+7 (495) 980-67-76

Обследование и оценка уровня защиты ПДн

В настоящее время проблема защиты персональных данных по-прежнему является одной из наиболее актуальных для многих российских компаний. Это обусловлено ужесточением системы штрафов, участившимися жалобами со стороны субъектов персональных данных, увеличением числа обращений со стороны органов надзора и зачастую неоднозначными формулировками в законодательстве. Все это влечет сложности в реализации требований и построении систем защиты персональных данных.

Анализ и оценка соответствия требованиям законодательства являются первым этапом приведения процессов обработки и защиты персональных данных (ПДн) в соответствие законодательству.

Для проведения таких работ необходимо провести сбор информации о процессах обработки ПДн, анализ текущих процессов обработки ПДн, а также применяемых мер защиты ПДн на предмет соответствия требованиям Федерального закона № 152-ФЗ «О персональных данных» и смежных нормативных правовых актов (постановлений Правительства РФ, Приказов ФСТЭК России, ФСБ России, Роскомнадзора и других регуляторов).

Сбор и анализ информации осуществляются следующими способами:

  • сбор и анализ действующей документации Заказчика, устанавливающей порядок обработки и обеспечения защиты ПДн, типовых форм документов, содержащих ПДн, шаблонов договоров с клиентами и контрагентами, а также иных документов;
  • сбор и анализ эксплуатационной документации информационных систем Заказчика, описывающей состав, структуру, функциональные возможности, технические характеристики и порядок использования ИСПДн и средств защиты информации;
  • интервьюирование и анкетирование работников, осуществляющих обработку персональных данных и администрирование ИТ-инфраструктуры и информационных систем персональных данных.

Оценка соответствия процессов обработки и защиты ПДн включает в себя:

  • определение перечня и категорий обрабатываемых ПДн, а также целей их обработки;
  • анализ процессов, связанных с обработкой ПДн, с точки зрения их соответствия положениям Федерального закона № 152-ФЗ «О персональных данных»;
  • определение перечня элементов информационных систем персональных данных (ИСПДн);
  • определение степени участия персонала в обработке ПДн, характера взаимодействия персонала, ответственного за обеспечение безопасности ПДн;
  • оценку актуальности и достаточности внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн;
  • определение используемых технических средств, организационных мер и способов защиты ПДн и оценка их соответствия требованиям нормативных документов;
  • моделирование потенциального нарушителя безопасности ПДн и определение актуальных угроз безопасности ПДн;
  • определение требуемого уровня защищенности ПДн при их обработке в ИСПДн в соответствии с составом, объемом обрабатываемых ПДн и типом актуальных угроз безопасности ПДн.

В ходе анализа процессов обработки ПДн осуществляется оценка соблюдения требований и принципов, предъявляемых законодательством РФ при обработке ПДн, в том числе:

  • обработка ПДн должна осуществляться только при наличии соответствующих правовых оснований на законной и справедливой основе;
  • обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями их сбора;
  • содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
  • обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, если иное не предусмотрено федеральным законом.

По результатам обследования формируется отчет, в котором содержатся описание текущего состояния процессов обработки и защиты персональных данных, оценка их соответствия требованиям правовых актов и рекомендации по устранению выявленных недостатков и нарушений.

Кроме того, при необходимости разрабатываются следующие документы:

  • перечень обрабатываемых персональных данных;
  • перечень информационных систем персональных данных;
  • перечень подразделений и работников, допущенных к обработке персональных данных;
  • перечень мест хранения носителей персональных данных, обрабатываемых без использования средств автоматизации;
  • частная модель нарушителя и угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • необходимый комплект приказов об утверждении указанных выше документов;
  • приказ о выборе требуемых уровней защищенности ПДн.

Другие услуги раздела

Обследование и оценка выполнения требований GDPR
Разработка модели нарушителя и угроз безопасности ПДн
Разработка технического задания и технического проекта на создание СЗПДн
Разработка комплекта организационно-распорядительных документов по обеспечению безопасности ПДн
Аттестация ИСПДн/Оценка соответствия
Подготовка к проверке и сопровождение при проверках регуляторов
Мероприятия
Масштабные изменения в 152-ФЗ «О персональных данных». Как действовать операторам?
Реформа 152-ФЗ «О персональных данных». Опыт практической реализации.
Все мероприятия

Мы собираем пользовательские данные для улучшения работы сайта. Используя сайт, вы подтверждаете согласие на их обработку. Нажмите здесь, чтобы узнать больше.

;