Конфиденциальность

Используем cookie и Яндекс.Метрику для аналитики и улучшения работы сайта. Метрика подключается только после вашего согласия.

Подробнее в Политике обработки персональных данных.

SEO-корпус

Аудит соответствия 152-ФЗ · стоимость и сроки приведения в порядок

·7 мин152-ФЗ · аудит · соответствие · стоимость · ст. 18.1 · ст. 19 · безопасность данных

Вопрос «сколько стоит привести компанию в соответствие с 152-ФЗ» обычно задают после того, как пришла утечка, претензия Роскомнадзора или запрос от партнёра, который проверяет контрагентов. Честный ответ зависит не от прайса консультанта, а от того, насколько далеко компания отошла от двух статей закона, ст. 18.1 и ст. 19. Эти две нормы задают весь объём работ. Чем больше пунктов из них не закрыто, тем дольше и дороже приведение в порядок. Разберём, из чего складывается аудит, что в нём считается дёшево и быстро, а что требует месяцев и бюджета, и как оценить порядок цифр для конкретной компании.

Что именно аудируют · карта по двум статьям

Аудит соответствия это сверка реальных процессов компании с обязанностями оператора. Скелет проверки задаёт ч. 1 ст. 18.1 152-ФЗ. Она перечисляет меры, которые оператор обязан принять, и каждая мера это отдельный пункт чек-листа. Назначен ли ответственный за организацию обработки персональных данных у юридического лица. Изданы ли политика и локальные акты, которые для каждой цели определяют категории и перечень данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения данных по достижении цели. Применяются ли правовые, организационные и технические меры безопасности по ст. 19. Ведётся ли внутренний контроль или аудит соответствия. Проведена ли оценка вреда субъектам. Ознакомлены ли или обучены сотрудники, которые работают с данными.

Второй блок это публичность и готовность к проверке. Политика должна быть опубликована и доступна, а при сборе данных через сайт размещена прямо на нём (ч. 2 ст. 18.1 152-ФЗ). И по запросу уполномоченного органа оператор обязан представить документы и локальные акты или иным образом подтвердить принятие мер (ч. 4 ст. 18.1 152-ФЗ). Этот пункт переводит документы из разряда «для галочки» в разряд того, что придётся реально показать.

Третий блок самый технический и самый дорогой, безопасность по ст. 19. Оператор обязан принимать правовые, организационные и технические меры для защиты данных от неправомерного и случайного доступа, уничтожения, изменения, копирования, распространения и иных неправомерных действий (ч. 1 ст. 19 152-ФЗ). Безопасность достигается, в частности, определением угроз, применением мер для нужного уровня защищённости, применением прошедших оценку соответствия средств защиты информации, оценкой эффективности мер до ввода системы в эксплуатацию, учётом машинных носителей, обнаружением фактов несанкционированного доступа и реагированием на инциденты, восстановлением модифицированных или уничтоженных данных, установлением правил доступа с регистрацией всех действий и контролем за принимаемыми мерами (ч. 2 ст. 19 152-ФЗ).

От чего зависят сроки и стоимость

Главный фактор это уровень защищённости информационной системы. Уровни защищённости и требования к ним устанавливает Правительство с учётом возможного вреда субъекту, объёма и содержания обрабатываемых данных, вида деятельности и актуальности угроз (ч. 3 ст. 19 152-ФЗ). Состав и содержание организационных и технических мер для каждого уровня устанавливают уполномоченные федеральные органы (ч. 4 ст. 19 152-ФЗ). Логика прямая. Чем чувствительнее данные и чем больше субъектов, тем выше требуемый уровень защищённости и тем дороже техническая часть. Компания, которая обрабатывает контакты сотни клиентов, и оператор, у которого база на миллионы записей со специальными категориями, находятся в разных весовых категориях по бюджету.

Второй фактор это разрыв между «как есть» и «как должно». Если у компании уже есть ответственный, рабочая политика и базовые меры, аудит выявит точечные пробелы и закрытие займёт недели. Если нет ничего, придётся выстраивать всё с нуля, от инвентаризации данных до внедрения сертифицированных средств защиты.

Третий фактор это наличие государственной информационной системы. Для государственных систем и иных систем в госорганах контроль за мерами безопасности ведут уполномоченные органы в области безопасности и технической защиты информации (ч. 8 ст. 19 152-ФЗ). Требования к таким системам строже, и работ там объективно больше.

Этапы и реалистичные сроки

Первый этап, обследование и инвентаризация. Какие данные, под какую цель, на каком основании, где хранятся, кто имеет доступ, есть ли трансграничная передача и поручения обработки. Это от одной до нескольких недель, основа всего остального.

Второй этап, оценка угроз и определение требуемого уровня защищённости по ч. 3 ст. 19. Без этого нельзя понять, какие технические меры нужны и сколько они стоят.

Третий этап, документы. Политика, локальные акты по ч. 1 ст. 18.1, приказ о назначении ответственного, регламент обработки обращений субъектов, формы согласий, оценка вреда. Эта часть быстрая и недорогая относительно техники, обычно недели.

Четвёртый этап, технические меры по ч. 2 ст. 19. Средства защиты информации, прошедшие оценку соответствия, разграничение доступа с регистрацией действий, обнаружение несанкционированного доступа, учёт носителей. Это самый длительный и капиталоёмкий блок, от месяца до нескольких месяцев в зависимости от уровня защищённости и масштаба инфраструктуры.

Пятый этап, проверка и внутренний контроль по п. 4 ч. 1 ст. 18.1. Убедиться, что меры работают, и подготовить компанию к возможному запросу документов по ч. 4 ст. 18.1.

На что смотрит проверяющий при оценке зрелости

Первое, соответствие документов реальности. Политика, в которой описаны процессы, которых в компании нет, это минус, а не плюс. Второе, доступность политики, особенно на сайте сбора данных по ч. 2 ст. 18.1. Третье, способность подтвердить меры по запросу, что прямо требует ч. 4 ст. 18.1. Четвёртое, адекватность технических мер уровню защищённости по ст. 19. Аудит, который проверяет именно эти точки, экономит деньги, потому что показывает, где разрыв критичен, а где можно отложить.

Частые вопросы

Можно ли обойтись только документами без технической части. Нет. Документы закрывают ст. 18.1, но безопасность это отдельная обязанность по ст. 19 с организационными и техническими мерами под установленный уровень защищённости. Бумаги без реальной защиты данных не спасают при утечке и не подтверждаются по запросу органа.

Что дешевле и быстрее сделать. Самое быстрое и дешёвое это назначить ответственного, привести политику в соответствие реальным процессам и опубликовать её на сайте, как требует ч. 2 ст. 18.1. Это снимает самые очевидные претензии и даёт время на дорогую техническую часть.

Как часто нужно повторять аудит. Закон встраивает контроль в обязанности оператора, внутренний контроль или аудит соответствия по п. 4 ч. 1 ст. 18.1 и контроль за мерами безопасности по п. 9 ч. 2 ст. 19. Это не разовое мероприятие, а регулярная функция. Повторять стоит при изменении процессов, появлении новых целей обработки или новых угроз.

Стоимость и сроки приведения к 152-ФЗ это производная от двух величин, требуемого уровня защищённости по ст. 19 и разрыва между нынешним состоянием и обязанностями по ст. 18.1. Грамотный аудит сначала измеряет этот разрыв, а потом расставляет работы от дешёвых и быстрых к дорогим и долгим. Проведём аудит, оценим объём и составим план приведения в порядок под ваши данные, напишите нам.