Персональные данные (ПДн) включены в особую категорию сведений. Они требуют целевого использования, сохранения конфиденциальности, целостности. В противном случае возникают множественные риски, грозящие разными видами ущерба не только субъекту персональных данных, но и оператору. Обязанность по защите ПДн лежит как раз на операторе ПДн. Российское законодательство оставляет множество вариантов для защиты персональной информации. В ФЗ № 152 от 27.07.2006 присутствует положение о внутреннем аудите персональных данных. Соблюдение указаний, содержащихся в этом положении, поможет оператору обеспечить безопасность персональных сведений и избежать наказания со стороны регуляторов.

Что такое аудит защиты ПДн, как он осуществляется?

Согласно статьям 16, 19 ФЗ № 152 от 27.07.2006 на оператора накладывается обязанность обеспечить правовые и технические аспекты защиты при обработке информации. Термин «аудит» предполагает выполнение мероприятий, направленных на изучение, анализ, оценку соответствия деятельности организации требованиям закона и регулятора, который будет проводить проверку. Аудит можно разделить на два направления:

  1. Аудит соответствия законодательной базе. Сюда входят мероприятия по приведению документации, связанной с ПДн, в соответствие с требованиями нормативно-правовых актов. достоверному виду.

  2. Аудит готовности к проверке регулятором. Сюда входят мероприятия, направленные на проверку соответствия и полноты объема исполненных требований в рамках действующего законодательства.

Первое направление аудита вовсе не дает гарантий, что оператор пройдет проверку регуляторов на соответствие ФЗ № 152. Это связано с тем, что в большинстве случаев регулятор запрашивает у оператора дополнительные сведения, касающиеся проверки. Перечень дополнительных сведений обширен и зачастую плохо поддается контролю со стороны оператора, что может стать препятствием при исполнении аудита. Действующий порядок выполнения аудита деятельности оператора, ведущего обработку персональной информации, выглядит следующим образом:

  1. Сбор, проверка общей исходной информации, находящейся в распоряжении оператора.

  2. Изучение характеристик ИСПДн. Например, число задействованных станций, серверов, программного обеспечения, баз данных.

  3. Анализ технологий, применяемых при обработке персональных сведений, например, RDP, Wi-Fi.

  4. Проверка средств безопасности и обеспечения защиты в отношении ИСПДн.

  5. Оценка уровня инженерно-технической защиты ИСПДн.

  6. Создание отчета, иллюстрирующего результаты аудита. В ходе заполнения отчета вносится информация о соответствии или несоответствии ИСПДн действующим нормативным актам. Выставляется оценка оператору за соблюдение требований статьи 19 ФЗ № 152. Отчет завершается общим выводом по результатам проведенного аудита.

  7. Вынесение замечаний и рекомендаций оператору.

что включает внутренний аудит работы с пдн

Что включает внутренний аудит работы с ПДн?

Процедура внутренней проверки оператора на соответствие законным требованиям при работе с персональными данными может проводиться как комплексно, так и отдельными мероприятиями. Мероприятия по внутреннему аудиту включают:

  • Изучение инфраструктуры организации. В этом направлении проверке подлежат аппаратные и программные средства обеспечения защиты ПДн.

  • Изучение распорядительно-организационной документации компании. Обязательным условием является присутствие и исполнение регламента по обработке персональной информации. Также производят разграничение доступа к ПДн, назначают ответственных работников, отвечающих за исполнение и контроль регламента в организации.

  • Изучение бизнес-процессов, где фигурируют персональные сведения.

Результатом внутренней проверки должна стать объективная оценка существующей информационной системы. Аудиторы выносят рекомендации, обозначают недостатки, которые снижают уровень безопасности информации. После этого разрабатывается план действий, направленный на оптимизацию кадровых, организационных, технических составляющих по защите ПДн. Подобные мероприятия позволят оператору подготовиться к плановым проверкам регуляторов и устранить множество недочетов в работе с ними.

Положение о внутреннем аудите персональных данных – это комплекс организационных процедур и документов, которые нельзя игнорировать. Оператор должен заранее привести свою деятельность и перечень защитных мер к соответствию федеральному законодательству в этой области. Ужесточение требований регуляторов, поступление жалоб со стороны субъектов персональных сведений на нецелевое использование ПДн усложняют положение оператора, способны привести к внеплановым проверкам. В связи с этим крайне важно поддерживать высокий уровень защиты ПДн на постоянной основе, и использовать для этого современные технологические решения, как например, DLP-системы.