Аудит защиты персональных данных: зачем он во время моратория на проверки?

Логотип компании
Аудит защиты персональных данных: зачем он во время моратория на проверки?
Регулярный аудит защиты персональных данных в организации позволяет не только проверять корректность и достаточность выполнения технических мер защиты, но и держать в актуальном состоянии локальные акты.

Ликбез. Что такое аудит защиты ПДн и зачем он малому бизнесу

Защиту персональных данных в соответствии с законом должна обеспечивать любая компания независимо от своего размера, организационно-правовой формы или вида деятельности.

Персональные данные (ПДн) — это любая информация о физическом лице: ФИО, email, телефон, адрес, дата рождения и т. д. Если у вас в штате 5-10 сотрудников, то вы собираете и обрабатываете их данные для начисления зарплаты, а значит, обязаны соблюдать закон. Если у вас нет сотрудников, но есть сайт, на котором пользователи оставляют контактные данные, — вы тоже являетесь оператором ПДн и должны собирать, обрабатывать и уничтожать их так, как того требует закон. Не подавать уведомление об обработке персональных данных в уполномоченный орган (Роскомнадзор) также не означает ухода от закона. Даже если вашей организации нет в реестре операторов, она все равно может являться оператором.

Чтобы понять, насколько в вашей компании защищены персональные данные, важно проводить регулярный аудит. Внешние консультанты или штатные специалисты по Privacy по итогам аудита находят потенциальные риски, разрабатывают и внедряют недостающие меры по обеспечению безопасности и необходимые документы.

Плановые контрольно-надзорные мероприятия в 2022 году не будут проводиться: это закреплено в Постановлении Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля». Означает ли это, что можно расслабиться и задвинуть в сторону все мероприятия по информационной безопасности?

Отмена проверок не отменяет возникновения инцидентов информационной безопасности

Даже если сейчас бизнес в некой безопасности от проверок регуляторов, то утечки данных отменить нельзя, и они могут привести к негативным последствиям. Громкие утечки последних дней – в «Яндекс.Еда» и СДЭК. Такие инциденты несут репутационные риски, клиенты теряют к вам доверие.

Ошибочно думать, что утечки грозят только большим компаниям, а малый и средний бизнес просто неинтересен злоумышленникам. На форумах по продаже баз с персональными данными очень часто продаются файлы именно небольших компаний. Они используются для обогащения уже ранее «слитой» информации. Кроме репутационных рисков, в скором времени утечки будут нести также финансовые потери для бизнеса. В данный момент в Минцифры рассматривается законопроект о введении оборотных штрафов для бизнеса.

Чем грозит несоблюдение Закона о защите персональных данных:

- Претензии и судебные иски со стороны субъектов ПДн:

  • издержки: расходы на консалтинг и юристов;

  • финансовые потери: от 400 тыс. рублей.

- Репутационный ущерб:

  • издержки: расходы на восстановление репутации и лояльности пользователей;

  • финансовые потери: от 500 тыс. рублей до годового оборота компании.

- Штрафы от РКН за нарушение законодательства о персональных данных, а также за неустранение нарушений и непредставление сведений в Роскомнадзор:

  • финансовые потери: от 30 тыс. рублей до 18 млн рублей.

Отмена проверок не означает отсутствие интереса регулятора

При нарушении своих прав субъект может направить жалобу в Роскомнадзор или обратиться в электронную приемную. РКН в ходе рассмотрения обращения может направить запрос компании с целью уточнения выполнения требований. Кроме того, у РКН есть практика мониторинга форумов по продаже персональных данных с последующим направлением запросов по факту произошедшей утечки компаниям, ссылки на которые оставляют злоумышленники.

Изменения в законодательстве по защите персональных данных

Еще одним весомым доводом не замораживать процессы по защите информации является принятие в июле законопроекта, который вносит пакет поправок в Закон о защите персональных данных.

В поправках есть требование об уведомлении Роскомнадзора в случае факта утечки или неправомерного доступа к данным, а также компаниям будет необходимо провести расследование и сообщить о результатах регулятору. Все эти действия нужно выполнять в очень сжатые сроки, что без выстроенной системы менеджмента инцидентов будет сложно.

Внутренний контроль защиты персональных данных показывает ответственное отношение

Новые партнеры перед заключением договорных отношений обычно хотят убедиться, ответственно ли в компании относятся к защите данных. Среди вопросов, которые направлены на подтверждение выполнения мер по защите ПДн, часто встречается «проведение аудита по защите персональных данных».

Регулярный аудит защиты персональных данных в организации позволяет не только проверять корректность и достаточность выполнения технических мер защиты, но и держать в актуальном состоянии локальные акты.

Что собой представляет аудит защиты персональных данных в организации?

Аудит проводится штатными специалистами по Privacy компании или с привлечением внешних консультантов. В законе нет регламента, который бы диктовал периодичность проверок. По нашему опыту, достаточно проводить его один раз в год. Если в штате есть свой Data Protection Officer, то, помимо внутренней ежегодной проверки, раз в один-два года следует делать аудит с привлечением внешних консультантов.

Аудит может состоять из следующих шагов:

  • Оценка текущего состояния процессов обработки персональных данных. Если аудит проводился ранее, следует определить, были ли изменения в процессах и несут ли они какие-либо риски.

  • Анализ и пересмотр локальных нормативных актов и иных документов, которые регламентируют работу с персональными данными, с целью определения их достаточности и актуальности.

  • Анализ на актуальность состава персональных данных, оснований и целей их обработки в организации.

  • Анализ информационных систем, в которых ведется обработка персональных данных.

  • Анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации.

  • Оценка программных и технических средств защиты и соответствия системы защиты информационных систем требованиям законодательства в области защиты персональных данных.

Как организовать работу?

Аудит затрагивает все процессы внутри компании, и, чтобы сделать его наиболее эффективным, мы рекомендуем разделить работу по этапам. Например, в течение года отдельно проверять каждое направление, департамент или отдел. Так вы сможете получить детально проработанный отчет с подробным заключением на каждое направление.

Наш опыт

Для компаний, с которыми работаем, мы составляем план аудита в начале каждого месяца или квартал: определяем в нем отделы, которые будут проходить повторный аудит, а их руководителям направляем список интересующих нас вопросов. Так мы можем заранее забронировать время у каждого отдела и гораздо продуктивнее вести звонки.

Читайте также
В Правительстве РФ готовится очередной национальный проект, получивший название «Средства производства и автоматизации». На его реализацию выделяется более 300 млрд рублей. Цель – предоставить дополнительный ресурс для развития российских промышленных предприятий. По словам Первого заместителя Председателя Правительства РФ Дениса Мантурова, одним из трех основных направлений, на которых будет сосредоточено внимание, станет развитие робототехники.

По итогам аудита составляются отчет или заключение с описанием выявленных несоответствий в компании и мер, предпринятых для их устранения. Но подход разных компаний может отличаться.

Опубликовано 22.07.2022

Похожие статьи