Аудит персональных данных требованиям 152-ФЗ

Компании многих сфер деятельности, связанных с обработкой персональных данных, в том числе кредитные и микрофинансовые организации, страховые компании, медицинские центры и учреждения здравоохранения, кадровые агентства, колл-центры и т.п. обязаны соблюдать требования Федерального закона № 152-ФЗ «О персональных данных» в части их обработки и защиты.

Под действие ФЗ подпадают все компании, ИП и физические лица, а также бюджетные структуры, которые получают, хранят и используют сведения о гражданах. Например, соблюдать установленные нормативы касательно СЗПДн необходимо туристическим фирмам, банкам и кредитным организациям, интернет магазинам, производственным корпорациям, стартапам и т.д. Нанимая на работу персонал, собирая данные для электронной или смс рассылки или просто размещая на своем сайте виртуальную форму заказа, вам необходимо позаботиться о внедрении эффективных средств защиты.

Определить, действительно ли ИСПДн защищена от несанкционированного доступа, изменения, удаления или использования третьими лицами, позволяет аудит персональный данных на предприятии, а также оборудования, которое задействовано в их обработке. В дальнейшем успешное прохождение проверки позволит пройти аттестацию ФЗ-152 и избежать претензий со стороны ФСТЭК и Роскомнадзора. Наш центр предлагает услуги по экспертной оценке СЗПДн для индивидуальных предпринимателей и предприятий всех форм собственности с составлением детального отчета и предоставлением конкретных рекомендаций по оптимизации системы безопасности. Позвоните или напишите нам через сайт, чтобы обсудить детали выполнения работ и получить ответы на интересующие вопросы.

С целью подтверждения соответствия обработки персональных данных в вашей организации требованиям законодательства и нормативных документов проводится аудит, по результатам которого выдается официальное Заключение и Свидетельство.

Услуги по проведению Аудита соответствия требованиям законодательства о персональных данных

Специалисты Центра безопасности данных имеют большой опыт в области обработки и защиты персональных данных. Наши юристы и технические специалисты проведут для вашей компании анализ внутренней документации и существующих организационно-технических мер по защите персональных данных и выдадут официальное заключение и рекомендации. При положительном результате мы оформим Свидетельство о соответствии обработки персональных данных в вашей организации требованиям законодательства и нормативных актов, которое вы сможете предоставить своим партнерам и клиентам для подтверждения должного уровня защиты персональных данных.

По результатам аудита вы получите:

• официальное Заключение по результатам аудита и рекомендации по приведению существующей системы обработки и защиты персональных данных в соответствие необходимым требованиям (в случае несоответствия);
• консультации по вопросам приведения в соответствие обработки персональных данных требованиям 152-ФЗ;
• Свидетельство о соответствии обработки персональных данных при положительном решении в результате аудита.

Подготовка к проведению аудита на соответствие требованиям 152-ФЗ

При необходимости мы подготовим вас к проведению аудита: разработаем для вашей компании комплект организационно-распорядительных документов и рекомендации по внедрению необходимых административных и технических мер. Выполнив наши рекомендации вы со 100%-ной уверенностью получите защищенную систему обработки персональных данных, соответствующую всем требованиям, а также официальные подтверждающие документы.

Требования по обеспечению защиты ПДн и проведению проверок

В обязанности всех без исключения операторов входит подготовка документации, подбор и интеграция технических средств обеспечения конфиденциальности и сохранность личной информации о гражданах. Кроме того, в законе четко прописана необходимость регулярно осуществлять аудит защиты персональных данных для выявления (или подтверждения отсутствия) отклонений от актуальных требований ФЗ-152, подзаконных актов, а также прописанной в регламентирующей документации политике обработки ПДн.

