Аудит защиты персональных данных: зачем он во время моратория на проверки?

Логотип компании
Аудит защиты персональных данных: зачем он во время моратория на проверки?
Регулярный аудит защиты персональных данных в организации позволяет не только проверять корректность и достаточность выполнения технических мер защиты, но и держать в актуальном состоянии локальные акты.

Ликбез. Что такое аудит защиты ПДн и зачем он малому бизнесу

Защиту персональных данных в соответствии с законом должна обеспечивать любая компания независимо от своего размера, организационно-правовой формы или вида деятельности.

Персональные данные (ПДн) — это любая информация о физическом лице: ФИО, email, телефон, адрес, дата рождения и т. д. Если у вас в штате 5-10 сотрудников, то вы собираете и обрабатываете их данные для начисления зарплаты, а значит, обязаны соблюдать закон. Если у вас нет сотрудников, но есть сайт, на котором пользователи оставляют контактные данные, — вы тоже являетесь оператором ПДн и должны собирать, обрабатывать и уничтожать их так, как того требует закон. Не подавать уведомление об обработке персональных данных в уполномоченный орган (Роскомнадзор) также не означает ухода от закона. Даже если вашей организации нет в реестре операторов, она все равно может являться оператором.

Чтобы понять, насколько в вашей компании защищены персональные данные, важно проводить регулярный аудит. Внешние консультанты или штатные специалисты по Privacy по итогам аудита находят потенциальные риски, разрабатывают и внедряют недостающие меры по обеспечению безопасности и необходимые документы.

Плановые контрольно-надзорные мероприятия в 2022 году не будут проводиться: это закреплено в Постановлении Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля». Означает ли это, что можно расслабиться и задвинуть в сторону все мероприятия по информационной безопасности?

Отмена проверок не отменяет возникновения инцидентов информационной безопасности

Даже если сейчас бизнес в некой безопасности от проверок регуляторов, то утечки данных отменить нельзя, и они могут привести к негативным последствиям. Громкие утечки последних дней – в «Яндекс.Еда» и СДЭК. Такие инциденты несут репутационные риски, клиенты теряют к вам доверие.

Ошибочно думать, что утечки грозят только большим компаниям, а малый и средний бизнес просто неинтересен злоумышленникам. На форумах по продаже баз с персональными данными очень часто продаются файлы именно небольших компаний. Они используются для обогащения уже ранее «слитой» информации. Кроме репутационных рисков, в скором времени утечки будут нести также финансовые потери для бизнеса. В данный момент в Минцифры рассматривается законопроект о введении оборотных штрафов для бизнеса.

Чем грозит несоблюдение Закона о защите персональных данных:

- Претензии и судебные иски со стороны субъектов ПДн:

  • издержки: расходы на консалтинг и юристов;

  • финансовые потери: от 400 тыс. рублей.

- Репутационный ущерб:

  • издержки: расходы на восстановление репутации и лояльности пользователей;

  • финансовые потери: от 500 тыс. рублей до годового оборота компании.

- Штрафы от РКН за нарушение законодательства о персональных данных, а также за неустранение нарушений и непредставление сведений в Роскомнадзор:

  • финансовые потери: от 30 тыс. рублей до 18 млн рублей.

Отмена проверок не означает отсутствие интереса регулятора

При нарушении своих прав субъект может направить жалобу в Роскомнадзор или обратиться в электронную приемную. РКН в ходе рассмотрения обращения может направить запрос компании с целью уточнения выполнения требований. Кроме того, у РКН есть практика мониторинга форумов по продаже персональных данных с последующим направлением запросов по факту произошедшей утечки компаниям, ссылки на которые оставляют злоумышленники.

Изменения в законодательстве по защите персональных данных

Еще одним весомым доводом не замораживать процессы по защите информации является принятие в июле законопроекта, который вносит пакет поправок в Закон о защите персональных данных.

В поправках есть требование об уведомлении Роскомнадзора в случае факта утечки или неправомерного доступа к данным, а также компаниям будет необходимо провести расследование и сообщить о результатах регулятору. Все эти действия нужно выполнять в очень сжатые сроки, что без выстроенной системы менеджмента инцидентов будет сложно.

Внутренний контроль защиты персональных данных показывает ответственное отношение

Новые партнеры перед заключением договорных отношений обычно хотят убедиться, ответственно ли в компании относятся к защите данных. Среди вопросов, которые направлены на подтверждение выполнения мер по защите ПДн, часто встречается «проведение аудита по защите персональных данных».

Регулярный аудит защиты персональных данных в организации позволяет не только проверять корректность и достаточность выполнения технических мер защиты, но и держать в актуальном состоянии локальные акты.

Что собой представляет аудит защиты персональных данных в организации?

Аудит проводится штатными специалистами по Privacy компании или с привлечением внешних консультантов. В законе нет регламента, который бы диктовал периодичность проверок. По нашему опыту, достаточно проводить его один раз в год. Если в штате есть свой Data Protection Officer, то, помимо внутренней ежегодной проверки, раз в один-два года следует делать аудит с привлечением внешних консультантов.

Аудит может состоять из следующих шагов:

  • Оценка текущего состояния процессов обработки персональных данных. Если аудит проводился ранее, следует определить, были ли изменения в процессах и несут ли они какие-либо риски.

  • Анализ и пересмотр локальных нормативных актов и иных документов, которые регламентируют работу с персональными данными, с целью определения их достаточности и актуальности.

  • Анализ на актуальность состава персональных данных, оснований и целей их обработки в организации.

  • Анализ информационных систем, в которых ведется обработка персональных данных.

  • Анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации.

  • Оценка программных и технических средств защиты и соответствия системы защиты информационных систем требованиям законодательства в области защиты персональных данных.

Как организовать работу?

Аудит затрагивает все процессы внутри компании, и, чтобы сделать его наиболее эффективным, мы рекомендуем разделить работу по этапам. Например, в течение года отдельно проверять каждое направление, департамент или отдел. Так вы сможете получить детально проработанный отчет с подробным заключением на каждое направление.

Наш опыт

Для компаний, с которыми работаем, мы составляем план аудита в начале каждого месяца или квартал: определяем в нем отделы, которые будут проходить повторный аудит, а их руководителям направляем список интересующих нас вопросов. Так мы можем заранее забронировать время у каждого отдела и гораздо продуктивнее вести звонки.

Читайте также
Еще совсем недавно от западных облачных сервисов зависело 30% крупных российских компаний. Их отключение, порой внезапное, должно было поставить рынок перед сложными вызовами. Но оказалось, что российские облака готовы предложить рынку вполне зрелые решения. Это и многое другое обсудили участники круглого стола IT-World «Импортозамещение в облаках».

По итогам аудита составляются отчет или заключение с описанием выявленных несоответствий в компании и мер, предпринятых для их устранения. Но подход разных компаний может отличаться.

Опубликовано 22.07.2022

Похожие статьи