Аудит ИСПДн

Проверяем в первую очередь

Стоит обратить внимание на

Примечание

Комплектность пакета документов

Своевременное внесение изменений в документы

Нужно предварительно составить полный перечень.

Листы ознакомления (подписи!)

Своевременное переознакомление

Ознакомление при трудоустройстве, при выходе нового документа, при обнаружении инцидентов и т.д. Ведем реестр.

Наличие согласий на обработку

Соответствие формы согласия

Проверяем досконально по п. 4 ст. 9 ФЗ 152.

Наличие политики обработки ПДн

Соответствие политики обработки ПДн закону

Рекомендации Роскомнадзора https://rkn.gov.ru/personal-data/p908/

Назначено ли ЛОООПДн

Назначены ли другие ответственные лица

За организацию обработки отвечает руководитель уровня заместителя директора и т.п., обычно отдельно  назначают ответственных за безопасность ПДн (ИБ), за обработку данных сотрудников (кадры), за обработку данных клиентов (фронт-офис).

Наличие уведомления об обработке

Своевременное внесение изменений в уведомление

Ищем полное соответствие обработки на бумаге и в жизни.

Определен ли порядок работы с СКЗИ

Актуальность документации на СКЗИ

Сертификаты, лицензии, списки лиц, правила работы – все имеет значение.

Наличие журналов

Правильное ведение журналов

Проверяем подписи, корректные даты, заполнение всех полей согласно внутренним требованиям.

Есть ли правила доступа пользователей

Настройки прав доступа

Тестируем. Заходим под пользователем и пытаемся сделать что-то запрещенное.

Организовано ли хранение носителей

Соответствие правил хранения на практике и на бумаге

Бумага, флешки, диски, сейфы, шкафы, замки на шкафах, хранение на столах в открытом виде, хранение в незапертых ящиках – изучаем досконально.

Соответствует ли документам размещение ОТСС

Размещение ВТСС

Проверяем соответствие физического размещения ИСПДн схемам помещений, в которых ведется обработка.

Проводится ли оценка вреда субъектам

Адекватность оценки вреда субъектам

Требований со стороны закона пока нет.