Ввиду сложности понимания правовых формулировок, а также из-за периодических изменений законодательства и отсутствия у рядовых сотрудников понимания специфики процесса при экспертном анализе часто выявляются различные нарушения. Проверка специалистов позволяет своевременно исправить ошибки и добиться результативности работы СЗПДн. Прежде всего, мы изучаем не состояние технических средства, а качество проработки документов, регулирующих сбор и обработку ПДн. То есть после завершения аудита и выполнения наших рекомендаций, вам не придется сталкиваться со сложностями при проверке Роскомнадзора, ведь у вас будут правовые обоснования:

• целей сбора и сохранения персональной информации;
• получения только необходимого для реализации поставленный задач объема данных;
• длительности хранения ПДн;
• наличия четкого регламента обработки полученных сведений;
• получения согласия на выполнение тех или иных операций с собранными ПДн.

При изучении интегрированных средств и организационных мероприятий по безопасности ИСПДн эксперты определяют, насколько они соответствуют вероятным угрозам, особенностям деятельности оператора и техническим параметрам используемых автоматизированных систем.

Что собой представляет аудит персональных данных в организации?

В зависимости от типа систем, законодательных требований и желания оператора, аудит соответствия требованиям обработки персональных данных может включать исследование, анализ и составление экспертного заключения в отношении:

1. Выполнения положений ФЗ-152.
2. Готовности к прохождению проверки Роскомнадзора.

Осуществление всех, предусмотренных законом подготовительных мероприятий, не является гарантией того, что у предприятия, ИП или физического лица не возникнет сложностей при контроле уполномоченного регулятора.

Во избежание ненужных задержек и финансовых затрат есть смысл изначально привлечь сотрудников нашего центра, которые выполнят необходимые мероприятия для оценки организационно-правовой готовности по соответствующим статьям ФЗ-152, эффективности внедрения технических мер защиты ПДн, а также способности оператора успешно пройти проверку Роскомнадзора. Последняя разновидность аудита предполагает отслеживание выполнения типового плана, присутствия ОРД с подписями и проведения инструктажа работников. Если потребуется, мы проконсультируем дополнительно, как исправить недочеты в кратчайшие сроки с учетом особенностей деятельности и имеющихся финансовых ресурсов.

Этапы аудита ПДн и оборудования, обрабатывающего персональные данные

Как компетентная организация в сфере технической и правовой безопасности ПДн, мы придерживаемся определенного порядка осуществления аудиторской проверки персональных данных на предмет соответствия статьям ФЗ-152:

1. Собираем, изучаем исходную информацию об организационной структуре, порядке обработки ПДн, разработанной документации и текущего уровня защиты. Помимо этого наши сотрудники устанавливают, берут ли согласие у субъектов на операции с их данными, отвечают ли нормативам законодательства соглашения с контрагентами и насколько грамотно выстроена бумажная работа с ПДн.
2. Составляем отчет, где прописывается, насколько соблюдены статьи 19 и 18.1 Федерального закона, положения подзаконных нормативно-правовых актов, есть ли какие-либо замечания и рекомендации для достижения стопроцентного соответствия с установленным списком требований.
3. Осуществляем аудит реализации технической части СЗПДн, который начинается со сбора и исследования количественных и качественных параметров информационных систем персональных данных, используемых технологий обработки ПДн, степени защищенности ИС и активных мерах безопасности. Проанализировав исходные сведения, эксперты составляют отчет с детальным отображением характеристик ИСПДн, законодательных актов, пунктам которых она должна отвечать, оценкой текущего соответствия, выводами, замечаниями и рекомендациями.
4. Проводим аудит организационно-распорядительных документов согласно типовому плану Роскомнадзора для операторов ПДн, полноту их утверждения и соответствие заявленной в реестре и фактической информации.

Сколько будет стоить аудит ПДн?

Цена аудиторской проверки устанавливается после обсуждения спектра предоставляемых услуг (комплексный сервис или осуществление отдельных работ), типа ИСПДн, степени срочности получения отчетов и состояния системы защиты персональных данных на предприятии. Как финансовые моменты, так и сроки прописываются в договоре на обслуживание, поэтому вы можете быть стопроцентно уверенными в том, что аудит будет выполнен в полном объеме и без задержек.