Аудит обработки персональных данных по 152-ФЗ

Что такое аудит персональных данных в организации

В соответствии с ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (152-ФЗ) компания обязана проводить оценку соблюдения законодательства о персональных данных (ПДн).

Проверка позволяет провести оценку соответствия требованиям 152-ФЗ, выявить и устранить недочеты до официальной проверки контролирующими органами. Тщательному анализу подвергаются все аспекты обработки ПДн: документооборот, процессы обработки, технические средства защиты информации.

По результатам проведенного аудита разрабатываются рекомендации по усовершенствованию системы защиты персональных данных, устранению выявленных недостатков. Это позволяет компании минимизировать риски утечки конфиденциальной информации и обеспечить надежную защиту ПДн сотрудников.

Методику и регламент проведения внутреннего контроля организация выбирает самостоятельно, закрепив процесс в своих документах. Оптимальным считается ежегодный аудит ПДн. Кроме того, целесообразно проводить внеплановую проверку при кадровых перестановках - например, когда меняется специалист, ответственный за обработку ПДн или информационную безопасность руководитель организации, а также перед планируемой проверкой надзорного органа.

Виды аудита

Аудит ПДн подразделяется на два основных вида:

• внутренний - организация проводит проверку обработки персональных данных своими силами;
• внешний - для проверки привлекается специализированная компания или независимые эксперты.

Оба варианта допустимы и могут быть закреплены в соответствующих нормативных документах предприятия.

Проверка ПДн должна включать:

1. Контроль организационных документов, разработанных в соответствии с нормами статей 18.1 и 19. 152-ФЗ.
2. Техническую экспертизу информационных систем персональных данных (ИСПДн). Проводится оценка уровня защищенности в соответствии со статьей 19 152-ФЗ.
3. Подготовку к проверке надзорного органа. Проводится с использованием стандартного чек-листа Роскомнадзора, утвержденного приказом ведомства от 24.12.2021 № 253

Внутренний аудит

Компания сама устанавливает порядок, цели, временные рамки аудиторской проверки, а также создает комиссию для ее проведения.

Комиссия должна сформировать перечень проверяемой документации, проверить наличие всей необходимой документации по работе с ПДн, провести оценку документов, проверить системы защиты информации, составить итогового заключения по результатам проведенной проверки.

Внешний аудит

Процедура контроля кажется простой, однако, на практике она может вызывать сложности. Особенно это касается новичков в данной сфере, уровень подготовки которых не позволяет определить, соответствуют ли документы законодательным стандартам, а система защиты – нормам, установленным 152-ФЗ.

При заключении договора учитывайте, что технический аудит могут проводить только организации, получившие лицензию ФСТЭК в области технической защиты конфиденциальной информации. Получение такой лицензии требует соответствия компании определенным критериям и наличию в штате квалифицированных специалистов.

УЦ ПРОФИ является лицензированным аудитором в сфере ПДн. В ходе аудита мы проводим комплексную оценку работы с персональными данными в вашей организации, включающую анализ документации и технический аудит ИСПДн, после чего формируем экспертное заключение.

После успешного завершения внешнего аудита организация сможет провести аттестацию ИСПДн по требованиям 152-ФЗ и быть готовой к проверке регулирующих органов.

Аудит ИСПДн

Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» при обработке ПДн в ИСПДн устанавливаются 4 уровня защищенности персональных данных, которые определяют средства защиты для каждой системы.

Аудит ИСПДн проводится с целью выявления текущего уровня защиты ИСПДн и сверки существующих мер безопасности с регламентами и законодательными требованиями.

В процессе проведения аудита специалисты:

• формируют реестр всех ИСПДн организации с описанием их назначения и особенностей;
• проводят анализ структуры категории обрабатываемых персональных данных, их субъектов, типы информации;
• исследуют технологический процесс обработки данных в ИСПДн;
• выявляют уязвимости, которые могут привести к несанкционированному доступу или утечке персональных данных, оценивают вероятности реализации рисков и возможных последствий;
• проводят анализ установленных средств защиты информации, оценивают их актуальность, эффективность, соответствие требованиям регуляторов.

По завершении исследований формируется развернутый аналитический отчет. В нем отражается текущее состояние ИСПДн, подробно описываются выявленные недостатки и уязвимости, определяется необходимый уровень защищенности для каждой системы.

Документ включает детальную дорожную карту по устранению выявленных недостатков, приведению систем для обработки ПДн в соответствие с требованиями 152-ФЗ. Дополнительно могут быть представлены рекомендации по повышению общего уровня информационной безопасности организации.

Преимущества обращения в УЦ ПРОФИ

Наша компания специализируется на комплексном аудите процессов обработки ПДн в соответствии с 152-ФЗ. Наши специалисты проводят проверку документации, бизнес-процессов, уровня защиты ИСПДн для организаций любых видов и масштабов – от индивидуальных предпринимателей до крупных корпораций.

Центр защиты информации УЦ ПРОФИ имеет все необходимые лицензии ФСТЭК и ФСБ и проводит проверки в строгом соответствии с действующим федеральным законодательством. Мы поможет обезопасить ваш бизнес от возможных рисков и штрафных санкций, связанных с обработкой персональных данных.

По результатам аудита вы получите подробный аналитический отчет о состоянии защищенности данных, дорожную карту по устранению выявленных недостатков и план оптимизации системы информационной безопасности.