Какие документы нужны для внешнего аудита по персональным данным?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Внешний аудит персональных данных проводится для независимой оценки того, насколько организация соответствует требованиям ФЗ-152, подзаконных актов и стандартов защиты информации. Аудит может быть обязательным (например, при аттестации ИСПДн) или добровольным (инициатива компании).

Обоснование по законодательству

• ФЗ-152, ст. 19 — оператор обязан обеспечивать внутренний и внешний контроль выполнения требований по защите ПДн.
• Постановление Правительства РФ № 1119 — закрепляет требования к организационным и техническим мерам.
• Приказы ФСТЭК и ФСБ — регламентируют защиту ИСПДн и криптографических средств.

При внешнем аудите проверяются не только документы, но и фактическая работа процессов.

Основные документы, которые готовят к внешнему аудиту

1. Политика обработки ПДн — публичный документ с целями, принципами и мерами обработки.
2. Положение об обработке и защите ПДн — внутренний регламент с описанием процессов.
3. Приказ о назначении ответственного за ПДн и (при необходимости) комиссии по защите данных.
4. Перечень обрабатываемых ПДн и категорий субъектов.
5. Регламенты и инструкции — по доступу, хранению, уничтожению, резервному копированию, обезличиванию.
6. Договоры с подрядчиками — с условиями о защите ПДн (ст. 6 и 18.1 ФЗ-152).
7. Журналы учёта — обращений субъектов, инструктажей, доступа, уничтожения, проверок.
8. Акты и протоколы — об уничтожении данных, проверках, аудитах, инцидентах.
9. Документы по ИТ-безопасности — модель угроз, технические паспорта ИСПДн, акты аттестации (если применимо).
10. Программы и материалы обучения сотрудников по работе с ПДн.

Практика аудиторских проверок

Аудиторы, помимо формальных документов, часто запрашивают доказательства их применения: заполненные журналы, подписанные инструкции сотрудников, подтверждение резервного копирования и уничтожения данных. Отсутствие документов, подтверждающих реальную работу системы, считается нарушением даже при наличии формальных регламентов.

Рекомендации и выводы

• Подготовьте полный комплект документов, включая регламенты, журналы и акты.
• Проверьте актуальность документов: старые или неподписанные бумаги могут вызвать замечания.
• Ведите доказательную базу: журналы, акты, протоколы должны быть оформлены и заполнены.
• Для упрощения аудита имеет смысл собрать папку аудита с копиями ключевых документов и формами журналов.

Компания IC-TECH занимается проведением аудитов по ФЗ-152, а также помощью в разработке полного пакета документов для соблюдения ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге