Выйти из системы

Сменить пользователя

Как провести аудит защиты персональных данных: пошаговая инструкция

С аудита начинается всё. В материале про создание модели угроз мы упоминали, что аудит — это первый этап перед внедрением или обновлением организационно-технических мер защиты персональных данных (ПДн).

Аудит — это комплексная проверка, направленная на оценку соответствия систем и обработки ПДн требованиям законодательства. Разбираем шесть шагов самостоятельного проведения аудита.

Шаг 1: определение целей

Для начала определяем цели и объем аудита. Целью может быть:

  • Проверка соответствия внутренней политики защиты ПДн законодательным требованиям.
  • Оценка рисков утечки или неправомерного использования персональных данных.
  • Подготовка к проверкам регуляторов, например, Роскомнадзора.

О том, как регуляторы проводят проверки на предмет соответствия требованиям в обход моратория и причем здесь Прокуратура — рассказывали в материале.

Объем аудита определяется с учетом специфики деятельности организации, используемых информационных систем и количества обрабатываемых ПДн.

Шаг 2: анализ нормативных актов

Анализируем требования регуляторов. В 2024 году в России к основным нормативным актам относятся:

  • Федеральный закон №152-ФЗ «О персональных данных». Инструкция по выполнению требований размещена тут.
  • Постановления Правительства РФ, касающиеся требований к защите ПДн.
  • Приказы ФСТЭК, ФСБ и Роскомнадзора по техническим мерам защиты информации. Например, Приказ ФСБ России от 10 июля 2014 г. № 378, который регулирует использование средств криптографической защиты информации.
  • ГОСТы и другие стандарты в сфере информационной безопасности.

Необходимо изучить последние изменения в законодательстве и требования, чтобы учесть их при проведении аудита. А также — обратить внимание на то, какие относятся именно к вам:

Шаг 3: готовим план аудита

План должен включать:

  • Список подразделений и ИС, которые будем проверять.
  • Перечень документов и данных, которые необходимо собрать и проанализировать. Полный перечень организационно распределительной документации по ПДн — размещён здесь.
  • Определение методик проведения аудита, таких как интервью, анализ документов, тестирование информационных систем и т.д.
  • Определение сроков проведения аудита и назначение ответственных лиц.

Шаг 4: проводим аудит

Аудит защиты ПДн состоит из нескольких этапов:

4.1. собираем и анализируем документацию

Здесь необходимо собрать и проанализировать все внутренние документы, касающиеся защиты ПДн:

  • Политики и процедуры обработки персональных данных
  • Договоры с сотрудниками и контрагентами
  • Реестры процессов обработки персональных данных
  • Акты и протоколы предыдущих проверок и аудитов

Важно удостовериться, что все документы актуальны и соответствуют требованиям регуляторов.

4.2. Оценка организационных мер защиты

Организационные меры защиты включают обучение сотрудников, назначение ответственных лиц за обработку персональных данных, проведение регулярных проверок и инструктажей. Необходимо оценить:

  • Ответственного за защиту ПДн
  • Периодичность и качество проведения инструктажей и обучения персонала
  • Соблюдение процедур доступа к персональным данным

4.3. Оценка технических мер защиты

Технические меры защиты включают использование программных и аппаратных средств для защиты данных. На этом этапе:

  • Оцениваем используемые системы защиты — антивирусы, межсетевые экраны, системы предотвращения утечек данных (DLP) и т.д.
  • Проверяем актуальность и корректность настроек СЗИ.
  • Тестирование уязвимостей информационных систем и сетей.

4.4. Проверка на соответствие требованиям законодательства

Оцениваем соответствие всех процессов обработки ПДн требованиям законодательства. Проверяем:

  • Правомерность обработки ПДн (согласия субъектов, законные основания).
  • Соблюдение принципов — точности и актуальности и т.д. Обо всех принципах рассказывали тут.
  • Выполнение требований к хранению и уничтожению персональных данных.

Шаг 5: оценка рисков и разработка рекомендаций

На основе аудита составляем список выявленных нарушений и уязвимостей. Оцениваем риски, потенциальное воздействие на организацию и возможные последствия.

После этого разрабатываем рекомендации по устранению нарушений и минимизации рисков. Рекомендации должны быть конкретными и реализуемыми в установленные сроки.

Таким образом, по завершении аудита у нас на руках:

  • Основные выводы по результатам аудита.
  • Выявленные нарушения и уязвимости.
  • Оценка рисков и их потенциальных последствий.
  • Рекомендации по улучшению защиты персональных данных.

Шаг 6: мониторинг и контроль выполнения рекомендаций

После завершения аудита и назначаем ответственных лиц, которые будут контролировать выполнение рекомендаций. Это могут быть:

  • Ответственный за защиту персональных данных — лицо, назначенное для общего надзора за реализацией мер по защите данных.
  • Руководители подразделений — контролируют выполнение рекомендаций в рамках своих отделов, особенно если они связаны с организационными изменениями или обучением сотрудников.
  • Технические специалисты — отвечают за внедрение и настройку технических мер защиты информации.

Для эффективного контроля разрабатываем детальный план действий:

  • Конкретные меры по устранению выявленных недостатков (например, обновление политики безопасности, внедрение новых технологий защиты)
  • Сроки реализации
  • Критерии успеха для каждой меры, чтобы можно было четко определить, завершена ли работа

План действий должен быть утвержден руководством компании и доведен до всех заинтересованных сторон.

Теперь о мониторинге. Он должен включать:

  • Регулярные отчеты от ответственных лиц о ходе выполнения мер. Такие отчеты могут быть еженедельными или ежемесячными, в зависимости от объема работы и сроков выполнения.
  • Проверки и ревизии для контроля выполнения технических мер — тесты на проникновение, проверка актуальности ПО и т.д.
  • Автоматизированные инструменты мониторинга, SIEM.

70% утечек данных происходят по вине сотрудников. Поэтому важно обучить команду новым процессам и процедурам. Это может включать:

  • Информирование сотрудников о новых политиках и инструкциях по защите персональных данных.
  • Проведение регулярных инструктажей для поддержания высокого уровня осведомленности и соблюдения требований.
  • Тестирование на знание и выполнение требований.

Обучение должно быть ориентировано не только на теоретические знания, но и на практические навыки, такие как идентификация фишинговых атак или правильное обращение с конфиденциальными данными.

Заполните форму, мы свяжемся с вами и проведём бесплатный аудит веб-ресурса на соответствие требованиям регуляторов по персональным данным.