Как провести аудит защиты персональных данных: пошаговая инструкция
С аудита начинается всё. В материале про создание модели угроз мы упоминали, что аудит — это первый этап перед внедрением или обновлением организационно-технических мер защиты персональных данных (ПДн).
Аудит — это комплексная проверка, направленная на оценку соответствия систем и обработки ПДн требованиям законодательства. Разбираем шесть шагов самостоятельного проведения аудита.
Шаг 1: определение целей
Для начала определяем цели и объем аудита. Целью может быть:
- Проверка соответствия внутренней политики защиты ПДн законодательным требованиям.
- Оценка рисков утечки или неправомерного использования персональных данных.
- Подготовка к проверкам регуляторов, например, Роскомнадзора.
О том, как регуляторы проводят проверки на предмет соответствия требованиям в обход моратория и причем здесь Прокуратура — рассказывали в материале.
Объем аудита определяется с учетом специфики деятельности организации, используемых информационных систем и количества обрабатываемых ПДн.
Шаг 2: анализ нормативных актов
Анализируем требования регуляторов. В 2024 году в России к основным нормативным актам относятся:
- Федеральный закон №152-ФЗ «О персональных данных». Инструкция по выполнению требований размещена тут.
- Постановления Правительства РФ, касающиеся требований к защите ПДн.
- Приказы ФСТЭК, ФСБ и Роскомнадзора по техническим мерам защиты информации. Например, Приказ ФСБ России от 10 июля 2014 г. № 378, который регулирует использование средств криптографической защиты информации.
- ГОСТы и другие стандарты в сфере информационной безопасности.
Необходимо изучить последние изменения в законодательстве и требования, чтобы учесть их при проведении аудита. А также — обратить внимание на то, какие относятся именно к вам:
Шаг 3: готовим план аудита
План должен включать:
- Список подразделений и ИС, которые будем проверять.
- Перечень документов и данных, которые необходимо собрать и проанализировать. Полный перечень организационно распределительной документации по ПДн — размещён здесь.
- Определение методик проведения аудита, таких как интервью, анализ документов, тестирование информационных систем и т.д.
- Определение сроков проведения аудита и назначение ответственных лиц.
Шаг 4: проводим аудит
Аудит защиты ПДн состоит из нескольких этапов:
4.1. собираем и анализируем документацию
Здесь необходимо собрать и проанализировать все внутренние документы, касающиеся защиты ПДн:
- Политики и процедуры обработки персональных данных
- Договоры с сотрудниками и контрагентами
- Реестры процессов обработки персональных данных
- Акты и протоколы предыдущих проверок и аудитов
Важно удостовериться, что все документы актуальны и соответствуют требованиям регуляторов.
4.2. Оценка организационных мер защиты
Организационные меры защиты включают обучение сотрудников, назначение ответственных лиц за обработку персональных данных, проведение регулярных проверок и инструктажей. Необходимо оценить:
- Ответственного за защиту ПДн
- Периодичность и качество проведения инструктажей и обучения персонала
- Соблюдение процедур доступа к персональным данным
4.3. Оценка технических мер защиты
Технические меры защиты включают использование программных и аппаратных средств для защиты данных. На этом этапе:
- Оцениваем используемые системы защиты — антивирусы, межсетевые экраны, системы предотвращения утечек данных (DLP) и т.д.
- Проверяем актуальность и корректность настроек СЗИ.
- Тестирование уязвимостей информационных систем и сетей.
4.4. Проверка на соответствие требованиям законодательства
Оцениваем соответствие всех процессов обработки ПДн требованиям законодательства. Проверяем:
- Правомерность обработки ПДн (согласия субъектов, законные основания).
- Соблюдение принципов — точности и актуальности и т.д. Обо всех принципах рассказывали тут.
- Выполнение требований к хранению и уничтожению персональных данных.
Шаг 5: оценка рисков и разработка рекомендаций
На основе аудита составляем список выявленных нарушений и уязвимостей. Оцениваем риски, потенциальное воздействие на организацию и возможные последствия.
После этого разрабатываем рекомендации по устранению нарушений и минимизации рисков. Рекомендации должны быть конкретными и реализуемыми в установленные сроки.
Таким образом, по завершении аудита у нас на руках:
- Основные выводы по результатам аудита.
- Выявленные нарушения и уязвимости.
- Оценка рисков и их потенциальных последствий.
- Рекомендации по улучшению защиты персональных данных.
Шаг 6: мониторинг и контроль выполнения рекомендаций
После завершения аудита и назначаем ответственных лиц, которые будут контролировать выполнение рекомендаций. Это могут быть:
- Ответственный за защиту персональных данных — лицо, назначенное для общего надзора за реализацией мер по защите данных.
- Руководители подразделений — контролируют выполнение рекомендаций в рамках своих отделов, особенно если они связаны с организационными изменениями или обучением сотрудников.
- Технические специалисты — отвечают за внедрение и настройку технических мер защиты информации.
Для эффективного контроля разрабатываем детальный план действий:
- Конкретные меры по устранению выявленных недостатков (например, обновление политики безопасности, внедрение новых технологий защиты)
- Сроки реализации
- Критерии успеха для каждой меры, чтобы можно было четко определить, завершена ли работа
План действий должен быть утвержден руководством компании и доведен до всех заинтересованных сторон.
Теперь о мониторинге. Он должен включать:
- Регулярные отчеты от ответственных лиц о ходе выполнения мер. Такие отчеты могут быть еженедельными или ежемесячными, в зависимости от объема работы и сроков выполнения.
- Проверки и ревизии для контроля выполнения технических мер — тесты на проникновение, проверка актуальности ПО и т.д.
- Автоматизированные инструменты мониторинга, SIEM.
70% утечек данных происходят по вине сотрудников. Поэтому важно обучить команду новым процессам и процедурам. Это может включать:
- Информирование сотрудников о новых политиках и инструкциях по защите персональных данных.
- Проведение регулярных инструктажей для поддержания высокого уровня осведомленности и соблюдения требований.
- Тестирование на знание и выполнение требований.
Обучение должно быть ориентировано не только на теоретические знания, но и на практические навыки, такие как идентификация фишинговых атак или правильное обращение с конфиденциальными данными.
Заполните форму, мы свяжемся с вами и проведём бесплатный аудит веб-ресурса на соответствие требованиям регуляторов по персональным данным.