Аудит процессов обработки и защиты персональных данных (ПДн) — одна из ключевых практик информационной безопасности, внедрение которой позволяет поддерживать соответствие требованиям. Организация аудитов вызывает множество вопросов у руководителей организаций и у лиц, ответственных за организацию обработки персональных данных (ЛОООПДн). На межблогерском вебинаре 12 августа 2020 года пять экспертов обсудили стратегии проведения аудитов, поделились опытом из своей практики и предупредили о «подводных камнях». Опыт внешнего аудитора представил Сергей Городилов, руководитель отдела информационной безопасности АСПЕКТ СПб.
Видеозапись вебинара «Аудит процессов обработки и защиты персональных данных» (2:50:25)
Вопросы вебинара:
- Зачем нужно проводить аудит соответствия по 152-ФЗ? Два вида целей.
- В каких случаях необходим внешний аудит, а в каких — внутренний контроль? Плюсы и минусы проведения аудита своими силами.
- Кто должен проводить контроль – ЛОООПДн или рабочая группа/комиссия?
- Какие требования компетентности предъявляются к аудитору? Какие полномочия нужны аудитору?
- Нужно ли планировать проверки? Нужно ли заранее уведомлять проверяемых?
- Что входит в область работ по аудиту? Что проверять и какие свидетельства собирать? Что включить в опросный лист?
- Какие результаты деятельности по проверке (артефакты) могут появляться? Свидетельства аудита. Составление отчета.
- Что делать с выявленными несоответствиями?
- Как оценивать компетентность и квалификацию проверяемых?
- Можно ли проводить проверку удаленно? Когда необходимо выходить на места?
- Что делать, если объект не готов к аудиту?
- Полезные советы из опыта работы.
По мнению Сергея Городилова, компетентность — ключевое условие для обеспечения информационной безопасности. Второе важное условие — результативное выполнение требований информационной безопасности сотрудниками организаций. Главным инструментом для этого являются аудиты. Выбор внешнего или внутреннего аудита зависит от целей, которые ставит менеджмент организации, а также от имеющихся ресурсов и уровня компетентности. Если цель — повышение уровня требований, то нужен внешний аудит. Независимый внешний аудит позволяет выявить риски, проблемы и точки роста, получить авторитетную точку зрения, завалидировать собственные подходы. Внутренний аудит (контроль) необходим как дисциплина, позволяющая достигать и непрерывно поддерживать соответствие требованиям информационной безопасности и необходимый уровень компетентности.
В области информационной безопасности Сергей Городилов работает 18 лет. За это время он принимал участие в 150 проектах по ИБ, из них 100 — по защите персональных данных. Преподавал в ВятГУ курс «Методы и средства защиты компьютерной информации». Для Министерства образования Кировской области на общественных началах проводил учебный курс по защите персональных данных для образовательных организаций.