Внутренний аудит персональных данных

Сегодня мы раскроем тему: "Внутренний аудит персональных данных", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Аудит соответствия обработки персональных данных

Оценка соответствия оператора персональных данных, обработки персональных данных или информационной системы требования законодательства

Требования законодательства

Регулярный аудит обработки персональных данных — основа соответствия оператора требованиям законодательства.


4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. 152-ФЗ «О персональных данных»

Виды аудитов

Аудиторское задание

Аудит соответствия проводится в соответствии с аудиторским заданием, которое утверждается совместно заказчиком и исполнителем. Аудиторское задание определяет:

  • цели;
  • критерии;
  • объекты;
  • сроки;
  • методику проведения аудита.

По результатам выполнения работ готовится отчёт о проведенном аудите соответствия, содержащий:

  • информацию о проведенном аудите,
  • перечень свидетельств,
  • оценку степени выполнения требований,
  • аудиторское заключение о степени соответствия требованиям и
  • рекомендации по повышению степени соответствия.

Отчёт о проведённом аудите может использоваться для планирования деятельности по улучшению организации обработки персональных данных. Результаты аудита представляются заинтересованным лицам Заказчика.

Аудит соответствия организации общим требованиям

  1. реагирование на обращения субъектов персональных данных, уполномоченного органа по защите прав субъектов и других третьих лиц;
  2. назначение ответственного лица за организацию обработки персональных данных;
  3. издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  4. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  5. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных;
  6. оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых оператором мер;
  7. ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с требованиями по законной обработке персональных данных.

Аудит соответствия отдельных процессов требованиям к обработке персональных данных

Обработка персональных данных в рамках отдельных бизнес-процессов оценивается с точки зрения выполнения:

  1. принципов;
  2. условий обработки, наличия законных оснований для обработки;
  3. законной передачи (в т.ч. трансграничной) или поручения обработки персональных данных третьим лицам;
  4. выполнение обязанностей, предусмотренных 152-ФЗ и 687-ПП, при сборе или получении персональных данных;
  5. выполнение требований к обеспечению безопасности персональных данных при их обработке.

Аудит соответствия отдельных процессов производится опросом ответственного подразделения (владельца процесса) и непосредственным наблюдением процедур обработки персональных данных.

Аудит соответствия информационных систем

Соответствие информационных систем требованиям законодательства о персональных данных производится в несколько этапов:

  1. Сбор информации об обрабатываемых в системе персональных данных.
  2. Изучение структуры системы, месторасположения компонентов.
  3. Оценка корректности определения требуемого уровня защищенности и проведенной оценки вреда субъектам персональных данных.
  4. Анализ реализуемых мероприятий обеспечения безопасности персональных данных при их обработке в информационной системе.
  5. Подготовка заключения.

Обратитесь к нам

Вы можете распечатать эту страницу и использовать её в качестве справочного материала.

Мы проводим презентации по практике прохождения проверок Роскомнадзора, во время которых раскрываем секреты успешного прохождения проверок, рассказываем об особенностях выполнения требований законодательства и минимизации расходов на техническую защиту персональных данных.

Просто напишите нам письмо на почту , или позвоните по контактам в конце страницы.

Источник: http://www.radium-it.ru/solutions/pd/audit/

Обследование (аудит) ИСПДн

Аудит информационных систем персональных данных (ИСПДН) — это проверка уровня защиты информационной системы персональных данных на соответствие требованиям законодательства РФ.

Цели и задачи аудита:

  • оценить степень защищенности информации и состояние информационных систем;
  • проанализировать соответствие уровня безопасности информационных систем актуальным стандартам и нормативно-правовым актам;
  • разработать и передать клиенту рекомендации, которые помогут устранить обнаруженные проблемы и несоответствия.

Аудит включает в себя:

  • анализ сведений о технологических и бизнес-процессах, связанных с персональными данными;
  • определение и описание состава персональных данных с указанием оснований и целей их обработки в организации;
  • определение структурных подразделений и работников, которые задействованы в обработке персональных данных, формирование перечня;
  • определение и описание документов с персональными данными, обрабатываемых вне информационных систем, указание условий хранения таких документов;
  • анализ информационных систем, в которых ведется обработка персональных данных;
  • определение и описание технических и программных средств (в том числе указание на расположение), которые используются информационными системами для обработки персональных данных, это позволит структурировать данные по текущему материально-техническому состоянию;
  • описание и анализ техпроцесса обработки персональных данных в информационных системах;
  • анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации;
  • описание текущего состояния уровня безопасности персональных данных и формирование рекомендаций, как обеспечить должную степень защиты персональных данных.

Источник: http://kontur.ru/security/features/ispdn

Приложение N 2. Положение о комиссии по организации работы с персональными данными и внутреннему контролю соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансов Администрации города Салехарда

Приложение N 2
к приказу
департамента
финансов администрации
г. Салехард
от 11 января 2017 г. N 8

Читайте так же:  Платежное поручение отправлено в банк

Положение
о комиссии по организации работы с персональными данными и внутреннему контролю соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансов Администрации города Салехарда

1. Общие положения

Положением о Комиссии по организации работы с персональными данными и внутреннему контролю соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансов Администрации города Салехарда (далее — Положение) устанавливаются порядок формирования, обязанности, права и ответственность председателя и членов Комиссии.

Комиссия по организации работы с персональными данными и внутреннему контролю соответствия обработки персональных данных требованиям к защите персональных данных в департаменте финансов Администрации города Салехарда (далее также — Комиссия по персональным данным или Комиссия по ПДн) создана в целях обеспечения в департаменте финансов Администрации города Салехарда (далее — Департамент финансов) реализации требований законодательства Российской Федерации в области обработки и защиты персональных данных (далее — персональные данные или ПДн).

В своей работе Комиссия по ПДн руководствуется федеральным законодательством, правовыми актами Администрации муниципального образования город Салехард, а также внутренними локальными актами Департамента финансов и настоящим Положением.

Комиссия по ПДн является постоянно действующим органом в Департаменте финансов.

Председатель и члены Комиссии по ПДн назначаются приказом начальника Департамента финансов.

Председатель и члены Комиссии по ПДн, при исполнении обязанностей, возложенных на них настоящим Положением, непосредственно подчиняются и отчитываются начальнику Департамента финансов.

2. Основные задачи и функции комиссии по ПДн

2.1. Основными задачами Комиссии по ПДн является:

— разработка и внедрение в деятельность Департамента финансов локальных нормативных актов, регламентирующих обработку персональных данных и устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в этой сфере, а также на устранение последствий таких нарушений;

— проведение внутренней проверки порядка обработки в Департаменте финансов персональных данных без использования средств автоматизации;

— проведение мероприятий по сбору и анализу исходных данных на информационную систему персональных данных (далее — ИСПДн), эксплуатируемых Департаментом финансов, составление отчета о результатах проведения внутренней проверки каждой ИСПДн;

— утверждение экспертной оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Департаментом финансов обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

— проведение экспертной оценки необходимого уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных Департамента финансов;

— определение состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн;

— организация работы по приведению ИСПДн Департамента финансов в соответствие с требованиями законодательных и нормативных актов, а также поддержание в Департаменте финансов эффективного режима защиты персональных данных;

— осуществление внутреннего контроля и аудита соответствия практики обработки персональных данных без использования средств автоматизации тем требованиям, которые установлены нормативными правовым актами, а также локальными нормативными актами Департамента финансов;

— разработка рекомендаций по устранению выявленных недостатков в организации сбора, обработки, хранения, передачи и защиты персональных данных;

— контроль устранения недостатков, выявленных в результате внутреннего аудита;

— координация деятельности структурных подразделений Департамента финансов в области обеспечения безопасности персональных данных при их обработке в ИСПДн.

— организация приема и обработки обращений и запросов субъектов персональных данных или их представителей, осуществление контроля за приемом и обработкой таких обращений и запросов.

— проверка готовности средств защиты информации к использованию в информационных системах персональных данных;

— ввод в эксплуатацию системы защиты персональных данных;

— уничтожение персональных данных и материальных носителей персональных данных;

— решение иных задач по приведению деятельности Департамента финансов в соответствие с требованиями законодательных и нормативных актов, регламентирующих обработку персональных данных.

