Аудит организации на соответствие требованиям Федерального Закона «О персональных данных» №152‑ФЗ

Чтобы уточнить стоимость и сроки проведения работ, отправьте запрос через форму обратной связи

На этой странице вы найдете ответ на следующие вопросы:

1. Основные принципы защиты персональных данных (далее — ПДн) по 152-ФЗ
2. Основные требования 152-ФЗ — обязанности операторов ПДн
3. Связь 152-ФЗ с другими НПА в области защиты ПДн
4. Особенности обработки биометрических ПДн и связанные с ними обязанности операторов ПДн
5. Актуальные изменения в 152-ФЗ (редакция на 1 квартал 2025 г.)
6. Зачем нужна отдельная модель угроз и нарушителя для систем, обрабатывающих ПДн?
7. Ключевые этапы оказания услуги по аудиту организации на соответствие требованиям 152-ФЗ
8. Другие услуги, связанные с обеспечением соответствия 152-ФЗ: разработка ВНД и разработка модели угроз и нарушителя для ИСПДн.

Отвечаем по порядку:

1. Основные принципы защиты персональных данных по 152-ФЗ

152-ФЗ — это основной законодательный акт в области защиты персональных данных, действующий на территории РФ. В основе 152-ФЗ лежат 7 принципов защиты ПДн:

• Обработка персональных данных должна осуществляться на законной и справедливой основе.
• Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
• Обработке подлежат только персональные данные, которые отвечают целям их обработки.
• Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
• При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
• Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2. Требования 152-ФЗ — обязанности операторов ПДн

Требования 152-ФЗ проистекают из определенных данным ФЗ обязанностей операторов персональных данных — любого физического или юридического лица, осуществляющего сбор, обработку, хранение персональных данных других субъектов права РФ. Говоря проще — практически любого юридического лица, которое имеет хотя бы одного сотрудника или клиента.

Ключевые требования 152-ФЗ — обязанности операторов ПДн:

1) При сборе ПДн:

• Обеспечить достаточное информирование субъекта ПДн
• Если сбор данных обязателен, разъяснить субъекту ПДн последствия отказа от предоставления данных
• Если данные собираются не напрямую от субъекта ПДн, собирается информация о лице, предоставившим данных с указанием источника и правового основания
• При сборе данных онлайн обеспечить (возможность) записи, систематизации, накопления, хранения, уточнения (обновления / изменения), извлечения персональных данных граждан РФ.

2) Обеспечение соответствия 152-ФЗ:

• Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и связанными с ним другими НПА
• Назначить ответственного за обработку ПДн.
• Разработать ключевые внутренние документы, регулирующие процессы и процедуры работы с ПДн, определяющие категории ПДн и цели их обработки, а также обеспечить возможность их предоставления по запросу уполномоченного органа по защите прав субъектов персональных данных
• Обеспечить применение правовых, организационных и технических мер защиты ПДн в соответствии с 19 статьей 152-ФЗ.
• Осуществить «внутренний контроль и (или) аудит соответствия обработки ПДн» (соответствие 152-ФЗ).
• В случае нарушения 152-ФЗ осуществить оценку возможного вреда.
• Обеспечить соответствующее обучение сотрудников, осуществляющих сбор ПДн.
• Опубликовать Политику в отношении обработки персональных данных.

3) Обеспечение безопасности персональных данных при их обработке

• Определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных
• Применение сертифицированных средств защиты информации (далее — СЗИ)
• Обнаружение фактов несанкционированного доступа к ПДн
• Обеспечить соответствие установленному уровню защищенности ПДн при их обработке в ИСПДн, требованиям к материальным носителям биометрических ПДн вне ИСПДн.
• Обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.

