Внутренний аудит работы с персональными данными

Главная — Контроль доступа к неструктурированным данным — Аудит данных — Аудит защиты персональных данных — Внутренний аудит работы с персональными данными

ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Процессы обработки персональных данных на предприятии, обеспечение их конфиденциальности должны быть задокументированы.

Внутренний аудит персональных данных позволит определить, насколько эти процессы соответствуют требованиям законодательства и своевременно подготовиться к проверкам соблюдений требования закона о персональных данных.

Требования к обработке персональных данных

Меры по защите доверенных компании персональных данных клиентов и сотрудников определяются нормами Федерального закона «О персональных данных».

Они призваны обеспечить:

конфиденциальность данных;
обязательное уведомление субъекта персональных данных о целях и порядке их обработки;
соблюдение условий передачи данных третьим лицам;
блокировку, изменение и уничтожение данных по требованию правообладателя.

Регламенты проведения этих действий с данными прописываются во внутренних регламентах компании по работе с персональными данными, которые утверждаются на уровне руководства. Требования к программным продуктам и аппаратным средствам, обеспечивающим защиту персональных данных (брандмауэрам, антивирусам, средствам криптографической защиты), устанавливаются рекомендациями и другими нормативными актами ФСТЭК и ФСБ РФ. Несоблюдение требований может привести к проблемам. Так, при проверке работы с данными Роскомнадзором или ФСТЭК РФ компании может быть вынесено предписание об устранении нарушений и наложен административный штраф.

Организация системы внутреннего аудита обработки данных

Крупные компании имеют в своей структуре подразделение, на которое возлагается обязанность по внутреннему аудиту всех бизнес-процессов организации. В его обязанности вменяется и проверка соблюдения условий обработки персональных данных.

Если подразделения по контролю работы с данными нет, то приказом руководителя создается рабочая группа по контролю обработки данных, в состав которой входят сотрудники административного отдела, юридического подразделения, службы безопасности и ИТ-подразделения.

Объем и сроки проведения аудита работы с данными определяются в том же приказе руководства, которым утверждается состав рабочей группы. Руководителем рабочей группы назначается один из заместителей директора компании, имеющий властные полномочия и возможность отдавать сотрудникам распоряжения, обязательные для выполнения.

Внутренняя проверка соблюдения регламентов по обработке персональных данных включает:

аудит ИТ-инфраструктуры, в рамках которого изучаются программные и аппаратные средства защиты безопасности персональных данных;
анализ организационно-распорядительной документации, устанавливающий факт ее наличия и исполнения. На предприятии должен быть внедрен регламент обработки персональных данных, разграничен доступ пользователей к конфиденциальной информации, утверждены приказы, назначающие лиц, отвечающих за качество обработки данных;
бизнес-процессы, связанные с обработкой персональных данных.

Итогом работы внутренних аудиторов работы с данными должны стать рекомендации, описывающие достоинства и недостатки существующей системы и предлагающие решения по ее оптимизации как с кадровой, так и с организационно-технической точки зрения. Проведение аудита должно предшествовать плановым проверкам соблюдения законодательства. Узнать о том, включена ли компания в план проверок ФСТЭК РФ на следующий год, можно на сайте Генпрокуратуры, Роскомнадзор дублирует информацию на своем сайте.

17.12.2019

Закажите бесплатный 30-дневный триал

Полнофункциональное ПО без ограничений по
пользователям и функциональности

ЗАКАЗАТЬ

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.