Каковы основные сферы, в которых применяется внутренний аудиторский контроль при обработке персональных данных?

Как
провести внутренний аудит

Задача внутреннего аудита — предугадать финансовые
риски и повысить
эффективность менеджмента. Разбираемся, как проверить работу собственной компании.

Внутренний аудит — это форма контроля деятельности организации изнутри. Процедура помогает руководству проверять финансовое состояние бизнеса и достоверность отчётности. Главная цель внутреннего аудита — выявить риски и усовершенствовать процессы после консультации
аудитора.

В ходе аудита решаются следующие задачи:

• определить уровень эффективности работы подразделений;
• оценить риски и разработать предложения по их умению;
• проконтролировать соблюдение стандартов и принципов
  корпоративного управления.

По закону все предприятия должны
проводить общий внутренний контроль или, проще говоря, проверку
хозяйственной деятельности. Процедуру и итоги проверки компания обязана
регламентировать самостоятельно, но строгих требований в законе нет,
ответственности за нарушение не предусмотрено.

1 ст. 19 402-ФЗП. 17 ч. 4 Информации Минфина России № ПЗ-11/2013П. 2 ч. 1 Информации Минфина России № ПЗ-11/2013

Существует несколько видов внутреннего аудита. У каждого из них свои функции.

Это контроль бизнес-процессов компании: эффективности работы подразделений,
выполнения бизнес-планов, смет, политики управления и т.

Проверка системы бухгалтерского учёта и достоверности отчётности. Основная цель
—
оценить эффективность расходования средств компании и выявить риски.

Контроль рисков, связанных с нарушением норм законодательства. В первую очередь
инспектируются налоговый учёт и платежи.

Позволяет проверить, соблюдаются ли законы, нормы регулирования, отраслевые
кодексы, корпоративная политика.

Его цель — проверить, выполняет ли компания требования по защите
окружающей
среды. Например, не превышен ли уровень вредных выбросов.

Контроль безопасности информационных систем организации и эффективности
процессов
управления в области IT.

Согласно информации Минфина, положения о внутреннем
контроле являются
частью учредительных документов. В них прописывается общая процедура
проверки. Детали проведения аудита индивидуальны для каждой организации и зависят от её структуры,
масштабов, документооборота.

11 ч. 3 Информации Минфина России № ПЗ-11/2013

Проверка должна проходить на основании приказа руководителя, который содержит
следующее:

• даты проведения проверки;
• кто проводит аудит;
• условия для проведения внутреннего аудита;
• способ контроля работы аудитора.

Важное условие — независимость и непредвзятость тех, кто проводит внутренний
аудит. Нежелательно, чтобы в процедуре участвовали, например, сотрудники бухгалтерии,
поскольку
финансовая отчётность — один из главных объектов проверки.

Закон никак не регламентирует, кто именно должен проводить внутренний аудит. При
этом Министерство финансов рекомендует
несколько вариантов: например, аудитором может быть действующая
комиссия из компетентных сотрудников, сам руководитель, если предприятие маленькое, а
в больших компаниях — специально созданное для этого подразделение. Допустимо также
приглашать
внешних консультантов.

Сроки и частота проверки устанавливается руководителем. Проводить аудит можно
как угодно часто. Эффективным считается аудит бухгалтерской отчётности и налоговых выплат раз в
квартал, средняя продолжительность процедуры — 3–4 недели. Если для проверки нанимается
аудиторская
компания, сроки прописываются в договоре.

Первый этап — планирование, для проверяющих готовят
методологические документы. Они должны описывать:

• цели и объекты внутреннего аудита предприятия;
• процедуру контроля;
• распределение обязанностей и функции внутренних или
  приглашённых аудиторов;
• требования к оформляемым документам;
• критерии оценки результатов контроля.

Второй
этап — открытие аудита, ответственные рассказывают сотрудникам о ходе предстоящей
проверки и отвечают на вопросы. После этого начинается процедура по установленному
заранее
чек-листу.

Третий этап — подведение итогов и написание
аудиторского отчёта. Результат внутренней проверки, как правило, получает владелец бизнеса или
генеральный директор.

