Формальное соответствие 152-ФЗ не защищает от штрафов: Роскомнадзор проверяет не наличие документов, а то, как в организации реально выстроена обработка и защита персональных данных. Ошибки чаще всего выявляются уже после инцидента или жалобы — когда исправление нарушений становится дорогим и срочным. В статье разберем, как на практике проводят аудит персональных данных по 152-ФЗ эксперты Контур.Эгиды, что именно проверяется в компании, какую роль играют ИСПДн и как подготовиться к проверке Роскомнадзора без авральных доработок.
Почему аудит по 152-ФЗ стал необходимостью
За последние два года подход к контролю персональных данных заметно изменился. Если раньше проверка на соответствие 152-ФЗ часто ограничивалась анализом документов, то сейчас оценивают фактическое выполнение требований законодательства: как организованы процессы, кто имеет доступ к данным, какие меры защиты реализованы в информационных системах.
При этом требования определяются не только Федеральным законом № 152-ФЗ «О персональных данных», но и подзаконными актами, регулирующими организационные и технические меры защиты:
- Постановлением Правительства РФ № 1119;
- Постановлением Правительства РФ № 687;
- Приказом ФСТЭК России № 21;
- Приказом ФСБ России № 378;
- Приказом ФАПСИ № 152 (в части применения СКЗИ);
- актуальными приказами Роскомнадзора.
На практике большинство проблем возникает не из-за отсутствия документов, а из-за разрыва между реальными процессами и тем, как они описаны в локальных актах. Например:
- не назначены ответственные за обработку и защиту ПДн;
- выбрано ненадлежащее правовое основание обработки ПДн;
- политика обработки персональных данных формально есть, но не отражает реальные процессы;
- уведомление Роскомнадзора не соответствует фактической обработке;
- компания использует сторонние сервисы с трансграничной передачей данных;
- доступ к ИСПДн не ограничен по ролям;
- отсутствуют регламенты уничтожения персональных данных;
- технические меры защиты формально заявлены, но фактически не реализованы.
В результате компания может считать, что соответствует требованиям законодательства, хотя при проверке будут выявлены существенные нарушения.
Именно поэтому аудит персональных данных сегодня — это не формальная процедура «перед проверкой», а инструмент, который позволяет:
- объективно оценить текущее состояние процессов обработки ПДн;
- выявить реальные риски утечки данных;
- определить применимые требования законодательства;
- подготовиться к проверке Роскомнадзора;
- выстроить понятную и управляемую систему защиты персональных данных.
Как проходит аудит
Аудит обычно начинается не с интервью и не с проверки документов, а с необходимости понять, как у компании вообще устроена работа с персональными данными. На практике почти всегда оказывается, что часть процессов нигде не описана, а сотрудники разных отделов по-разному представляют, какие данные и зачем они используют.
1. Сбор и анализ исходной информации
Например, эксперты Контур.Эгиды сначала запрашивают базовую информацию о компании и текущих процессах обработки ПДн. Обычно это:
- структура организации или штатное расписание;
- имеющиеся документы по персональным данным;
- сведения об информационных системах;
- данные о средствах защиты информации;
- договоры с подрядчиками, которые участвуют в обработке ПДн.
Параллельно смотрим открытые источники: сайт компании, формы сбора данных, приложения, сведения из Контур.Фокуса.
Отдельно направляем опросные листы сотрудникам ключевых подразделений. Это помогает заранее понять, как реально устроены процессы в компании и на что стоит обратить внимание во время интервью.
Оценим процессы защиты персональных данных
Проверим бизнес-процессы, оргструктуру, документы, договорные отношения с подрядчиками, информационные системы и сервисы, технические меры, применяемые в компании.
2. Подготовка плана интервью
После анализа исходной информации формируется план интервьюирования: определяется перечень сотрудников для опроса, процессы, требующие уточнения, а также документы и информационные системы, которые необходимо дополнительно проверить.
Это позволяет точнее сформулировать вопросы для интервью и охватить все ключевые процессы обработки ПДн.
3. Интервью и обследование процессов обработки ПДн
Дальше начинается основной этап — интервьюирование сотрудников. Обычно специалисты Эгиды отдельно общаются с кадровыми подразделениями, бухгалтерией, юристами, IT- и ИБ-специалистами, сотрудниками, которые работают с клиентскими данными.
Во время интервью определяем:
- процессы обработки персональных данных;
- цели обработки ПДн;
- категории субъектов;
- состав обрабатываемых персональных данных;
- правовые основания обработки;
- сроки хранения данных;
- порядок передачи и уничтожения ПДн.
Одновременно выявляем:
- подрядчиков и третьих лиц, участвующих в обработке;
- случаи трансграничной передачи данных;
- внутренние сервисы и ресурсы, используемые для хранения и передачи данных;
- внешние сервисы и платформы, через которые проходят персональные данные.
Очень часто именно на этом этапе всплывают документы и процессы, о которых раньше никто не говорил: Excel-файлы с клиентскими базами, передача документов через мессенджеры, облачные сервисы, неучтенные формы на сайте и так далее.
Если после интервью появляются новые вопросы, дополнительно запрашиваем документы или просим сотрудников уточнить отдельные моменты в опросных листах.
Чаще всего дополнительно анализируем:
- договоры с подрядчиками;
- анкеты соискателей;
- формы согласий;
- кадровые документы;
- документы по работе с клиентами.
Если аудит проходит дистанционно, интервью проводим в Контур.Толк. Записи встреч помогают потом спокойно вернуться к деталям процессов, а не возвращаться к сотрудникам с повторными вопросами.
4. Обследование ИСПДн и технических мер защиты
Отдельно проводим обследование ИСПДн и проверяем, как защита персональных данных реализована технически.
Проверяем:
- собственные и сторонние ИСПДн;
- SaaS-сервисы;
- CRM;
- кадровые системы;
- электронную почту;
- файловые хранилища;
- внутренние порталы;
- сайты и формы сбора данных.
На этом этапе определяем:
- в каких системах обрабатываются ПДн;
- где физически расположены базы данных;
- как организован доступ сотрудников и подрядчиков;
- какие меры защиты информации реализованы;
- используется ли СКЗИ;
- есть ли трансграничная передача данных.
Проверяем соответствие требованиям 152-ФЗ, ПП РФ № 1119, Приказа ФСТЭК № 21, Приказа ФАПСИ № 152, Приказа ФСБ № 378 и требованиям Роскомнадзора.
Именно на этом этапе нередко выясняется, что часть ИСПДн не учтена, сотрудники используют сторонние сервисы без согласования, а реальные технические меры защиты отличаются от того, что указано в документации.
5. Проверка документов и правовых оснований
После интервью сопоставляем документы с тем, как процессы устроены в реальности. На этом этапе проверяем:
- политику обработки ПДн;
- согласия субъектов;
- уведомление Роскомнадзора;
- договоры с подрядчиками;
- локальные нормативные акты;
- наличие модели угроз и документов по определению уровня защищенности.
Смотрим:
- есть ли правовые основания обработки;
- корректно ли оформлена передача ПДн третьим лицам;
- используется ли трансграничная передача данных;
- соответствуют ли документы фактическим процессам.
На практике часто оказывается, что документы формально есть, но они давно не обновлялись и уже не отражают реальную работу компании.
6. Подготовка отчета
По итогам аудита готовим отчет с описанием процессов обработки ПДн, перечнем выявленных несоответствий и результатами проверки организационных и технических мер защиты.
В отчете фиксируем:
- выявленные процессы обработки ПДн;
- перечень ИСПДн;
- категории субъектов и состав обрабатываемых ПДн;
- выявленные несоответствия требованиям законодательства;
- результаты проверки организационных и технических мер защиты;
- рекомендации по устранению нарушений.
При необходимости отдельно обсуждаем отчет с заказчиком и отвечаем на вопросы по выявленным несоответствиям и дальнейшим шагам.
Какие нарушения выявляем чаще всего
На практике в ходе аудита чаще всего выявляем, что:
- нет назначенных ответственных за обработку и защиту ПДн;
- нет правовых оснований для передачи ПДн подрядчикам;
- компания использует зарубежные сервисы с трансграничной передачей данных;
- уведомление Роскомнадзора не соответствует фактическим процессам;
- нет регламентов уничтожения ПДн;
- модели угроз неактуальны;
- уровень защищенности определен формально;
- нет контроля доступа к системам обработки ПДн;
- нет журналирования и анализа событий безопасности.
Общее для всех этих нарушений — разрыв между документами и реальной работой компании.
Как проходит проверка Роскомнадзора и к чему готовиться
Проверка Роскомнадзора оценивает всю цепочку обработки персональных данных — от момента сбора до уничтожения. Регулятор сопоставляет:
- уведомление Роскомнадзора;
- внутренние документы;
- реальные процессы обработки;
- технические меры защиты.
Такая проверка может быть плановой, внеплановой или инициированной после жалобы или инцидента. Регулятор уделяет особое внимание:
- соответствию документов фактическим процессам;
- выполнению организационных мер;
- реализации технических мер защиты;
- соблюдению сроков реагирования на инциденты.
Именно поэтому подготовка к проверке Роскомнадзора должна начинаться с комплексного аудита процессов обработки ПДн.
Что получает заказчик по итогам аудита
В итоговый пакет документов входят:
- отчет об обследовании процессов обработки ПДн;
- описание процессов обработки ПДн;
- перечень выявленных информационных систем;
- категории субъектов и состав обрабатываемых ПДн;
- описание процессов обработки персональных данных;
- выявленные несоответствия требованиям законодательства;
- результаты проверки организационных и технических мер;
- рекомендации по устранению выявленных нарушений.
При необходимости дополнительно выполняются:
- разработка организационно-распорядительной документации;
- актуализация уведомления Роскомнадзора;
- сопровождение при внедрении рекомендаций;
- консультационная поддержка по вопросам обработки ПДн.
Как снизить риски и избежать штрафов
Чтобы снизить риски, важно выстроить защиту персональных данных как систему, а не как набор документов. На практике это означает:
- регулярно пересматривать процессы обработки ПДн;
- актуализировать документы при изменении процессов;
- контролировать передачу данных третьим лицам;
- ограничивать доступ к данным по ролям;
- внедрять организационные и технические меры защиты;
- своевременно актуализировать уведомление Роскомнадзора;
- регулярно проводить аудит персональных данных.
Ключевая задача — обеспечить соответствие между процессами, документами и технической реализацией защиты. Именно их рассинхронизация чаще всего становится причиной штрафов и претензий регуляторов.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Заключение
Аудит персональных данных по 152-ФЗ — это комплексная проверка процессов обработки ПДн, документов и реализованных мер защиты. Он позволяет заранее выявить несоответствия, снизить риски утечек и подготовиться к проверке Роскомнадзора без аврала.
Эффективная защита персональных данных строится не вокруг отдельных документов или технических решений, а вокруг всей системы обработки данных в организации — от бизнес-процессов до организационных и технических мер защиты.