Внутренний аудит работы с персональными данными

Аудит и классификация данных
на базе системы

СёрчИнформ FileAuditor
30 дней для тестирования «СёрчИнформ FileAuditor»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Процессы обработки персональных данных на предприятии, обеспечение их конфиденциальности должны быть задокументированы.

Внутренний аудит персональных данных позволит определить, насколько эти процессы соответствуют требованиям законодательства и своевременно подготовиться к проверкам соблюдений требования закона о персональных данных.

Требования к обработке персональных данных

Меры по защите доверенных компании персональных данных клиентов и сотрудников определяются нормами Федерального закона «О персональных данных». 

Они призваны обеспечить:

  • конфиденциальность данных;
  • обязательное уведомление субъекта персональных данных о целях и порядке их обработки;
  • соблюдение условий передачи данных третьим лицам;
  • блокировку, изменение и уничтожение данных по требованию правообладателя.

Регламенты проведения этих действий с данными прописываются во внутренних регламентах компании по работе с персональными данными, которые утверждаются на уровне руководства. Требования к программным продуктам и аппаратным средствам, обеспечивающим защиту персональных данных (брандмауэрам, антивирусам, средствам криптографической защиты), устанавливаются рекомендациями и другими нормативными актами ФСТЭК и ФСБ РФ. Несоблюдение требований может привести к проблемам. Так, при проверке работы с данными Роскомнадзором или ФСТЭК РФ компании может быть вынесено предписание об устранении нарушений и наложен административный штраф.

Организация системы внутреннего аудита обработки данных

Крупные компании имеют в своей структуре подразделение, на которое возлагается обязанность по внутреннему аудиту всех бизнес-процессов организации. В его обязанности вменяется и проверка соблюдения условий обработки персональных данных. 

Если подразделения по контролю работы с данными нет, то приказом руководителя создается рабочая группа по контролю обработки данных, в состав которой входят сотрудники административного отдела, юридического подразделения, службы безопасности и ИТ-подразделения.

Объем и сроки проведения аудита работы с данными определяются в том же приказе руководства, которым утверждается состав рабочей группы. Руководителем рабочей группы назначается один из заместителей директора компании, имеющий властные полномочия и возможность отдавать сотрудникам распоряжения, обязательные для выполнения. 

Внутренняя проверка соблюдения регламентов по обработке персональных данных включает:

  • аудит ИТ-инфраструктуры, в рамках которого изучаются программные и аппаратные средства защиты безопасности персональных данных;
  • анализ организационно-распорядительной документации, устанавливающий факт ее наличия и исполнения. На предприятии должен быть внедрен регламент обработки персональных данных, разграничен доступ пользователей к конфиденциальной информации, утверждены приказы, назначающие лиц, отвечающих за качество обработки данных;
  • бизнес-процессы, связанные с обработкой персональных данных.

Итогом работы внутренних аудиторов работы с данными должны стать рекомендации, описывающие достоинства и недостатки существующей системы и предлагающие решения по ее оптимизации как с кадровой, так и с организационно-технической точки зрения. Проведение аудита должно предшествовать плановым проверкам соблюдения законодательства. Узнать о том, включена ли компания в план проверок ФСТЭК РФ на следующий год, можно на сайте Генпрокуратуры, Роскомнадзор дублирует информацию на своем сайте.

17.12.2019

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними