Аудит по 152-ФЗ

Что такое аудит соответствия 152-ФЗ

Аудит организации на соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных» представляет собой независимую проверку выполнения оператором персональных данных требований законодательства в части обработки, хранения и защиты персональных данных.

В рамках аудита анализируются организационные, правовые и технические меры защиты персональных данных, корректность построения процессов обработки ПДн, выполнение обязанностей оператора ПДн, а также готовность организации к проверкам Роскомнадзора и реагированию на инциденты, связанные с утечками данных.

Цель и значение аудита 152-ФЗ

Федеральный закон № 152-ФЗ является базовым законодательным актом в области защиты персональных данных на территории Российской Федерации. Его требования обязательны для исполнения практически любым юридическим лицом, осуществляющим обработку персональных данных сотрудников, клиентов или контрагентов.

Цель аудита – оценка фактического соответствия процессов обработки персональных данных требованиям 152-ФЗ, выявление рисков и уязвимостей, а также формирование практических рекомендаций по устранению нарушений и повышению уровня защищенности персональных данных.

На кого распространяются требования 152-ФЗ

Аудит соответствия 152-ФЗ актуален и обязателен для:

• всех операторов персональных данных;
• организаций, имеющих сотрудников;
• компаний, работающих с клиентами и контрагентами;
• организаций, обрабатывающих биометрические персональные данные;
• компаний, использующих ИСПДн и онлайн-сервисы.

Фактически требования 152-ФЗ распространяются на большинство юридических лиц, осуществляющих деятельность на территории РФ.

Основные принципы защиты персональных данных по 152-ФЗ

152-ФЗ — это основной законодательный акт в области защиты персональных данных, действующий на территории РФ. В основе 152-ФЗ лежат 7 принципов защиты ПДн:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обязанности оператора персональных данных

Требования 152-ФЗ проистекают из определенных данным ФЗ обязанностей операторов персональных данных — любого физического или юридического лица, осуществляющего сбор, обработку, хранение персональных данных других субъектов права РФ. Говоря проще — практически любого юридического лица, которое имеет хотя бы одного сотрудника или клиента.

Ключевые требования 152-ФЗ — обязанности операторов ПДн:

1. При сборе ПДн:
   • Обеспечить достаточное информирование субъекта ПДн.
   • Если сбор данных обязателен, разъяснить субъекту ПДн последствия отказа от предоставления данных.
   • Если данные собираются не напрямую от субъекта ПДн, собирается информация о лице, предоставившем данные, с указанием источника и правового основания.
   • При сборе данных онлайн обеспечить (возможность) записи, систематизации, накопления, хранения, уточнения (обновления/изменения), извлечения персональных данных граждан РФ.
2. Обеспечение соответствия 152-ФЗ:
   • Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и связанными с ним другими НПА.
   • Назначить ответственного за обработку ПДн.
   • Разработать ключевые внутренние документы, регулирующие процессы и процедуры работы с ПДн, определяющие категории ПДн и цели их обработки, а также обеспечить возможность их предоставления по запросу уполномоченного органа по защите прав субъектов персональных данных.
   • Обеспечить применение правовых, организационных и технических мер защиты ПДн в соответствии с 19 статьей 152-ФЗ.
   • Осуществить «внутренний контроль и (или) аудит соответствия обработки ПДн» (соответствие 152-ФЗ).
   • В случае нарушения 152-ФЗ осуществить оценку возможного вреда.
   • Обеспечить соответствующее обучение сотрудников, осуществляющих сбор ПДн.
   • Опубликовать Политику в отношении обработки персональных данных.
3. Обеспечение безопасности персональных данных при их обработке:
   • Определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
   • Применение сертифицированных средств защиты информации (далее — СЗИ).
   • Обнаружение фактов несанкционированного доступа к ПДн.
   • Обеспечить соответствие установленному уровню защищенности ПДн при их обработке в ИСПДн, требованиям к материальным носителям биометрических ПДн вне ИСПДн.
   • Обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
4. Обязанности оператора ПДн при получении запроса от субъекта ПДн, его представителя или уполномоченного органа по защите прав субъектов персональных данных:
   • В течение 10 рабочих дней (+5 рабочих дней при необходимости отсрочки) сообщить субъекту о наличии обрабатываемых ПДн, относящихся к субъекту, а также предоставить возможность ознакомиться с ними или дать мотивированный отказ в письменной форме со ссылкой на часть 8 статьи 14 152-ФЗ.
   • В течение 7 рабочих дней уничтожить ПДн при получении соответствующего запроса, при наличии сведений о некорректности, неактуальности или незаконности сбора данных, а также уведомить субъекта об изменениях и принятых мерах.
   • Ответ на запрос Роскомнадзора предоставляется в течение 10 рабочих дней (+5 рабочих дней при отсрочке).
5. Обязанности оператора ПДн при выявлении нарушений, связанных с обработкой персональных данных (действия осуществляются оператором или лицом по поручению):
   • Осуществить блокирование ПДн при установлении факта неправомерности обработки и в течение 10 рабочих дней попытаться восстановить правомерность обработки либо прекратить обработку.
   • Актуализировать ПДн при установлении факта их неактуальности.
   • При установлении факта «утечки данных» в течение 24 часов сообщить об инциденте и принятых мерах в Роскомнадзор, в течение 72 часов — о причинах и предполагаемых последствиях, а также сообщить сведения о контактном лице.
   • В течение 30 дней прекратить обработку ПДн при достижении цели их обработки.

Этапы проведения аудита соответствия 152-ФЗ

Аудит организации на соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных» включает несколько этапов.

1. Подготовительный этап.
   Определение целей и задач аудита, уточнение целей проверки (оценка соответствия 152-ФЗ, выявление рисков и уязвимостей). Сбор информации: изучение документов организации, политик, регламентов, договоров. Формирование команды аудиторов.


2. Анализ документов.
   Проверка локальных нормативных актов: политики обработки ПДн, согласий на обработку, регламентов доступа. Анализ договоров с операторами и третьими лицами на соответствие 152-ФЗ.


3. Оценка процессов обработки персональных данных.
   Изучение процессов сбора, хранения, обработки и уничтожения ПДн. Проверка технических мер защиты: шифрование, антивирусы, системы контроля доступа. Оценка организационных мер: ответственные лица, обучение сотрудников.


4. Проверка соответствия требованиям 152-ФЗ.
   Проверка соблюдения принципов обработки данных, прав субъектов ПДн, корректности уведомлений в Роскомнадзор.


5. Выявление рисков и уязвимостей.
   Анализ потенциальных рисков для конфиденциальности, целостности и доступности данных. Определение слабых мест в процессах и системах защиты.


6. Разработка модели угроз и нарушителя для ИСПДн (опциональный этап).


7. Составление отчета.
   Подготовка документа с результатами аудита, включая выявленные нарушения, риски и рекомендации. Предложение мер по устранению недостатков.


8. Заключительный этап.
   Обсуждение результатов с руководством, презентация отчета, планирование мероприятий по улучшению.


9. Повторный аудит (при необходимости).
   Контроль выполнения рекомендаций и оценка улучшения процессов.

Эти этапы могут варьироваться в зависимости от специфики организации и объема обрабатываемых персональных данных.

Результаты и преимущества для бизнеса

По итогам аудита организация получает:

• объективную оценку соответствия требованиям 152-ФЗ;
• перечень выявленных нарушений и рисков;
• рекомендации по устранению недостатков;
• повышение готовности к проверкам Роскомнадзора;
• снижение рисков штрафов и репутационных потерь;
• основу для повышения зрелости системы информационной безопасности.

Что входит в услугу

Подготовительный этап.

• Действия: определение целей и задач аудита, сбор исходной информации, формирование команды аудиторов.
• Результат: согласованный план и объем аудита.

Анализ документов.

• Действия: проверка локальных нормативных актов, соглашений, договоров и регламентов.
• Результат: выявленные несоответствия документации требованиям 152-ФЗ.

Оценка процессов обработки ПДн.

• Действия: анализ процессов сбора, хранения, обработки и уничтожения ПДн, оценка технических и организационных мер защиты.
• Результат: оценка фактической реализации требований закона.

Проверка соответствия требованиям 152-ФЗ.

• Действия: проверка соблюдения принципов обработки данных, прав субъектов ПДн, корректности уведомлений в Роскомнадзор.
• Результат: подтверждение или выявление нарушений требований законодательства.

Выявление рисков и уязвимостей.

• Действия: анализ рисков и слабых мест в системе защиты ПДн.
• Результат: перечень рисков и потенциальных угроз.

Разработка модели угроз и нарушителя (опционально).

• Действия: формирование модели угроз для ИСПДн.
• Результат: утвержденная модель угроз и нарушителя.

Составление отчета.

• Действия: подготовка отчета с выводами и рекомендациями.
• Результат: итоговый отчет по результатам аудита.

Заключительный этап и повторный аудит.

• Действия: обсуждение результатов, планирование улучшений, контроль выполнения рекомендаций.
• Результат: повышение уровня соответствия и зрелости ИБ.