Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
Audit-it.ru
8 месяцев назад

Правильно ли вы работаете с персональными данными? Как провести аудит в 2025 году

Автор: Никита Володин, старший консультант по защите ПДн компании Б-152

В 2025 году изменятся требования к обработке персональных данных. То же касается и штрафов: сейчас штрафы за несоблюдение требований к обработке персональных данных  для юридических лиц сейчас варьируются от 3 тысяч до 18 млн рублей, однако уже в середине 2025 они составят от 30 тысяч до 3% оборота компании, но не более 500 млн рублей. 

Как провести аудит компании на предмет грамотной работы с ПДн, объяснил Никита Володин, старший консультант по защите ПДн Б-152.

Какая информация нужна для аудита

Чем больше данных в вашем распоряжении, тем точнее результаты аудита, поэтому первым делом необходимо определить, есть ли сейчас у вас в распоряжении какие-либо документы, связанные с обработкой персональных данных. Среди них могут быть: 

  • Уведомление о намерении осуществлять обработку персональных данных, которое подается в Роскомнадзор: его подачу (и наличие в Реестре операторов) можно проверить через сайт Роскомнадзора;

  • Аналогично Уведомление о намерении осуществлять трансграничную передачу (если подавалось);

  • Политика по обработке персональных данных, которая размещается на сайте или в мобильном приложении;

  • Описание процессов обработки ПДн (так называемый “Реестр процессов”), то есть описание того, каким образом их собираете, кому и зачем передаете, в каких случаях уничтожаете и т.д. - вам крупно повезло, если такой документ кто-то ранее разрабатывал;

  • Формы согласий на обработку персональных данных;

  • Различные Положения, регламенты и инструкции по работе с персональными данными;

  • Описание потоков данных. 

  • Договоры с подрядчиками и партнерами, где указаны условия передачи им ПДн ваших клиентов или сотрудников.

  • Документы, подтверждающие проведение обучения персонала работе с ПДн.

Для проведения полноценного аудита, в первую очередь необходимо выявить и описать процессы по обработке персональных данных, а также информационные системы, в которых персональные данные обрабатываются. После того, как информация системам и процессам собрана, стоит перейти к формированию различных перечней доступов а также мест хранения материальных носителей с персональными данными. Помимо этого, на основании собранной информации можно: 

  • держать под контролем процессы обработки ПДн в компании; 

  • составить корректную Политику в отношении обработки персональных данных;

  • разработать необходимые для обработки персональных данных согласия;

  • составить и заключить поручения на обработку персональных данных с третьими лицами, участвующими в обработке персональных данных;

  • подать или обновить Уведомления об обработке ПДн, а также о намерении осуществлять трансграничную передачу;

  • разработать максимально индивидуализированные инструкции по работе с ПДн для должностей, участвующих в такой обработке;

  • провести оценку и составить Акт оценки вреда, обязательный для каждого оператора;

  • определить уровни защищенности своих систем, а также разработать Модель угроз.  

Перечень возможного, указанный выше, не исчерпывающий. Обязательно обсудите информационную безопасность в компании с персоналом, чтобы ничего не упустить из вида. Для того чтобы защита персональных данных не была только “бумажной” постарайтесь регулярно проводить мероприятия по повышению осведомленности в сфере обработки ПДн попробуйте проверить, например, умеют ли сотрудники вашей компании определять фишинговые атаки.

5 инструментов для быстрого аудита

Чтобы минимизировать ошибки при сборе данных в процессе аудита, оптимизировать расходы и ускорить работу, используйте 5 инструментов.

  1. Шаблоны. У вас должен получиться удобный опросник для описания процесса обработки ПДн, который сократит время на сбор и анализ информации.

  2. Запись разговоров и распечатка переписки. Благодаря им вы всегда сможете переслушать или перечитать информацию, обеспечив точность данных.

  3. Сервис Privacy Box. Вводите сведения в систему во время интервью, чтобы не пришлось переносить их из файлов или с бумажных носителей.

  4. Сканирование сайтов. Сервис PrivacyCheck может выявить собираемые на сайте куки и найти формы сбора ПДн, и на основании этого собрать Политику по обработке персональных данных на сайте. Такие инструменты позволяют подробно и наглядно для пользователя описать процессы обработки персональных данных.

  5. Часть информации, которая может пригодиться для проведения аудита, можно собрать из общедоступных источников, например при помощи сервисов поиска информации о компании по ИНН (оттуда можно, как минимум, получить сведения об ОКВЭДах компании), или при помощи реестра операторов Роскомнадзора. 

