Аудит ИСПДн

Дата: 20.08.2020. Автор: Ксения Шудрова. Категории: Блоги экспертов по информационной безопасности
Аудит ИСПДн

Добрый день, коллеги! Выкладываю таблицу с вебинара в текстовом виде для удобства. Первая колонка — что проверяем в начале проверки, вторая колонка — проверяем во вторую очередь, третья колонка — мои примечания для вас. 

Также на вебинаре я поделилась фрагментом своего платного Чек-листаСоздаем систему защиты персональных данных с нуля. Вы можете скачать его бесплатно.

Хорошего дня!

По вопросам сотрудничества и приобретения моих книг (электронных):
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 


Проверяем в первую очередь

Стоит обратить внимание на

Примечание

Комплектность пакета документов

Своевременное внесение изменений в документы

Нужно предварительно составить полный перечень.

Листы ознакомления (подписи!)

Своевременное переознакомление

Ознакомление при трудоустройстве, при выходе нового документа, при обнаружении инцидентов и т.д. Ведем реестр.

Наличие согласий на обработку

Соответствие формы согласия

Проверяем досконально по п. 4 ст. 9 ФЗ 152.

Наличие политики обработки ПДн

Соответствие политики обработки ПДн закону

Рекомендации Роскомнадзора https://rkn.gov.ru/personaldata/p908/

Назначено ли ЛОООПДн

Назначены ли другие ответственные лица

За организацию обработки отвечает руководитель уровня заместителя директора и т.п., обычно отдельно  назначают ответственных за безопасность ПДн (ИБ), за обработку данных сотрудников (кадры), за обработку данных клиентов (фронт-офис).

Наличие уведомления об обработке

Своевременное внесение изменений в уведомление

Ищем полное соответствие обработки на бумаге и в жизни.

Определен ли порядок работы с СКЗИ

Актуальность документации на СКЗИ

Сертификаты, лицензии, списки лиц, правила работы – все имеет значение.

Наличие журналов

Правильное ведение журналов

Проверяем подписи, корректные даты, заполнение всех полей согласно внутренним требованиям.

Есть ли правила доступа пользователей

Настройки прав доступа

Тестируем. Заходим под пользователем и пытаемся сделать что-то запрещенное.

Организовано ли хранение носителей

Соответствие правил хранения на практике и на бумаге

Бумага, флешки, диски, сейфы, шкафы, замки на шкафах, хранение на столах в открытом виде, хранение в незапертых ящиках – изучаем досконально.

Соответствует ли документам размещение ОТСС

Размещение ВТСС

Проверяем соответствие физического размещения ИСПДн схемам помещений, в которых ведется обработка.

Проводится ли оценка вреда субъектам

Адекватность оценки вреда субъектам

Требований со стороны закона пока нет.


Источник — блог Ксении Шудровой «Защита персональных данных и не только — книга рецептов».

Ксения Шудрова

Об авторе Ксения Шудрова

Эксперт по ИБ, автор блога "Защита персональных данных и не только - книга рецептов".
Читать все записи автора Ксения Шудрова

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *