Уважаемые читатели, мы хотим заметить, что данная статья является информационной, и мы не предоставляем услугу по аудиту персональных данных. Если у вас есть сайт, на котором хранятся персональные данные, мы можем предложить вам услугу аудита веб-ресурса, чтобы выяснить насколько хорошо защищена пользовательская информация.
Аудит персональных данных — это исследование процессов обработки персональных данных на предприятии и используемых средств по их защите на соответствие актуальному законодательству.
Федеральный закон №152, получивший название «О персональных данных», был принят в 2006 году и остается актуальным до сих пор.
В нем операторами персональных данных (ОПД) называются все компании, которые собирают, хранят и обрабатывают персональные данные.
Государственные службы и органы — Роскомнадзор, ФСБ, ФСТЭК, Государственная инспекция труда и другие — планово и внепланово проверяют предприятия на соблюдение действующего законодательства и штрафуют из-за найденных нарушений. Чтобы исключить такое развитие событий, проводят аудит защиты персональных данных.
Что относится к персональным данным
Персональными данными считаются любые сведения, которые помогают идентифицировать (установить) личность человека. Помимо очевидного набора из ФИО, номера и серии паспорта, ИНН и номера телефона, к персональным данным также относят следующую информацию:
- Точная дата и название населенного пункта рождения;
- Адрес регистрации;
- Сведения о полученном образовании; номер СНИЛС;
- Сведения о доходах;
- Номер медполиса;
- Реквизиты банковских счетов;
- Семейное положение.
Согласие на обработку персональных данных составляет в письменном виде. Этот документ в будущем используют для решения спорных вопросов и разбирательств в суде.
Цели аудита ПД
Аудит предприятия на предмет соответствия ФЗ №152 позволяет найти «узкие места» в средствах защиты персональных данных и разработать меры по обеспечению их безопасности в будущем.
В ходе аудита ИТ-инфраструктуры детально обследуются процессы обработки персональных данных, проводится анализ организационно-распорядительной документации. Параллельно разрабатываются модели реальных угроз и классифицируются по уровню уязвимости существующие информационные системы.
Рекомендации экспертов будут относиться не столько к организационным мероприятиям, сколько к оптимизации информационных систем, которые обрабатывают и хранят персональные данные. На основе рекомендаций создают нормативно-методическую базу, а затем проектируют и внедряют недостающие средства защиты информации на предприятии.
Конечная цель аудита защиты персональных данных — улучшить систему их обработки и хранения таким образом, чтобы она на 100 % соответствовала ФЗ №152.