2.2. Основными функциями Комиссии по ПДн являются:

— организация работ по обеспечению безопасности помещений, в которых производится обработка персональных данных, а также находятся на хранении материальные носители персональных данных;

— анализ соответствия внутренних нормативных документов Департамента финансов, в части, касающейся обработки персональных данных, а в случае выявления несоответствий — внесение необходимых изменений или подготовка новых локальных актов;

— проведение проверок организации сбора, обработки, хранения, передачи и защиты персональных данных;

— аудит соблюдения правил доступа к персональным данным субъекта персональных данных;

— выявление фактов несанкционированного доступа к персональным данным и принятие мер по пресечению несанкционированного доступа к персональным данным;

— условия применения технических и организационных мер по обеспечению безопасности персональных данных при их обработке, хранении и передачи;

— доведение до структурных подразделений Департамента финансов рекомендаций по организации сбора, обработки, хранения, передачи и защиты персональных данных;

— рассмотрение результатов и проведение анализа сложившейся практики работы в области защиты персональных данных;

— организация и участие в проведении мероприятий по обучению пользователей в области обработки и защиты персональных данных;

— сбор и представление регуляторам необходимых документов при прохождении федерального государственного контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

2.3. Порядок проведения Комиссией по ПДн проверок:

Проверки проводятся на основании ежегодно утверждаемого начальником Департамента финансов плана (плановая проверка) или на основании поступившего обращения о нарушениях правил обработки персональных данных (внеплановая проверка) в соответствии с правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Департаменте финансов.

Читайте так же:  Порядок рассрочки исполнения решения суда

3. Порядок формирования и работы комиссии по ПДн

Персональный состав Комиссии по ПДн формируется и утверждается приказом начальника Департамента финансов.

Руководство Комиссией по ПДн осуществляется председателем, в его отсутствии — назначенным председателем членом Комиссии по ПДн.

Председатель Комиссии по ПДн или по его поручению член Комиссии по ПДн:

— организует работу Комиссии по ПДн и обеспечивает контроль исполнения ее решений;

— определяет перечень, сроки и порядок рассмотрения вопросов на заседаниях Комиссии;

— организует разработку ежегодного плана проверок и его утверждение;

— организует перспективное и текущее планирование работы Комиссии по ПДн.

Заседание Комиссии по ПДн считается правомочным, если на нем присутствовало не менее половины членов Комиссии по ПДн. По решению председателя Комиссии могут проводиться внеочередные заседания.

Решения Комиссии по ПДн принимаются простым большинством голосов присутствующих на заседании членов Комиссии. При равенстве голосов решающим является голос председателя Комиссии, а в случае его отсутствия — назначенного им члена Комиссии, председательствующего на заседании.

Решения, принимаемые на заседании Комиссии по ПДн, оформляются протоколом, который утверждается председателем Комиссии или назначенным им членом Комиссии, председательствующего на заседании.

Член Комиссии, несогласный с ее решением, имеет право в письменной форме изложить особое мнение, которое подлежит обязательному приобщению к протоколу заседания Комиссии.

4. Права комиссии по ПДн

Комиссия по ПДн имеет право:

— знакомиться с проектами решений Департамента финансов, касающихся обработки ПДн;

— вносить на рассмотрение начальника Департамента финансов предложения по улучшению деятельности Департамента финансов в сфере обработки ПДн;

— участвовать в подготовке проектов локальных нормативных актов, регламентирующих обработку ПДн в Департаменте финансов;

— осуществлять взаимодействие с руководителями структурных подразделений Департамента финансов, получать информацию и документы, необходимые для выполнения своих должностных обязанностей, выдавать рекомендации по исправлению недостатков и требовать их исправления;

— требовать от руководства Департамента финансов оказания содействия в исполнении своих обязанностей и прав, в соответствии с настоящим Положением;

— принимать участие в подготовке и планировании мероприятий, проведение которых необходимо для защиты ПДн в Департаменте финансов;

— готовить заключения об оценке результативности деятельности по защите ПДн в Департаменте финансов, и мерах, которые необходимо принять для повышения эффективности защиты ПДн;

Видео (кликните для воспроизведения).

— осуществлять контроль выполнения запланированных мероприятий по защите ПДн в Департаменте финансов;

— готовить Планы внутренних проверок режима защиты персональных данных в Департаменте финансов;

— участвовать в мероприятиях, предусмотренных в плане внутренних проверок режима защиты персональных данных в Департаменте финансов, утвержденном начальником Департамента финансов;

— проводить внеочередные проверки соответствия практики обработки ПДн в Департаменте финансов требованиям, которые предъявляются в этой сфере законодательными и нормативными актами;

— проводить информирование работников Департамента финансов о состоянии и проводимых мероприятиях по защите ПДн на рабочих местах, о действующих нормативах по обеспечению защиты ПДн в Департаменте финансов.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/46611988/f7ee959fd36b5699076b35abf4f52c5c/

Защита персональных данных

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152.

Зачем необходимо принимать меры по защите персональных данных?

Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, нападок со стороны конкурентов и потери ценной информации.

Комплекс услуг

Аудит существующей системы защиты персональных данных

  • обследование процессов обработки персональных данных
  • анализ организационно-распорядительной документации
  • рекомендации по доработке системы

Заказать услугу

Доработка имеющейся системы защиты персональных данных в соответствии с актуальными требованиями законодательства

Сопровождение созданной системы в условиях меняющегося законодательства и появления новых угроз

Комплекс услуг по созданию с нуля системы защиты персональных данных

В соответствии с требованиями законодательства (для медучреждений, ВУЗов, средних и крупных компаний, бюджетников).

  • оценка текущего состояния обработки ПДн, организационно-распорядительной документации и СЗИ на соответствие актуальным требованиям 152-ФЗ
  • моделирование угроз безопасности ПДн, проектирование эффективной работающей системы ИБ

Технические мероприятия по созданию системы защиты персональных данных в соответствии с классом:

  • поставка и внедрение технических средств защиты информации (сертифицированные межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
  • настройка средств и систем защиты информации в соответствии с требованиями
  • аттестация информационной системы персональных данных
  • помощь в подготовке к прохождению проверки контролирующих органов (Роскомнадзор, ФСТЭК, ФСБ)

Заказать услугу

Источник: http://kontur.ru/security/features/personal-data

Аудит персональных данных

Аудит состояния системы защиты информационных систем персональных данных

Аудит существующей системы защиты персональных данных – это исследование различных процессов обработки персональных данных. Также это анализ документации, связанной с организационно-распорядительным направлением деятельности компании, всевозможные рекомендации, доработка уже имеющейся системы и многое другое.

Аудит защиты персональных данных также может включать в себя сопровождение имеющейся системы при наличии изменений в законодательстве или при появлении каких-либо угроз. Дополнительно это могут быть технические мероприятия по созданию системы защиты персональных данных.

Читайте так же:  Размеры моральный вред при дтп

Мы предоставляем целый комплекс услуг по созданию с нуля системы защиты персональных данных. Это может быть аудит бизнес-процессов, который связан с выявлением необходимых мер, направленных на безопасность информации. Также это может быть формирование перечня различных мероприятий, которые направлены на совершенствование систем защиты персональных данных. Кроме того, это может быть верификация правовой части договоров, подписываемых с контрагентами. Дополнительно проводится проверка, которая показывает, соответствуют ли друг другу бизнес-процессы и закон «О персональных данных». Наши клиенты получают подробные и развернутые консультации экспертов по №152-ФЗ «О персональных данных».

Далее можно более подробно узнать о том, что представляет собой аудит процессов обработки персональных данных. Стоит отметить, что аудит по защите персональных данных включает в себя сразу несколько процессов, которые включают интервьюирование сотрудников компании, экспертно-документальную оценку полученной информации, различные инструментальные измерения.

Подход Крок к защите персональных данных, как и подход компании Help IT.me, имеет строгий алгоритм выполняемых действий. В первую очередь аудит дает возможность определить владельцев информации, а также ее пользователей. Далее нужно определить услуги и то, как они влияют на конечного пользователя. Также идентифицируются приложения, используемые для обработки персональных данных, определяется информационная система, с которой взаимодействуют другие системы.

Аудит персональных данных продолжается экспертно-документальным анализом. Для этого используется техническая, организационно-распорядительная документация. Обязательно проводится описание технических решений, различных функциональных схем, выполняется проверка документов на соответствие требованиям законодательства. Аудит и документация по №152-ФЗ «О персональных данных» обязательно должны проходить процедуру проверки на соответствие, так как в других случаях работа с документацией будет бессмысленна.

Важно понимать, зачем необходимо принимать меры по защите персональных данных.Если проверяемая документация, даже часть информационной системы персональных данных не соответствуют требованиям законодательства, то это послужит причиной того, что возникнет ответственность за нарушение требований по защите персональных данных.

При этом возникнет потребность в такой деятельности, как доработка имеющейся системы защиты персональных данных в соответствии с актуальными требованиями законодательства. Этому также будут способствовать жалобы клиентов, сотрудников, конкурентов. Дополнительно возникает риск потери важной и ценной информации.

Снова о защите персональных данных или готовимся к проверке Роскомнадзора

Стоит отметить, что опыт прохождения проверки Роскомнадзора по персональным данным показывает, как в компании заранее подготовились к таким мероприятиям. Необходимы специальные документы, которые будут готовы после того, как будет проведен аудит соответствия требованиям федерального закона №152-фз «О персональных данных» и выполнены все соответствующие проверки информационной системы персональных данных. Многие организации должны проводить свою деятельность, которая должна проходить соответствие требованиям закона. Ведь проверяющие органы должны знать, персональные данные под угрозой в конкретной организации или не стоит беспокоиться об этом. В результате проверки специалисты выдают не только заключение, но и свидетельство о том, что был проведен аудит.

Для каждой организации аудит по персональным данным представляет собой решение «под ключ». Это означает, что все виды работ, связанные с таким направлением, будут проводиться нашими специалистами с нуля. В том числе мы готовы предложить помощь в процессе непосредственной проверки Роскомнадзором. Мы готовим весь комплекс необходимой документации, разрабатываем в индивидуальном порядке рекомендации, которые позволят внедрить административные и технические меры. Если клиент на все 100% будет выполнять все наши рекомендации, то мы можем гарантировать, что для системы обработки данных не будет никаких угроз и рисков.

Остались вопросы по защите персональных данных? Мы можем предоставить несколько фактов преимущества работы с нашей компанией. В результате сотрудничества с нашей компанией вы получите официальное заключение. Также вы получите профессиональные рекомендации, которые позволят привести существующую систему в такой вид, который соответствует требованиям закона. А при положительном решении аудита клиент получает свидетельство о его успешном прохождении.

Источник: http://helpit.me/articles/audit-personalnykh-dannykh

Аудит по 152-ФЗ «О персональных данных»

Что требует закон?

Закон о персональных данных требует, чтобы абсолютно каждый оператор осуществил правовую подготовку по статье 18.1 и техническую подготовку по статье 19 закона.

Также закон требует, чтобы каждый оператор проводил аудит соответствия обработки персональных данных требованиям закона, подзаконным нормативно-правовым актам, политике оператора в отношении обработки персональных данных и внутренним локальным актам оператора. Об этом гласит пункт 5) части 1 статьи 18.1.

В теории все просто: оператор должен открыть сам закон, внимательно вчитаться в статьи 18.1 и 19 закона и реализовать их в жизни. Но на практике все гораздо сложнее, потому что для реализации указанных статей закона нужно иметь понимание требований, а, столкнувшись с общими формулировками закона, неподготовленному (не опытному) читателю понять их совсем не просто.

В итоге без внешней помощи не обойтись. А тем, кто все же отважился реализовать требование статей закона самостоятельно, нужна перепроверка от компетентной организации.

Что такое аудит по 152-ФЗ?

Под аудитом понимается обследование, анализ и оценка соответствия/готовности требованиям закона и(или) регулятора, проводимые внешней организацией. Аудит по 152-ФЗ делится на два направления: аудит соответствия требованиям закона (проверка правильности и объема выполнения требований закона) и аудит готовности к проверке Роскомнадзора (проверка готовности организации к проверке регулятора).

Читайте так же:  Моральный вред директору

Если оператор провел подготовку по требованиям закона, то это не значит, что он готов пройти проверку уполномоченного регулятора (Роскомнадзора), так как на проверке запрашиваются дополнительные документы и сведения по предмету проверки. Поэтому любому оператору стоит обратиться за внешней помощью (к экспертной организации) для проверки соответствия/готовности требованиям закона и(или) регулятора.

Что входит в аудит по 152-ФЗ?

Сам аудит может проводиться как комплексом услуг, так и по отдельности:

  • аудит организационно-правовой готовности по статьям закона 18.1 и 19 закона (аудит состава и содержания организационно-распорядительной документации в части обработки и защиты персональных данных);
  • аудит реализации технических мер защиты по статье 19 закона (аудит защищенности информационных систем персональных данных или экспертиза результатов работ);
  • аудит готовности к проверке Роскомнадзора (проведение внутреннего контроля готовности к проверке Роскомнадзора: проверка оператора по типовому плану проверки Роскомнадзора, перепроверка наличия и подписания ОРД, инструктаж персонала, консультации).

Как проводится аудит по 152-ФЗ?

Порядок проведения аудита правового соответствия 152-ФЗ следующий:

  1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
    • об организационной структуре организации;
    • бизнес-процессы организации, связанные с обработкой персональных данных;
    • имеющиеся организационно-распорядительные документы в части обработки персональных данных;
    • степень и правильность реализации технических мер защиты;
    • правильность неавтоматизированной (бумажной) обработки персональных данных;
    • взятие согласий с субъектов персональных данных;
    • соответствие договоров с контрагентами требованию закона.
  2. Оформление отчета по результатам аудита, включая, среди прочего, следующее:
    • общая оценка выполнения оператором требований закона;
    • оценка выполнения требований статей 18.1 и 19 закона;
    • оценка соответствия подзаконным нормативно-правовым актам;
    • выводы по результатам аудита;
    • рекомендации и замечания по приведению в соответствие.

Порядок проведения аудита реализации технических мер защиты следующий:

  1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
    • количественные характеристики ИСПДн (количество серверов, рабочих станций и др.);
    • качественные характеристики ИСПДн (операционные системы, СУБД, прикладное ПО и др.);
    • технологии обработки данных в ИСПДн (RDP, Wi-Fi, толстый клиент, тонкий клиент и др.);
    • применяемые средства защиты в ИСПДн;
    • инженерно-техническая защищенность ИСПДн.
  2. Оформление отчета по результатам аудита, включая, среди прочего, следующее:
    • перечень законодательных актов, которым ИСПДн должна соответствовать;
    • подробное описание ИСПДн;
    • оценка выполнения оператором требований закона (статьи 19 закона);
    • оценка соответствия подзаконным нормативно-правовым актам;
    • описание реализации технических мер защиты информации;
    • выводы по результатам аудита;
    • рекомендации и замечания по приведению в соответствие.
  1. Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующее:
    • состав и содержание организационно-распорядительной документации (ОРД) в соответствии с типовым планом проверки Роскомнадзора;
    • полноту утверждения пакета ОРД;
    • соответствие сведений в реестре Роскомнадзора действительности;
    • взятие согласий с субъектов персональных данных;
    • реализацию технических мер защиты;
    • договоры с контрагентами, которым передаются персональные данные.
  2. Оформление отчета по результатам аудита, включая, но не ограничиваясь:
    • готовность пакета ОРД к предоставлению в Роскомнадзор;
    • возможность прохождения оператором проверки по типовому плану проверки Роскомнадзора;
    • нарушения, которые потенциально могут быть выявлены;
    • выводы по результатам аудита;
    • рекомендации и замечания по приведению в соответствие.

Аудит соответствия 152-ФЗ и аудит готовности к проверке Роскомнадзора: отличия.

