Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан осуществлять внутренний контроль и аудит соответствия обработки ПДн требованиям закона.
- Ст. 19 ФЗ-152 — требует постоянного контроля эффективности мер защиты ПДн.
- Приказ ФСТЭК № 21 — прямо указывает на необходимость регулярных проверок эффективности мер защиты в ИСПДн и оформления результатов.
- ГОСТ Р 57580.1-2017 — предписывает планировать и документировать аудиты информационной безопасности.
Как оформить аудит
- Приказ о проведении внутреннего аудита — издаётся руководителем, назначает комиссию или ответственного за проверку.
- Программа и план аудита — определяют, что именно проверяется: документы (политики, приказы, журналы), технические меры (СКЗИ, пароли, резервное копирование), организационные меры (обучение сотрудников, разграничение доступа).
- Чек-листы проверки — фиксируют конкретные вопросы, по которым проводится аудит.
- Отчёт или акт внутреннего аудита — содержит описание выявленных нарушений, несоответствий, рекомендации по устранению.
- Приказ об утверждении результатов и корректирующих мерах — закрепляет план устранения недостатков.
Практика проверок
Роскомнадзор при выездных проверках нередко просит предоставить документы, подтверждающие проведение внутреннего аудита. Если компания предоставляет только устные пояснения без актов и приказов, это трактуется как невыполнение ст. 18.1 ФЗ-152. В предписаниях обычно указывается на необходимость регулярного оформления отчётов по аудиту и хранения их в архиве.
Рекомендации и выводы
Да, внутренний аудит безопасности ПДн должен быть документально оформлен. Минимальный пакет: приказ о проведении, план проверки и отчёт по результатам. Это позволит компании доказать выполнение требований ФЗ-152 и избежать претензий регуляторов.
Компания ICTech подготовит для вашей организации программу внутреннего аудита, формы чек-листов и шаблоны актов, что позволит проводить проверки системно и формировать доказательную базу для Роскомнадзора.
