Комплексный аудит системы защиты персональных данных

Этап 1 Обследование текущего состояния автоматизированных и неавтоматизированных процессов обработки персональных данных и обеспечения их безопасности

Обследование предусматривает погружение в изучение следующих процессов :

• изучение категорий субъектов персональных данных
• изучение категорий обрабатываемых персональных данных, их достаточность и обоснованность для
• достижения заранее предопределенных целей обработки
• изучение и оценка правовых оснований обработки персональных данных, их состава и соответствия целям обработки
• изучение состава, технологических процессов и инфраструктуры обработки персональных данных, включая автоматизированные и неавтоматизированные процедуры обработки
• изучение локальных нормативных актов и иных документов, регламентирующих обработку персональных данных
• анализ управленческих и бизнес-процессов, которые предусматривают обработку персональных данных
• выявление случаев, когда необходимо получение согласия субъектов на обработку, в том числе в письменной форме

Этап 2 Анализ имеющихся локальных актов, внутренних нормативных и иных документов по вопросам обработки и обеспечения безопасности персональных данных, оценку их полноты и достаточности

В ходе прохождения этапа будут проанализированы локальные правовые акты: приказы, положения, регламенты, инструкции и другие имеющиеся документы в области обработки персональных данных.
Так же будут рассмотрены документы регламентирующие отношения, связанные с персональными данными работников, членов их семей, соискателей вакантных должностей, контрагентов, посетителей и т .п., формы договоров, формы согласий на обработку персональных данных и другие типовые документы, предусматривающие внесение в них персональных данных (анкеты, заявления и прочее).

Этап 3 Выявление рисков несоответствия требованиям законодательства к организации обработки персональных данных и текущего состояния их обработки в выявленных бизнес-процессах

На данном этапе проводится экспертная оценка соответствия ИСПДн требованиям 152-ФЗ в области организации обработки персональных данных.
Дополнительно оценивается текущее состояние обработки ПДн в выявленных бизнес-процессах, в имеющихся локальных актах и иных документах, регламентирующих обработку персональных данных на основе анализа результатов обследования.

Этап 4 Подготовка рекомендаций и отчета о результатах аудита по устранению выявленных несоответствий требованиям 152-ФЗ

Отчет о результатах аудита содержит:

• перечень и описание процессов и целей обработки персональных данных
• перечень выявленных информационных систем персональных данных с указанием факторов, влияющих на установление уровней защищенности персональных данных
• анализ имеющихся локальных актов, внутренних нормативных и иных документов по вопросам обработки и обеспечения безопасности персональных данных, оценку их полноты, достаточности, соответствия требованиям законодательства Российской Федерации
• описание выявленных несоответствий и возможных нарушений в реализации требований 152-ФЗ
• рекомендации по снижению выявленных рисков, внесению изменений во внутренние процессы и локальные нормативные акты и иные документы. А при необходимости – рекомендации о внедрении новых процессов и/или принятии новых локальных нормативных актов в целях реализации дополнительных мер и корректировки бизнес-процессов, обеспечивающих соответствие требованиям 152-ФЗ
• рекомендации по мерам защиты персональных данных при их обработке в информационных системах, необходимые для достижения соответствия требованиям 152-ФЗ в соответствии с установленными уровнями защищенности ИСПДн
• описание процесса ежегодного внутреннего контроля обработки ПДн

Подготовленные рекомендации будут в максимально возможной степени учитывать сложившуюся у Вас систему управления бизнес-процессами и внутренние процедуры, порядок внутреннего нормативного регулирования, особенности корпоративного управления и его документационного обеспечения, существующую организационно-штатную структуру и распределение полномочий между структурными подразделениями, а также принятую и используемую в документационном обеспечении терминологию.

Этап 5 Подготовка и подача уведомления в Роскомнадзор

При необходимости будет подготовлено и направлено уведомление о начале обработки персональных данных в Роскомнадзор в электронном виде с внесенными изменениями.

Этап 6 Доработка (разработка, переработка) имеющихся локальных нормативных актов, регламентирующих организацию обработки и обеспечение безопасности персональных данных, разработка недостающих документов

По согласованию сторон по завершению проведения аудита по вопросам обработки и обеспечения безопасности системы защиты персональных данных может быть проведена разработка недостающих документов или переработка уже имеющихся.