Главное отличие состоит в том, что при реализации оператором требований 152-ФЗ разрабатываются организационно-распорядительные документы в объеме, требуемом для соответствия законодательству, а при проверке Роскомнадзора, на самой проверке запрашиваются еще дополнительные документы и сведения по предмету проверки. Так как закон не содержит конкретный перечень документов для выполнения требований закона, в нем нет и перечня документов, необходимых для прохождения проверки Роскомнадзора. Поэтому операторы, не имеющие реальной практики, не могут однозначно сказать, соответствуют ли они закону и готовы ли они к проверке Роскомнадзора.

Чтобы стало понятно, приведем цифры:
Пакет документов для соответствия требованиям закона состоит примерно из 40 документов.
Пакет документов для прохождения проверки Роскомнадзора — плюс еще около 20 документов.
Итого полный пакет документов составляет около 60 документов.

Аудит по 152-ФЗ: цена вопроса.

Напомним, что аудит по 152-ФЗ делится на три направления:

  1. Аудит правовой готовности (аудит организационно-распорядительной документации по статьям 18.1 и 19 закона и подзаконным нормативно-правовым актам).
  2. Аудит реализации технических мер защиты (аудит защищенности информационных (компьютерных) систем по статье 19 закона).
  3. Аудит готовности к проверке Роскомнадзора (аудит готовности к проверке по типовому плану проверки Роскомнадзора и с учетом практики прохождения проверок).

Оператор может провести аудит самостоятельно или обратиться за квалифицированной помощью к компетентной организации. Внимание: аудит реализации технических мер защиты может выполнять только лицензиат ФСТЭК России с лицензией на техническую защиту конфиденциальной информации.

Цена аудита правовой подготовки варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от масштаба организации, которую проверяют (количества контрагентов у организации, количества и класса информационных систем, количества отделов и сотрудников и др.).

Цена аудита реализации технических мер защиты варьируется в диапазоне от 150 тыс. руб. до 1,5 млн. руб. в зависимости от масштаба, класса защищенности, сложности и территориальной распределённости ИСПДн.

Цена аудита готовности к прохождению проверки Роскомнадзора варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от срочности, т.е. в зависимости от того, сколько времени есть на подготовку. Сверхсрочные услуги, как правило, в два-три раза дороже чем с обычным сроком.

Читайте так же:  Протечка кровли возмещение ущерба

Обычно при заказе комплексного аудита по 152-ФЗ, включающего правовой, технический аудит и аудит готовности к проверке Роскомнадзора, общая стоимость услуг ниже, чем при заказе каждого вида аудита по отдельности.

Источник: http://xn--90ao1ar.xn--p1ai/podgotovka-po-152-fz/audit-sootvetstviya-152-fz/

Комплексный проект по №152-ФЗ «О персональных данных»

Мы помогаем компаниям выполнить требования закона 152-ФЗ «О персональных данных», которому уже 13 лет. За столь большой срок надзорные органы о нем не позабыли и также проводят проверки бизнеса, а количество штрафов и суммы по ним выросли. Надзорный орган, Роскомнадзор, проверяет организации каждые 2-3 года, в т.ч. путем анализа сайтов компаний.

Что будет, если не выполнять требования 152-ФЗ?

  • Штрафы до 300 000 рублей с мультипликатором (штрафы могут накладываться на каждое выявленное нарушение)
  • Блокировка сайта, мобильного ресурса и информационной системы
  • Приостановление обработки персональных данных

Кто попадает по требования закона?

Под требования закона попадают бюджетные организации, частные компании и предприниматели, обрабатывающие персональные данные физических лиц (например, работников, клиентов). Если вы трудоустраиваете людей в свою организацию на работу, или у вашей компании есть форма заявок или форма подписки на сайте, или для регистрации на вашем сервисе нужно заполнить форму с данными, то вы попадаете под требования закона.

Попасть под требования закона может компания из любой отрасли: финансы, ИТ, стартапы, FMCG, производство, туризм и другие. Особое внимание уделяется международным организациям, у которых есть передача данных за рубеж.

Чем мы можем вам помочь

Готовы помочь вам соответствовать 152-ФЗ «О персональных данных» и избежать штрафов Роскомнадзора.

Ниже описаны этапы работ, выполняемых при комплексном проекте для клиентов.