Аудиторское заключение должно содержать следующую информацию:

• название и реквизиты проверяемой организации;
• сведения об аудиторе;
• описание предмета проверки (например, перечень отчётности
  с указанием периода, за который она составлена);
• сведения о работе, которую проделал аудитор;
• описание найденных нарушений;
• указание на документ или бизнес-процесс, в котором обнаружено
  нарушение;
• ссылки на документ, регламентирующий вопрос;
• перечисление всех возможных санкций за обнаруженные
  нарушения;
• список мер для устранения нарушений.

Согласно Международному
стандарту аудита, проверяющий должен сообщить руководству
организации о нарушениях и согласовать сроки их устранения.

При этом по итогам финансовой проверки аудиторская
организация или индивидуальный аудитор обязаны
уведомить уполномоченные органы, если заподозрили проверяемую компанию
в отмывании денег, а Федеральная налоговая служба имеет право потребовать
у аудитора предоставить информацию, которую тот получил в
ходе проверки.

1 ст. 1 115-ФЗПп. 1–2 ст. 2 НК РФ

Государственные и коммерческие организации хранят персональные данные своих сотрудников или клиентов, включая ФИО, паспортные и контактные данные, другие сведения. Эти данные могут использоваться злоумышленниками, поэтому для их защиты в России действует федеральный закон № 152 «О персональных данных».

Исходя из закона, каждая организация, которая хранит и обрабатывает персональные данные человека, должна заботиться об их защите. По требованиям, конфиденциальные данные должны обрабатываться в соответствии с определенными принципами. Они детально описываются в законе.

Что такое персональные данные

Персональные данные – это личная информация о конкретном человеке. К ней относят ФИО, ИНН, код паспорта, номер телефона, адрес электронной почты и любые другие данные, которые как-то связаны с гражданином.

Важно сделать уточнение, что персональными данные становятся только в связке, например, ФИО+телефон, адрес+ФИО. Такие пары являются конфиденциальными сведениями, их нельзя разглашать и обрабатывать без согласия владельца.

Конфиденциальные данные человека защищаются не только Федеральным законом России, но и международными договорами. Это свидетельствует об актуальности проблемы.

Основные принципы использования персональных данных

В соответствии с законом, личные данные о человеке могут собираться только в том случае, если он дал на это свое согласие. При этом в любой момент лицо имеет право отменить свое согласие на обработку таких сведений. Любая организация, которая хранит и собирает такие данные, обязана иметь соответствующий документ, который подтверждает согласие человека.

Личную информацию о человеке нельзя разглашать третьим лицам или публиковать в свободном доступе, потому что это противоречит принципам конфиденциальности и запрещено законом.

Информация должна храниться в защищенном (зашифрованном) виде, при этом она должна передаваться только по надежным каналам связи. Персональные данные можно использовать только в тех целях, которые обозначены в договоре между субъектом (человеком, который дал согласие) и организацией.

Определить, сколько в файловой системе документов с персональными данными, поможет «СёрчИнформ FileAuditor».

В согласии указываются сроки хранения персональных данных. После истечения определенной даты информация должна быть уничтожена или обезличена таким образом, чтобы никто не мог ею воспользоваться.

Защита персональных данных

Чтобы защитить персональные данные сотрудников и клиентов, организации обязаны выполнять требования Федерального закона. Организации создают собственную нормативно-правовую базу, в которой описываются регламентные требования хранения, обработки и передачи персональных данных.

В документации обязательно есть перечень лиц, которые обладают доступом к персональным данным и могут их обрабатывать. Люди, которые занимают соответствующие должности, отвечают за сохранность информации и контролируют ее использование.

Для защиты персональных данных организации хранят сведения в надежном месте, в электронном или бумажном виде. Для защиты иногда применяют шифрование данных на электронных носителях, безопасные средства связи, организацию локальной сети.

Государственные проверки

Частные и государственные организации могут подвергаться проверке на предмет соответствия Федеральному закону «О персональных данных». Проверками занимаются несколько организаций: Роскомнадзор, ФСТЭК, ФСБ, Государственная инспекция труда и другие ведомства.

Несоответствие порядка хранения и использования данных требованиям законодательства грозит организациям штрафами: до 75 тысяч рублей в случае административной ответственности и до 300 тысяч в случае уголовной. Регуляторы могут изъять персональные данные и наложить запрет на их дальнейший сбор и обработку. Кроме того, деятельность компании в Интернете может временно приостанавливаться.

