Аудит соответствия 152-ФЗ (ПДн)

Работы в рамках услуги

• Анализ существующей системы защиты персональных данных
• Анализ правовых оснований обработки персональных данных
• Разработка необходимой внутренней распорядительной документации
• Проектирование и организация системы защиты персональных данных
• Сопровождение проверки регулятора и консультация специалистов относительно выданных предписаний

Основные требования законодательства и проверки регулятора

Основным государственным органом, контролирующим деятельность операторов персональных данных в области защиты персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). На основании действующего законодательства регулятор осуществляет контроль за соблюдением требований к защите персональных данных и на основании выявленных несоответствий накладывает штрафные санкции, которые могут варьироваться от замечания или штрафа до прекращения деятельности оператора персональных данных.

Среди основных требований можно выделить две группы:

• Требования из области правового регулирования обработки персональных данных. К таким требованиям относят требования о регистрации оператора в едином реестре, своевременное оповещение регулятора о выявленных инцидентах, иные регулярные извещения, организация правовых оснований взаимодействия с клиентам-владельцами персональных данных, на основании действующих форм для заявлений и политики обработки персональных данных и иные требования.
• Требования по защите и организации процесса защиты персональных данных при их обработке оператором и третьими лицами. К таким требованиям, например, относятся контрактные требования 21 приказа ФСТЭК России (перечень мер защиты) и иные конкретные требования о применении технических средств защиты и организационных мер защиты.

Почему нужен аудит и что мы можем предложить

В связи со сложной геополитической обстановкой и увеличением источников угроз для защищаемых персональных данных, контроль за соблюдением требований законодательства и фактической защите обрабатываемых персональных данных возрастает. Ежегодно увеличиваются штрафы за нарушения законодательства и утечки персональных данных, вводятся дополнительные рычаги давления для мотивации к организации добросовестной системы защиты информации.

Мы предлагаем провести аудит существующей системы защиты персональных данных для выявления и исправления выявленных несоответствий. В процессе проведения работ будут проанализирована существующая внутренняя нормативная документация и система защиты персональных данных, включающая применяемые технические средства защиты и организационные меры защиты информации. Результатом выполненных работ является полный список несоответствий требованиям законодательства, исправленная и/или сформированная необходимая внутренняя распорядительная документация и рекомендации к техническому обеспечению системы защиты персональных данных.