. Цель проверки – соответствие компании Федеральному закону от 27.07.2006 N152-ФЗ «О персональных данных». Закон на тот момент (приблизительно три года назад) был недавно утвержден Думой и являлся «сырым». Надзорный орган четко не разъяснял, какие документы нужно предоставить и как подготовить инфраструктуру предприятия. Дополнительную информацию о проверках Роскомнадзора можно почитать в [9]. За основу нами был взят пакет документов партнера, который им, в свою очередь, разработала аутсорсинговая компания в сфере информационной безопасности, документы были переработаны под нашу организацию, а самые сложные документы об описании моделей угроз были заказаны нами у той же организации по рекомендации нашего партнера. Также отделом были проведены мероприятия по приведению ИТ-инфраструктуры в соответствие с требованиями 152-ФЗ:
Начавшаяся проверка длилась 20 дней, в ходе нее сотрудники Роспортребнадзора проверяли документы, обходили офисные помещения и даже ездили на нашем служебном транспорте в одно из удаленных подразделений в области. Какговорилось выше, техническую сторону специалисты Роспортребнадзора не проверяют, да и сами являются юристами по образованию. Во время проверки Роспотребнадзора аттестации рабочих мест мною не было уделено должного внимания. А зря! Я слышал, что намечается проверка, но каких-то конкретных действий не предпринимал. Сотрудники выездной проверки привезли с собой разнообразные устройства для измерения показателей, в том числе измерители электромагнитных излучений, которыми сняли показания выборочно на десяти рабочих местах с мониторов и системных блоков. По результатам проверки выявилось превышение допустимых показателей, что было отражено в акте проверки рабочих мест с указанием расположения проблемной техники и ее серийных номеров и моделей. Роспотребнадзор устанавливает предельно допустимые значения для излучения СанПиН 2.2.2/2.4.1340-03 [10]. Таблица 1. Предельно допустимые нормы ЭМП
Источником проблем на нескольких рабочих местах оказались неправильно организованные розетки электропитания в виде длинного перемотанного удлинителя, а также включения в смежную розетку микроволновки на одном рабочем месте. Также проверяющие производят выборочные измерения шума от оргтехники, и один из моих копиров оказался чрезмерно «шумным». Надзорный орган записал серийный номер устройства и его модель, далее выдал письменное предписание об устранении нарушения. Проблему устранял сервис-инженер аутсорсинговой компании. Дополнительную информацию о проверках Роспотребнадзора можно посмотреть в [11]. Еще один неприятный момент произошел у нас в компании совсем недавно: во время новой проверки Роспотребнадзора инспектор обнаружила картридж в мусорном баке – картриджи не должны выбрасываться в общие мусорки [12], аутилизироваться компаниями, имеющими соответствующую лицензию, Роспотребнадзору же предъявляется договор, заключенный с такой компанией. Обычно подразумевается, что картриджи, признанные негодными заправляющей организацией (обычно подавляющее количество компаний не заправляет картриджи самостоятельно), остаются там же и утилизируются, но тут, видимо, некоторые картриджи оказались сломанными, и системный администратор моего отдела выкинул их в мусорку, что и заметил инспектор. За подобные вещи подразумевается несимволический штраф! Последняя проверка из моего личного опыта – это проверка Федеральной службы по финансовому мониторингу. Цель данного надзорного органа – противодействие легализации (отмыванию) доходов, полученных преступным путем, ифинансированию терроризма. Каждая компания, в которой совершаются платежи на сумму выше одного миллиона рублей, обязана зарегистрироваться в Росфинмониторинге. Любая такая финансовая операция должна фиксироваться и передаваться в течение двух недель в Росфинмониторинг через систему защищенного документооборота. Выездная проверка осуществляет контроль модуля проверки списка террористов, интегрированного в информационную систему, по сути, ИТ-служба компании должна самостоятельно написать данный модуль, а Росфинмониторинг предоставляет только базу данных в формате dbf, которую можно скачать с сайта в закрытом разделе, доступ к которому есть у всех организаций, находящихся на учете в Росфинмониторинге. Специалист надзорного органа в ходе проверки получает доступ к информационной системе, далее в документы реализации вводит контрагента террориста (это может быть организация, в том числе в списке присутствует знаменитая Аль-Каида), система должна сообщить, что данный контрагент является террористом. Моя информационная система выдала нужное уведомление, и проверка ИТ-службы прошла успешно. Для каждой организации специфика может отличаться. Моя ИС – это отраслевая конфигурация 1С, соединяющая в себе бухгалтерский истраховой учет, а документ реализации – это Отчет агента, в процедуру проведения которого интегрирована проверка. *** Как мы увидели, существует множество надзорных органов, которые проверяют ИТ-службу компании напрямую или косвенно. Размеры компании влияют на интенсивность проверок и разнообразие надзорных органов, включающих организацию в свои планы проверок. Своевременное выявление проблем ИТ-службы, связанных с действующим законодательством, в том числе с использованием внешних аудитов, позволит организации избежать штрафов, а сотрудникам ИТ-отдела уголовного наказания иштрафов от руководства.
|
||||||||||||||
ДМИТРИЙ АНДРИЕНКО, работает в ОАО «Иркутскпечать», начальник отдела автоматизации, Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
