Аудит по защите персональных данных в организации

Примерный перечень работ:

1. Подготовительный этап. Оценка существующих процессов:

• сбор информации о текущих процессах обработки персональных данных в организации,
• определение объёма проверки и критических областей риска.

2. Аудит ЛНА. Анализ организационных мер:

• проверка наличия и актуальности обязательных политик, положений, инструкций, приказов и иных локальных нормативных актов и распорядительной документации, регулирующей процесс хранения, сбора и обработки информации;
• оценка договоров с сотрудниками и контрагентами на предмет соблюдения требований закона о защите персональных данных.

3. Аудит IT инфраструктуры, оценка технических мер защиты:

• анализ используемых средств защиты информации: антивирусное ПО, системы предотвращения утечек (DLP), шифрование, контроль доступа.
• проверка систем авторизации, управления доступом, использования VPN и иных средств криптографической защиты.

4. Идентификация рисков:

• выявление уязвимостей в информационных системах и бизнес-процессах, которые могут привести к несанкционированному доступу или утечке персональных данных.
• оценка вероятности реализации каждого риска и возможных последствий для компании

5. Подготовка итогового отчёта. Разработка рекомендаций:

• составление детального заключения с описанием результатов обследования: какие несоответствия выявлены, какие риски зафиксированы,
• формирование списка конкретных мер по устранению выявленных несоответствий и нарушений, составление рекомендаций по организации технических и иных мероприятий для профилактики несанкционированного доступа к базам данных,
• составление плана действий для приведения всех процессов обработки персональных данных

6. Регламентация процессов:

• доработка, актуализация или написание регламентов, положений, инструкций (проверка имеющихся регламентов, доработка, оценка соответствия действительности, написание (если регламент отсутствует)