Под требования закона подпадают все организации, собирающие персональные данные. К примеру, магазины, которые выдают дисконтные карты, при их оформлении узнают имя и контактные данные человека. Это персональные данные, которые должны храниться и обрабатываться соответствующим закону образом.

Как избежать нарушений

Чтобы избежать штрафов и других видов наказаний за несоответствие Федеральному закону № 152 «О персональных данных», нужно правильно организовать управление данными в организации. Для этого следует проконсультироваться с экспертами, которые помогут найти проблему и решить ее.

Для того чтобы правильно обрабатывать персональные данные, нужно провести внутриорганизационный аудит. Во время него проверяется соответствие организации техническим и правовым требованиям. Если есть какие-то изъяны, они исправляются. Такой подход позволяет решить проблему еще до того, как она усугубится или попадет в поле зрения контролирующих органов.

Роскомнадзор и другие государственные ведомства могут проводить внеплановые проверки (например, в случае обращения пострадавших лиц), поэтому каждая организация должна быть к ним готова и соблюдать требованиям закона о персональных данных.

Порядок аудита

Первое, на что обращают внимание эксперты, которые проводят аудит, – правовая база организации. Проверяют не только внутриорганизационные акты, но и договоры с другими компаниями и контрагентами, контракты, которые заключают с сотрудниками и клиентами.

Если компания новая, а правовой базы для работы с данными нет, эксперты помогают ее подготовить. Кроме того, они отправляют соответствующий запрос в Роскомнадзор для регистрации организации в качестве оператора персданных. Правильно оформленные документы – первый этап аудита.

Между сотрудниками компании нужно правильно разделять полномочия. Рядовой персонал не должен обладать допуском к изучению личных данных о клиентах и сотрудниках. Лучше, если персональными данными будет заниматься специальный структурный отдел внутри организации.

Во время проведения аудита эксперты помогают организовать материально-техническую базу для соответствия закону о персональных данных: устанавливают программное обеспечение на компьютеры в компании, создают локальную сеть и помогают подготовить правовую базу для ее функционирования. В случае если сеть хранения данных уже существует, аудиторы находят проблемы в ней и корректируют ее работу.

Финальная стадия аудита – юридическая консультация. Аудиторы рассказывают обо всех тонкостях закона о персональных данных, юридической и судебной практике. Помогают разобраться в том, когда проходят и что включают проверки регулятора, как к ним подготовиться.

Проблемой сбора персональных данных обеспокоено не только государство, но и рядовые граждане. О ее важности свидетельствует факт, что за последние несколько лет в России дорабатывали старые законы о защите личных данных и принимали новые. Европейский союз выдвинул новые требования к организациям, которые осуществляют сбор персональных данных. Аналогичная ситуация наблюдается и в других регионах мира.

Положения о проведении внутреннего контроля обработки персональных данных регламентированы Федеральным законом №152 «О персональных данных» от 27 июля 2006 года. Положения определяют мероприятия, которые направлены на предупреждение и выявление нарушений законодательства в области персональных данных.

В целях проведения внутреннего аудита проводятся плановые и внеплановые проверки на предмет соответствия федеральному закону. Каждая проверка проводится в отношении конкретного объекта, в течение установленного периода и с назначением ответственных исполнителей. Аудит проводит комиссия, в которую входят специалисты по организации, обработке и защите персональных данных. Не может проводить аудит федеральный государственный гражданский служащий, который так или иначе заинтересован в его результатах. Плановые проверки должны проводиться ежегодно.

Внеплановые проверки проводятся в случае получения письменного обращения субъекта персональных данных или его представителя по факту выявления нарушений. Мероприятие проводится в течение 5 рабочих дней с момента получения обращения. Максимальный срок – 30 рабочих дней с момента утверждения решения о проведении.

Все решения, вынесенные комиссией по результатам, должны быть зафиксированы в протоколе и предоставлены в виде письменного ответа заявителю в течение 5 рабочих дней с момента оформления.