Источник: http://b-152.ru/152fz-audit

Комплексный аудит системы персональных данных

Проверка защиты персональных данных в организации
на соответствие требованиям ФЗ №152-ФЗ
«О персональных данных»

Узнайте о будущих визитах контрольно-надзорных органов, чтобы быть готовым

Проверка по ИНН

До 31 декабря оставьте заявку
и получите бесплатную консультацию наших экспертов
по аудиту персональных данных
уже сегодня

Узнайте насколько хорошо выполнены требования закона 152-ФЗ
(в т.ч. по проверке обработки персональных данных)

Кому подходит аудит
на соответствие требованиям 152-ФЗ

Под требования закона попадают компании из любой отрасли:

  • бизнес услуги,
  • оптовая торговля и дистрибуция,
  • розничная торговля,
  • производство,
  • транспортная логистика,
  • финансовые организации,
  • телекоммуникация,
  • стартапы,
  • туризм и другие.

Особое внимание уделяется международным организациям, у которых есть передача данных за рубеж.

Попасть под требования закона могут бюджетные организации, частные компании и предприниматели, обрабатывающие персональные данные физических лиц (например, работников, клиентов). Если вы трудоустраиваете людей в свою организацию на работу, или у вашей компании есть форма заявок или форма подписки на сайте, или для регистрации на вашем сервисе нужно заполнить форму с данными, то вы также попадаете под требования закона о персональных данных.

В услугу «Комплексный аудит по 152-ФЗ» входит:

Определение границ зоны обработки ПД.

Определение целей обработки ПД.

Определение характеристик системы ПД.

Составление рекомендаций по документации.

Проверка обработки персональных данных.

Проверка защиты персональных данных.

По результатам экспертизы Вы получите:

План работ

План работ по созданию или улучшению Вашей системы защиты персональных данных

Точные сроки

Определим сроки реализации для каждого
из этапов по работе с документацией по обработке персональных данных.

Расчет стоимости

Подготовим предварительный расчет стоимости услуг и предоставим сформированное коммерческое предложение специально для Вашей организации

Схему НПА

Мы разработаем схему НПА для формирования документации по ПД конкретно для Вашей организации. С полным списком НПА Вы можете ознакомиться тут

Что изменилось в 152-ФЗ «О персональных данных» в 2019 году (актуально на 2020 год)

Проверка обработки персональных данных

Документами по защите персональных данных

Локальными актами, принятыми по 152-ФЗ

Принятыми оператором ПДн меры по ч.1 чт.18.1 ФЗ-152

Ответственность за несоблюдение требований 152-ФЗ

Уголовная

Статья 137 УК РФ.
Штраф до 200 000 рублей, либо лишение свободы на срок до 2х лет.

Административная

Статья 13.11, 13.12, 19.5 КоАП РФ.
Штраф от 335000р. или лишение свободы на срок до 2х лет.

Гражданская

Статья 17, Статья 24 № 152-ФЗ.
Возмещение морального вреда по решению суда.

Блокировка

Сайта, мобильного сервиса
и других информационных инструментов.

Дополнительно об услуге по защите персональных данных

Имея опыт оказания услуг по персональным данным (сопровождению и подготовке мер по обеспечению защиты персональных данных) наши юристы выполнят анализ разработанной документации на соответствие ст. 18.1 и ст. 19 (юридическая экспертиза состава и содержания организационно-распорядительной документации в части обработки и защиты персональных данных) 152 ФЗ «О персональных данных».

Предоставляя услуги по защите персональных данных, мы определяем объем обработки ПД, чтобы не допустить возможные риски для организации.
По запросу, команда «ПД Мастера»выполняет экспертизу технических мер защиты на соответствие ст. 19 (анализ защищенности информационных систем персональных данных).

С другими услугами по проверке защиты персональных данных можно ознакомиться здесь.

Чтобы начать проверку персональных данных: скачайте и заполните анкету персональных данных: Скачать Анкета персональных данных действительна в течении срока хранения личного дела сотрудника.

Видео (кликните для воспроизведения).

Источник: http://pdmaster.ru/services/audit-personalnyh-dannyh-2/

Внутренний аудит персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here