Как провести аудит

Для начала выявите и определите перечни процессов обработки ПДн в вашей компании.  Также это касается и систем, в которых в вашей компании обрабатываются персональные данные. После выявления процессов и систем, их необходимо описать, в том числе определив категории ПДн, которые обрабатываются в рамках процесса или в системе:

  •  Биометрические персональные данные - это персональные данные, характеризующие биологические и физиологические особенности человека, и которые используются для установления личности – скан сетчатки глаза, запись голоса, отпечатки пальцев, в некоторых случаях фотография и т.д.

  • Специальные категории данных –  например раса, национальность, убеждения, состояние здоровья, информация о личной жизни, судимости. 

  •  Иные данные - остальные персональные данные, не вошедшие в предыдущие две категории.

Помимо определения обрабатываемых категорий ПДн необходимо оценить правовые аспекты обработки этих данных, например: 

  • Получены ли согласия субъектов или обеспечены иные правовые основания для обработки ПДн;

  • Соблюдены ли обязательные требования российского законодательства, такие как своевременное уведомление Роскомнадзора об осуществлении такой обработки;

  • Не происходит ли избыточной обработки, например не запрашиваются ли у субъекта избыточные ПДн, соблюдаются ли сроки обработки ПДн (т.е. нет ли избыточности хранения таких ПДн);

  • В случае осуществления передачи ПДн - есть ли основания для её осуществления и оформлены ли взаимоотношения в части обработки ПДн с “получающей” стороной;

  • Выполняются ли требования, касающиеся осуществления трансграничной передачи и локализации персональных данных;

и т.д. Убедитесь, что в компании действуют меры защиты информации, это могут быть DLP-системы, шифрование, контроль доступа и т.д. Проверьте актуальность программного обеспечения безопасности, так как из-за использования устаревшей версии антивируса или уязвимости в системе защиты от DDoS-атак могут произойти утечки данных.

Проверьте внутренние регламенты и инструкции, например:

  • Инструкции ответственных (ответственного за организацию обработки персональных данных и ответственного за обеспечение безопасности ПДн в информационных системах). 

  • Регламент реагирования на инциденты.

  • Положение по обработке ПДн, содержащее правила работы с ПДн для рядовых работников.

Проанализируйте остальные документы, которые должен разработать оператор ПДн. Российское законодательство устанавливает обязательный перечень документации по персональным данным только для операторов, являющихся государственными и муниципальными органами. Аналогичного единого перечня для операторов, не являющимся гос. и мун. органами, не установлено, требования, касающиеся необходимости разработки тех или иных документов можно встретить как в 152-ФЗ, так и в подзаконных актах. Вот примерный перечень документации, которую должен иметь оператор: 

  • Политику по обработке ПДн;

  • Положение по обработке ПДн;

  • Формы согласий на обработку ПДн ( в том числе на распространение ПДн, если оно производится);

  • Формы соглашений о поручении обработки ПДн;

  • Акт оценки вреда и форма акта об уничтожении ПДн;

  • Реестр процессов и реестр информационных систем персональных данных компании;

  • Перечень доступов к персональным данным, обрабатываемым компанией, по должностям;

  • Перечень мест хранения ПДн на материальных носителях (при осуществлении неавтоматизированной обработки ПДн);

  • Уведомления об обработке ПДн и о намерении осуществлять трансграничную передачу персональных данных;

  • Приказ о допуске сотрудников к ПДн, если работа с ними предусмотрена должностными обязанностями;

  • Приказ о назначении ответственного за организацию обработки персональных данных и ответственного за обеспечение безопасности персональных данных в информационных системах;

  • Инструкции ответственных;

  • Приказ о внедрении документации;

  • Регламент реагирования на инциденты;

  • Положение о мерах информационной безопасности.

Проанализируйте систему обучения сотрудников вопросам защиты информации – проведите тестирование, а также разберите реальные инциденты и ошибки.

Как оценить соответствие требованиям 152-ФЗ

По завершении аудита составьте отчет с перечислением несоответствий и рекомендациями по их устранению. 

Составьте детализированное описание каждого несоответствия требованиям 152-ФЗ. Для каждого подберите способы устранения нарушений с указанием сроков и ответственных лиц. Проведите работу над ошибками, а после выполнения всех рекомендаций, проведите повторную проверку.

В крупных компаниях обычно есть собственные отделы, которые отвечают за защиту персональных данных и информационную безопасность, и которые могут проводить внутренний аудит. Но если в штате нет DPO (ответственного за организацию обработк персональных данных / специалиста по защите персональных данных, всегда можно заказать аудит у профильной организации.

Помните, что независимая проверка помогает выявить уязвимости в системе защиты данных и избежать штрафов.

 

Назад