Основные направления внутреннего контроля (аудита): (Выберите все правильные ответы)Контроль соблюдения организационно-режимных требований в помещениях, в которых осуществляется обработка персональных данныхКонтроль доступа к приложениям информационных систем, в которых осуществляется обработка персональных данныхКонтроль соблюдения требований режима обработки персональных данныхПроверка корректности и классификации информационных систем обработки персональных данныхНайти другие ответы на вопросы

Связанные темы

Темы, в которых встречается данный вопрос:

Процессы обработки персональных данных на предприятии, обеспечение их конфиденциальности должны быть задокументированы.

Внутренний аудит персональных данных позволит определить, насколько эти процессы соответствуют требованиям законодательства и своевременно подготовиться к проверкам соблюдений требования закона о персональных данных.

Требования к обработке персональных данных

Меры по защите доверенных компании персональных данных клиентов и сотрудников определяются нормами Федерального закона «О персональных данных».

Они призваны обеспечить:

• конфиденциальность данных;
• обязательное уведомление субъекта персональных данных о целях и порядке их обработки;
• соблюдение условий передачи данных третьим лицам;
• блокировку, изменение и уничтожение данных по требованию правообладателя.

Регламенты проведения этих действий с данными прописываются во внутренних регламентах компании по работе с персональными данными, которые утверждаются на уровне руководства. Требования к программным продуктам и аппаратным средствам, обеспечивающим защиту персональных данных (брандмауэрам, антивирусам, средствам криптографической защиты), устанавливаются рекомендациями и другими нормативными актами ФСТЭК и ФСБ РФ. Несоблюдение требований может привести к проблемам. Так, при проверке работы с данными Роскомнадзором или ФСТЭК РФ компании может быть вынесено предписание об устранении нарушений и наложен административный штраф.

Организация системы внутреннего аудита обработки данных

Крупные компании имеют в своей структуре подразделение, на которое возлагается обязанность по внутреннему аудиту всех бизнес-процессов организации. В его обязанности вменяется и проверка соблюдения условий обработки персональных данных.

Если подразделения по контролю работы с данными нет, то приказом руководителя создается рабочая группа по контролю обработки данных, в состав которой входят сотрудники административного отдела, юридического подразделения, службы безопасности и ИТ-подразделения.

Объем и сроки проведения аудита работы с данными определяются в том же приказе руководства, которым утверждается состав рабочей группы. Руководителем рабочей группы назначается один из заместителей директора компании, имеющий властные полномочия и возможность отдавать сотрудникам распоряжения, обязательные для выполнения.

Внутренняя проверка соблюдения регламентов по обработке персональных данных включает:

• аудит ИТ-инфраструктуры, в рамках которого изучаются программные и аппаратные средства защиты безопасности персональных данных;
• анализ организационно-распорядительной документации, устанавливающий факт ее наличия и исполнения. На предприятии должен быть внедрен регламент обработки персональных данных, разграничен доступ пользователей к конфиденциальной информации, утверждены приказы, назначающие лиц, отвечающих за качество обработки данных;
• бизнес-процессы, связанные с обработкой персональных данных.

Итогом работы внутренних аудиторов работы с данными должны стать рекомендации, описывающие достоинства и недостатки существующей системы и предлагающие решения по ее оптимизации как с кадровой, так и с организационно-технической точки зрения. Проведение аудита должно предшествовать плановым проверкам соблюдения законодательства. Узнать о том, включена ли компания в план проверок ФСТЭК РФ на следующий год, можно на сайте Генпрокуратуры, Роскомнадзор дублирует информацию на своем сайте.

Основные направления внутреннего контроля (аудита): (Выберите один или несколько правильных ответов)Контроль соблюдения организационно-режимных требований в помещениях, в которых осуществляется обработка персональных данныхКонтроль доступа к приложениям информационных систем, в которых осуществляется обработка персональных данныхКонтроль соблюдения требований режима обработки персональных данныхПроверка корректности и классификации информационных систем обработки персональных данныхНайти другие ответы на вопросы

Рекомендуемые статьи​

• Самоподготовка
• rzd
• ПТЭ
• Инструктаж
• Новости
• Темы тестирований АСПТ.СДО.КАСКОР

Регламент работ, пример и чек-лист для составления

Как изменить статус внутренних аудитов из «необходимого зла» на
«лучшего помощника коллектива»? Как победить настороженное
отношение к службе СВА и желание отделаться от нее поверхностным отчетом
«на авось»? Начните с планирования. Оглашение плана работы службы
внутреннего аудита сигнализирует об открытости руководства и о том, что
главная цель аудиторов — оптимизировать работу и поощрить лучших, а не
обнаружить и наказать худших.