4) Обязанности оператора ПДн при получении запроса от субъекта ПДн, его представителя или уполномоченного органа по защите прав субъектов персональных данных:

• В течение 10 раб. дн. (+5 раб. дн. если есть необходимость для отсрочки) сообщить субъекту о наличии обрабатываемых ПДн, относящихся к субъекту, а также предоставить возможность ознакомиться с ними или (при отказе от предоставления информации) дать субъекту ПДн мотивированный отказ в письменной форме, содержащий ссылку на положение части 8 статьи 14 Федерального Закона 152-ФЗ.
• В течение 7 раб. дней уничтожить ПДн при получении соответствующего запроса, при наличии сведений, подтверждающих факт некорректности или неактуальности ПДн, а также о том, что данные собраны незаконным путем или не соответствуют заявленным целям, а также уведомить субъект об изменениях и принятых мерах.
• Ответ на запрос Роскомнадзора предоставляется в течение 10 раб. дн. (+5 раб. дн. если есть необходимость для отсрочки).

5) Обязанности оператора ПДн при выявлении нарушений, связанных с обработкой персональных данных в соответствии со 152-ФЗ (указанные далее действия осуществляются самим оператором ПДн или лицом, действующим по поручению оператора):

• Осуществить блокирование ПДн в случае установления факта неправомерности обработки ПДн, попытаться в течение 10 раб. дн. восстановить правомерность обработки данных или, если это невозможно, прекратить обработку.
• Актуализировать ПДн в случае установления факта их неактуальности
• При установлении факта «утечки данных» в течение 24 часов сообщить об инциденте и принятых мерах в Роскомнадзор, в течение 72 часов сообщить о причинах и предполагаемых последствиях (вреде) утечки, сообщить сведения о лице, уполномоченном для взаимодействия с Роскомнадзором.
• В течение 30 дней прекратить обработку ПДн при достижении цели их обработки.

Этапы работы

Аудит организации на соответствие требованиям Федерального закона № 152-ФЗ "О персональных данных" включает несколько этапов. Вот основные из них:

1. Подготовительный этап

• Определение целей и задач аудита: Уточнение целей проверки, например, оценка соответствия требованиям 152-ФЗ, выявление рисков и уязвимостей.
• Сбор информации: Изучение документов организации, таких как политика обработки персональных данных, регламенты, договоры с операторами и третьими лицами.
• Формирование команды аудиторов: Определение специалистов, которые будут проводить проверку.

2. Анализ документов

• Проверка локальных нормативных актов: Оценка наличия и содержания документов, таких как политика обработки персональных данных, согласия на обработку данных, регламенты доступа.
• Анализ договоров: Проверка договоров с операторами и третьими лицами на предмет соответствия требованиям 152-ФЗ.

3. Оценка процессов обработки персональных данных

• Изучение процессов обработки данных: Анализ того, как собираются, хранятся, обрабатываются и уничтожаются персональные данные.
• Проверка технических мер защиты: Оценка использования средств защиты информации, таких как шифрование, антивирусы, системы контроля доступа.
• Оценка организационных мер: Проверка наличия ответственных лиц за обработку данных, обучения сотрудников и других организационных мер.

4. Проверка соответствия требованиям 152-ФЗ

• Соответствие принципам обработки данных: Проверка соблюдения принципов законности, целесообразности и минимизации данных.
• Проверка прав субъектов данных: Оценка того, как организация обеспечивает права субъектов на доступ, исправление и удаление их данных.
• Оценка уведомлений в Роскомнадзор: Проверка наличия и корректности уведомлений об обработке персональных данных.

5.1. Выявление рисков и уязвимостей

• Анализ рисков: Оценка потенциальных рисков для конфиденциальности, целостности и доступности данных.
• Выявление уязвимостей: Определение слабых мест в процессах и системах защиты данных.

5.2 Разработка модели угроз и нарушителя для ИСПДн (опциональный этап).

6. Составление отчета

• Формирование отчета: Подготовка документа с результатами аудита, включая выявленные нарушения, риски и рекомендации.
• Рекомендации по устранению недостатков: Предложение мер для устранения выявленных проблем и повышения уровня защиты данных.

7. Заключительный этап

• Обсуждение результатов: Презентация отчета руководству организации, обсуждение рекомендаций.
• Планирование мероприятий по улучшению: Разработка плана действий для устранения выявленных недостатков.

8. Повторный аудит (при необходимости)

• Контроль выполнения рекомендаций: Проведение повторной проверки для оценки выполнения рекомендаций и улучшения процессов.

Эти этапы могут варьироваться в зависимости от специфики организации и объема обрабатываемых персональных данных.