Аудит соответствия 152-ФЗ

ФЗ 152

КАК ПРОВЕСТИ АУДИТ ПО 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»?

Федеральный закон №152 «О персональных данных» вступил в силу 27.07.2006 и обязует юридических лиц, индивидуальных предпринимателей и даже физических лиц, обрабатывающих персональные данные (далее — оператор), осуществлять обработку персональных данных в соответствии с требованиями закона и выполнять меры по их защите. Что нужно знать об аудите соответствия требованиям закона, чтобы не потратить деньги и время впустую?

Что требует закон?

Закон о персональных данных требует, чтобы абсолютно каждый оператор осуществил правовую подготовку по статье 18.1 и техническую подготовку по статье 19 закона.
Также закон требует, чтобы каждый оператор проводил аудит соответствия обработки персональных данных требованиям закона, подзаконным нормативно-правовым актам, политике оператора в отношении обработки персональных данных и внутренним локальным актам оператора. Об этом гласит пункт 5) части 1 статьи 18.1.

Что такое аудит по 152-ФЗ?

Под аудитом понимается обследование, анализ и оценка соответствия/готовности требованиям закона и(или) регулятора, проводимые внешней организацией. Аудит по 152-ФЗ делится на два направления: аудит соответствия требованиям закона (проверка правильности и объема выполнения требований закона) и аудит готовности к проверке Роскомнадзора.
Если оператор провел подготовку по требованиям закона, то это не значит, что он готов пройти проверку Роскомнадзора, так как на проверке запрашиваются дополнительные документы и сведения по предмету проверки.

Что входит в аудит по 152-ФЗ?

Сам аудит может проводиться как комплексом услуг, так и по отдельности:

  • аудит организационно-правовой готовности по статьям закона 18.1 и 19 (аудит состава и содержания организационно-распорядительной документации в части обработки и защиты персональных данных);
  • аудит реализации технических мер защиты по статье 19 закона (аудит защищенности информационных систем персональных данных и экспертиза результатов работ);
  • аудит готовности к проверке Роскомнадзора (проведение внутреннего контроля готовности к проверке Роскомнадзора: проверка оператора по типовому плану проверки Роскомнадзора, перепроверка наличия и подписания ОРД, инструктаж персонала, консультации).

Как проводится аудит по 152-ФЗ?

Порядок проведения аудита правового соответствия 152-ФЗ следующий:

1. Обследование (сбор и анализ) исходных данных, включая следующие:

  • об организационной структуре организации;
  • бизнес-процессы организации, связанные с обработкой персональных данных;
  • имеющиеся организационно-распорядительные документы в части обработки и защиты персональных данных;
  • степень и правильность реализации технических мер защиты;
  • правильность неавтоматизированной (бумажной) обработки персональных данных;
  • взятие согласий с субъектов персональных данных;
  • проверка наличия ответственного лица за обработку персональных данных;
  • соответствие договоров с контрагентами требованию закона.

2. Оформление отчета по результатам аудита, включая следующее:

  • общая оценка выполнения оператором требований закона;
  • оценка выполнения требований статей 18.1 и 19 закона;
  • оценка соответствия подзаконным нормативно-правовым актам;
  • выводы по результатам аудита;
  • замечания и рекомендации по устранению замечаний по приведению в соответствие требованиям 152-ФЗ.

Порядок проведения аудита реализации технических мер защиты следующий:

1. Обследование (сбор и анализ) исходных данных, включая следующие:

  • количественные характеристики ИСПДн (количество серверов, рабочих станций и др.);
  • качественные характеристики ИСПДн (операционные системы, СУБД, прикладное ПО и др.);
  • технологии обработки данных в ИСПДн (RDP, Wi-Fi, толстый клиент, тонкий клиент и др.);
  • применяемые средства защиты в ИСПДн;
  • инженерно-техническая защищенность ИСПДн.

2. Оформление отчета по результатам аудита, включая следующее:

  • перечень законодательных актов, которым ИСПДн должна соответствовать;
  • подробное описание ИСПДн;
  • оценка выполнения оператором требований закона (статьи 19 закона);
  • оценка соответствия подзаконным нормативно-правовым актам;
  • описание реализации технических мер защиты информации;
  • выводы по результатам аудита;
  • замечания и рекомендации по устранению замечаний по приведению в соответствие требованиям 152-ФЗ.

Порядок проведения аудита готовности к проверке Роскомнадзора следующий:

1. Обследование (сбор и анализ) исходных данных, включая следующие:

  • состав и содержание организационно-распорядительной документации (ОРД) в соответствии с типовым планом проверки Роскомнадзора;
  • полноту утверждения пакета ОРД;
  • соответствие сведений в реестре Роскомнадзора действительности;
  • взятие согласий с субъектов персональных данных;
  • реализацию технических мер защиты;
  • договоры с контрагентами, которым передаются персональные данные.

2. Оформление отчета по результатам аудита, включая, но не ограничиваясь:

  • готовность пакета ОРД к предоставлению в Роскомнадзор;
  • возможность прохождения оператором проверки по типовому плану проверки Роскомнадзора;
  • нарушения, которые могут быть выявлены Роскомнадзором;
  • выводы по результатам аудита;
  • замечания и рекомендации по устранению замечаний по приведению в соответствие требованиям Роскомнадзора.

Аудит соответствия 152-ФЗ и аудит готовности к проверке Роскомнадзора: отличия.

Главное отличие состоит в том, что при реализации оператором требований 152-ФЗ разрабатываются организационно-распорядительные документы в объеме, требуемом для соответствия законодательству, а при проверке Роскомнадзора, на самой проверке запрашиваются еще дополнительные документы и сведения по предмету проверки. Так как закон не содержит конкретный перечень документов для выполнения требований закона, в нем нет и перечня документов, необходимых для прохождения проверки Роскомнадзора. Поэтому операторы, не имеющие реальной практики, не могут однозначно сказать, соответствуют ли они закону и готовы ли они к проверке Роскомнадзора.

Чтобы стало понятно, приведем цифры:
Пакет документов для соответствия требованиям закона состоит примерно из 80 документов.
Пакет документов для прохождения проверки Роскомнадзора — плюс еще около 20 документов.
Итого полный пакет документов составляет около 100 документов.

Аудит по 152-ФЗ: цена

Цена аудита правовой подготовки зависит от масштаба организации, которую проверяют (количества контрагентов у организации, количества и класса информационных систем, количества отделов и сотрудников и др.).

Цена аудита реализации технических мер защиты зависит от масштаба, уровня защищенности, сложности и территориальной распределённости ИСПДн.

Цена аудита готовности к прохождению проверки Роскомнадзора зависит от срочности, т.е. в зависимости от того, сколько времени есть на подготовку. Сверхсрочные услуги, как правило, в два-три раза дороже чем с обычным сроком.

Обычно при заказе комплексного аудита по 152-ФЗ, включающего правовой, технический аудит и аудит готовности к проверке Роскомнадзора, общая стоимость услуг ниже, чем при заказе каждого вида аудита по отдельности.

  • Скачать коммерческое предложение на аудит соответствия 152-ФЗ
Скачать PDF
  • Скачать коммерческое предложение на аудит соответствия 152-ФЗ
Скачать PDF

Заказать звонок