С чего начать планирование и на каком основании выбирать объекты для
аудиторской проверки — рассмотрим далее по пунктам:

Регламент внутреннего аудита

План работы службы внутреннего аудита

Оценка рисков при планировании внутреннего аудита

Пример плана проведения внутреннего аудита

Чек-лист для составления плана деятельности по внутреннему аудиту

Регламент внутреннего аудита

Основополагающие правила проведения внутреннего аудита приведены в
Международных профессиональных стандартах внутреннего аудита
(МПСВА). Ориентируясь на них, службы внутреннего аудита разрабатывают
собственную документацию с учетом специфики компании.

Правила планирования и проведения внутреннего аудита регламентируются в
Положении о внутреннем аудите. Здесь отражают принципы, которыми
руководствуется в своей работе СВА:

• проверки разделяют на плановые и внеплановые;
• график плановых составляют с учетом анализа рисков и пожеланий руководства;
• внеплановый аудит организуют по указу руководства в случае возникновения
  нештатных ситуаций.

Пример регламента по внутреннему аудиту

План работы службы внутреннего аудита

Планирование внутреннего аудита разделяют на три группы.

• Долгосрочное планирование базируется на анализе рисков и ранжировании
  степени важности бизнес-процессов в компании. Проверку процессов большой
  важности или высокого риска планируют чаще процессов с несущественными
  рисками.
• Годовой план внутреннего аудита считают основным документом в работе СВА.
  Его составляют в соответствии с:

• долгосрочным планом;
• предписаниями законодательства;
• трансформацией внешних факторов;
• изменяющимися внутренними факторами;
• проведенным пересмотром рисков;
• картой гарантий.

Из этого следует, что годовой план может изменяться в случае появления новых
факторов. СВА компании должна следить за изменениями на внешнем рынке и
учитывать степень их важности или рискованности для работы компании. В случае
необходимости служба внутреннего аудита вносит оперативные изменения в план
проверок и согласует его с руководством.

Пример графика проведения внутреннего аудита

• тема;
• список задач для проверки;
• сроки аудита;
• перечень ответственных лиц.

Пример оформления плана внутреннего аудита

При составлении плана кроме степени важности и риска необходимо учитывать
объем выборки действий для проверки. Она влияет на точность полученных
результатов.

Оценка рисков при планировании внутреннего аудита

Руководство анализирует, какие события будут способствовать достижению целей
компании, а также связанный с ними риск. Такую деятельность называют
управлением риском.

Если система управления риском на предприятии хорошо отлажена и дает
положительный результат, то внутренние аудиторы используют ее как базу для
составления собственных таблиц по оценке рисков. Риск-ориентированный подход к
планированию внутреннего аудита зафиксирован в МПСВА.

Перечислим основные группы рисков, которые стараются найти и предотвратить в
процессе внутреннего аудита.

Пример плана проведения внутреннего аудита

Рассмотрим планирование внутреннего аудита на примере ОАО «РЖД».

Для регламентации деятельности СВА в компании разработан стандарт
«Планирование деятельности и управление ресурсами службы внутреннего
аудита и контроля».

Служба внутреннего аудита здесь формирует годовой план по принципу
«3+9». Это подразумевает утверждение трехмесячного плана и
составление гибкого графика на следующие девять месяцев.

В план проведения внутреннего аудита входят следующие этапы.

• Корректировка модели внутреннего аудита (при необходимости).
• Ранжирование процессов по степени риска.
• Подсчет необходимых материальных и трудовых ресурсов.
• Определение объектов, которые внесут в план аудита.

В своей работе сотрудники СВА РЖД ориентируются на совет директоров и
президента компании, оценки рисков от менеджеров организации, а также на свои
экспертные оценки.

Чек-лист для составления плана деятельности по внутреннему аудиту

• Следуйте регламенту международных стандартов и внутренних правил
  компании, касающихся работы СВА.
• Согласовывайте работу со стратегическими планами компании.
• Учитывайте результаты анализа управления рисками (если его проводят в
  компании).
• Проводите собственную оценку рисков.

Составить качественный план аудита не так просто. Надеемся, что наши советы
помогут справиться с планированием аудиторских проверок.

Стремитесь получить фундаментальные знания и прикладные навыки проведения
аудита? Хотите стать профессиональным внутренним аудитором?
Регистрируйтесь на курсы нашей Академии!

Что требует закон?

Закон о персональных данных требует, чтобы абсолютно каждый оператор осуществил правовую подготовку по статье 18. 1 и техническую подготовку по статье 19 закона.

Также закон требует, чтобы каждый оператор проводил аудит соответствия обработки персональных данных требованиям закона, подзаконным нормативно-правовым актам, политике оператора в отношении обработки персональных данных и внутренним локальным актам оператора. Об этом гласит пункт 5) части 1 статьи 18.

В теории все просто: оператор должен открыть сам закон, внимательно вчитаться в статьи 18. 1 и 19 закона и реализовать их в жизни. Но на практике все гораздо сложнее, потому что для реализации указанных статей закона нужно иметь понимание требований, а, столкнувшись с общими формулировками закона, неподготовленному (не опытному) читателю понять их совсем не просто.

В итоге без внешней помощи не обойтись. А тем, кто все же отважился реализовать требование статей закона самостоятельно, нужна перепроверка от компетентной организации.

Что такое аудит по 152-ФЗ?

Под аудитом понимается обследование, анализ и оценка соответствия/готовности требованиям закона и(или) регулятора, проводимые внешней организацией. Аудит по 152-ФЗ делится на два направления: аудит соответствия требованиям закона (проверка правильности и объема выполнения требований закона) и аудит готовности к проверке Роскомнадзора (проверка готовности организации к проверке регулятора).

Если оператор провел подготовку по требованиям закона, то это не значит, что он готов пройти проверку уполномоченного регулятора (Роскомнадзора), так как на проверке запрашиваются дополнительные документы и сведения по предмету проверки. Поэтому любому оператору стоит обратиться за внешней помощью (к экспертной организации) для проверки соответствия/готовности требованиям закона и(или) регулятора.

Что входит в аудит по 152-ФЗ?

Сам аудит может проводиться как комплексом услуг, так и по отдельности:

• аудит организационно-правовой готовности по статьям закона 18.1 и 19 закона (аудит состава и содержания организационно-распорядительной документации в части обработки и защиты персональных данных);
• аудит реализации технических мер защиты по статье 19 закона (аудит защищенности информационных систем персональных данных или экспертиза результатов работ);
• аудит готовности к проверке Роскомнадзора (проведение внутреннего контроля готовности к проверке Роскомнадзора: проверка оператора по типовому плану проверки Роскомнадзора, перепроверка наличия и подписания ОРД, инструктаж персонала, консультации).

Как проводится аудит по 152-ФЗ?

Порядок проведения аудита правового соответствия 152-ФЗ следующий:

• Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
  об организационной структуре организации;бизнес-процессы организации, связанные с обработкой персональных данных;имеющиеся организационно-распорядительные документы в части обработки персональных данных;степень и правильность реализации технических мер защиты;правильность неавтоматизированной (бумажной) обработки персональных данных;взятие согласий с субъектов персональных данных;соответствие договоров с контрагентами требованию закона.
• об организационной структуре организации;
• бизнес-процессы организации, связанные с обработкой персональных данных;
• имеющиеся организационно-распорядительные документы в части обработки персональных данных;
• степень и правильность реализации технических мер защиты;
• правильность неавтоматизированной (бумажной) обработки персональных данных;
• взятие согласий с субъектов персональных данных;
• соответствие договоров с контрагентами требованию закона.
• Оформление отчета по результатам аудита, включая, среди прочего, следующее:
  общая оценка выполнения оператором требований закона;оценка выполнения требований статей 18.1 и 19 закона;оценка соответствия подзаконным нормативно-правовым актам;выводы по результатам аудита;рекомендации и замечания по приведению в соответствие.
• общая оценка выполнения оператором требований закона;
• оценка выполнения требований статей 18.1 и 19 закона;
• оценка соответствия подзаконным нормативно-правовым актам;
• выводы по результатам аудита;
• рекомендации и замечания по приведению в соответствие.

Порядок проведения аудита реализации технических мер защиты следующий:

• Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующие:
  количественные характеристики ИСПДн (количество серверов, рабочих станций и др.);качественные характеристики ИСПДн (операционные системы, СУБД, прикладное ПО и др.);технологии обработки данных в ИСПДн (RDP, Wi-Fi, толстый клиент, тонкий клиент и др.);применяемые средства защиты в ИСПДн;инженерно-техническая защищенность ИСПДн.
• количественные характеристики ИСПДн (количество серверов, рабочих станций и др.);
• качественные характеристики ИСПДн (операционные системы, СУБД, прикладное ПО и др.);
• технологии обработки данных в ИСПДн (RDP, Wi-Fi, толстый клиент, тонкий клиент и др.);
• применяемые средства защиты в ИСПДн;
• инженерно-техническая защищенность ИСПДн.
• Оформление отчета по результатам аудита, включая, среди прочего, следующее:
  перечень законодательных актов, которым ИСПДн должна соответствовать;подробное описание ИСПДн;оценка выполнения оператором требований закона (статьи 19 закона);оценка соответствия подзаконным нормативно-правовым актам;описание реализации технических мер защиты информации;выводы по результатам аудита;рекомендации и замечания по приведению в соответствие.
• перечень законодательных актов, которым ИСПДн должна соответствовать;
• подробное описание ИСПДн;
• оценка выполнения оператором требований закона (статьи 19 закона);
• оценка соответствия подзаконным нормативно-правовым актам;
• описание реализации технических мер защиты информации;
• выводы по результатам аудита;
• рекомендации и замечания по приведению в соответствие.

Порядок проведения аудита готовности к проверке Роскомнадзора следующий:

• Обследование (сбор и анализ) исходных данных, включая, среди прочего, следующее:
  состав и содержание организационно-распорядительной документации (ОРД) в соответствии с типовым планом проверки Роскомнадзора;полноту утверждения пакета ОРД;соответствие сведений в реестре Роскомнадзора действительности;взятие согласий с субъектов персональных данных;реализацию технических мер защиты;договоры с контрагентами, которым передаются персональные данные.
• состав и содержание организационно-распорядительной документации (ОРД) в соответствии с типовым планом проверки Роскомнадзора;
• полноту утверждения пакета ОРД;
• соответствие сведений в реестре Роскомнадзора действительности;
• взятие согласий с субъектов персональных данных;
• реализацию технических мер защиты;
• договоры с контрагентами, которым передаются персональные данные.
• Оформление отчета по результатам аудита, включая, но не ограничиваясь:
  готовность пакета ОРД к предоставлению в Роскомнадзор;возможность прохождения оператором проверки по типовому плану проверки Роскомнадзора;нарушения, которые потенциально могут быть выявлены;выводы по результатам аудита;рекомендации и замечания по приведению в соответствие.
• готовность пакета ОРД к предоставлению в Роскомнадзор;
• возможность прохождения оператором проверки по типовому плану проверки Роскомнадзора;
• нарушения, которые потенциально могут быть выявлены;
• выводы по результатам аудита;
• рекомендации и замечания по приведению в соответствие.

Вы можете узнать стоимость работ по аудиту в рамках 152-ФЗ: 8(800) 550-44-71

Аудит соответствия 152-ФЗ и аудит готовности к проверке Роскомнадзора

Главное отличие состоит в том, что при реализации оператором требований 152-ФЗ разрабатываются организационно-распорядительные документы в объеме, требуемом для соответствия законодательству, а при проверке Роскомнадзора, на самой проверке запрашиваются еще дополнительные документы и сведения по предмету проверки. Так как закон не содержит конкретный перечень документов для выполнения требований закона, в нем нет и перечня документов, необходимых для прохождения проверки Роскомнадзора. Поэтому операторы, не имеющие реальной практики, не могут однозначно сказать, соответствуют ли они закону и готовы ли они к проверке Роскомнадзора.

Чтобы стало понятно, приведем цифры:
Пакет документов для соответствия требованиям закона состоит примерно из 40 документов. Пакет документов для прохождения проверки Роскомнадзора — плюс еще около 20 документов. Итого полный пакет документов составляет около 60 документов.