Аудит защиты персональных данных: зачем он во время моратория на проверки?
Ликбез. Что такое аудит защиты ПДн и зачем он малому бизнесу
Защиту персональных данных в соответствии с законом должна обеспечивать любая компания независимо от своего размера, организационно-правовой формы или вида деятельности.
Персональные данные (ПДн) — это любая информация о физическом лице: ФИО, email, телефон, адрес, дата рождения и т. д. Если у вас в штате 5-10 сотрудников, то вы собираете и обрабатываете их данные для начисления зарплаты, а значит, обязаны соблюдать закон. Если у вас нет сотрудников, но есть сайт, на котором пользователи оставляют контактные данные, — вы тоже являетесь оператором ПДн и должны собирать, обрабатывать и уничтожать их так, как того требует закон. Не подавать уведомление об обработке персональных данных в уполномоченный орган (Роскомнадзор) также не означает ухода от закона. Даже если вашей организации нет в реестре операторов, она все равно может являться оператором.
Чтобы понять, насколько в вашей компании защищены персональные данные, важно проводить регулярный аудит. Внешние консультанты или штатные специалисты по Privacy по итогам аудита находят потенциальные риски, разрабатывают и внедряют недостающие меры по обеспечению безопасности и необходимые документы.
Плановые контрольно-надзорные мероприятия в 2022 году не будут проводиться: это закреплено в Постановлении Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля». Означает ли это, что можно расслабиться и задвинуть в сторону все мероприятия по информационной безопасности?
Отмена проверок не отменяет возникновения инцидентов информационной безопасности
Даже если сейчас бизнес в некой безопасности от проверок регуляторов, то утечки данных отменить нельзя, и они могут привести к негативным последствиям. Громкие утечки последних дней – в «Яндекс.Еда» и СДЭК. Такие инциденты несут репутационные риски, клиенты теряют к вам доверие.
Ошибочно думать, что утечки грозят только большим компаниям, а малый и средний бизнес просто неинтересен злоумышленникам. На форумах по продаже баз с персональными данными очень часто продаются файлы именно небольших компаний. Они используются для обогащения уже ранее «слитой» информации. Кроме репутационных рисков, в скором времени утечки будут нести также финансовые потери для бизнеса. В данный момент в Минцифры рассматривается законопроект о введении оборотных штрафов для бизнеса.
Чем грозит несоблюдение Закона о защите персональных данных:
- Претензии и судебные иски со стороны субъектов ПДн:
-
издержки: расходы на консалтинг и юристов;
-
финансовые потери: от 400 тыс. рублей.
- Репутационный ущерб:
-
издержки: расходы на восстановление репутации и лояльности пользователей;
-
финансовые потери: от 500 тыс. рублей до годового оборота компании.
- Штрафы от РКН за нарушение законодательства о персональных данных, а также за неустранение нарушений и непредставление сведений в Роскомнадзор:
- финансовые потери: от 30 тыс. рублей до 18 млн рублей.
Отмена проверок не означает отсутствие интереса регулятора
При нарушении своих прав субъект может направить жалобу в Роскомнадзор или обратиться в электронную приемную. РКН в ходе рассмотрения обращения может направить запрос компании с целью уточнения выполнения требований. Кроме того, у РКН есть практика мониторинга форумов по продаже персональных данных с последующим направлением запросов по факту произошедшей утечки компаниям, ссылки на которые оставляют злоумышленники.
Изменения в законодательстве по защите персональных данных
Еще одним весомым доводом не замораживать процессы по защите информации является принятие в июле законопроекта, который вносит пакет поправок в Закон о защите персональных данных.
В поправках есть требование об уведомлении Роскомнадзора в случае факта утечки или неправомерного доступа к данным, а также компаниям будет необходимо провести расследование и сообщить о результатах регулятору. Все эти действия нужно выполнять в очень сжатые сроки, что без выстроенной системы менеджмента инцидентов будет сложно.
Внутренний контроль защиты персональных данных показывает ответственное отношение
Новые партнеры перед заключением договорных отношений обычно хотят убедиться, ответственно ли в компании относятся к защите данных. Среди вопросов, которые направлены на подтверждение выполнения мер по защите ПДн, часто встречается «проведение аудита по защите персональных данных».
Регулярный аудит защиты персональных данных в организации позволяет не только проверять корректность и достаточность выполнения технических мер защиты, но и держать в актуальном состоянии локальные акты.
Что собой представляет аудит защиты персональных данных в организации?
Аудит проводится штатными специалистами по Privacy компании или с привлечением внешних консультантов. В законе нет регламента, который бы диктовал периодичность проверок. По нашему опыту, достаточно проводить его один раз в год. Если в штате есть свой Data Protection Officer, то, помимо внутренней ежегодной проверки, раз в один-два года следует делать аудит с привлечением внешних консультантов.
Аудит может состоять из следующих шагов:
-
Оценка текущего состояния процессов обработки персональных данных. Если аудит проводился ранее, следует определить, были ли изменения в процессах и несут ли они какие-либо риски.
-
Анализ и пересмотр локальных нормативных актов и иных документов, которые регламентируют работу с персональными данными, с целью определения их достаточности и актуальности.
-
Анализ на актуальность состава персональных данных, оснований и целей их обработки в организации.
-
Анализ информационных систем, в которых ведется обработка персональных данных.
-
Анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации.
-
Оценка программных и технических средств защиты и соответствия системы защиты информационных систем требованиям законодательства в области защиты персональных данных.
Как организовать работу?
Аудит затрагивает все процессы внутри компании, и, чтобы сделать его наиболее эффективным, мы рекомендуем разделить работу по этапам. Например, в течение года отдельно проверять каждое направление, департамент или отдел. Так вы сможете получить детально проработанный отчет с подробным заключением на каждое направление.
Наш опыт
Для компаний, с которыми работаем, мы составляем план аудита в начале каждого месяца или квартал: определяем в нем отделы, которые будут проходить повторный аудит, а их руководителям направляем список интересующих нас вопросов. Так мы можем заранее забронировать время у каждого отдела и гораздо продуктивнее вести звонки.
По итогам аудита составляются отчет или заключение с описанием выявленных несоответствий в компании и мер, предпринятых для их устранения. Но подход разных компаний может отличаться.
Опубликовано 22.07.2022