Аудит информационной безопасности представляет собой системное и всестороннее исследование защищенности информационных систем организации. В ходе такой проверки специалисты оценивают, насколько деятельность компании соответствует требованиям российского законодательства в области защиты данных. Ключевым документом здесь выступает Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Для организаций, которые обрабатывают данные граждан иностранных государств (например, стран Европейского союза), существуют дополнительные нормы, однако в рамках данного материала мы делаем акцент на российском праве, избегая ссылок на нормативные акты иностранных государств без официальной адаптации. Аудит позволяет не только выявить уязвимости, но и предотвратить штрафы, которые в последние годы достигают миллионов рублей.

Важность аудита информационной безопасности трудно переоценить. Это не разовая акция, а обязательный элемент корпоративного управления для любой организации, работающей с персональными данными, коммерческой тайной или иной конфиденциальной информацией. В ходе аудита эксперты изучают не только программное обеспечение и межсетевые экраны, но и внутренние приказы, должностные инструкции, систему допуска сотрудников, порядок уничтожения носителей информации, а также действия персонала при нештатных ситуациях. Только комплексный подход дает реальную картину защищенности.

Основные законодательные нормы, проверяемые в ходе аудита информационной безопасности:

1. Федеральный закон № 152-ФЗ «О персональных данных»— это базовый акт, который регулирует обработку, хранение и защиту персональных данных граждан Российской Федерации. Проверяется:

• наличие письменных согласий субъектов на обработку их персональных данных;
• реализация требований к защите данных (организационные и технические меры);
• назначение ответственного за обработку персональных данных;
• ведение журналов событий, связанных с доступом к данным;
• порядок уведомления уполномоченного органа (Роскомнадзор) об инцидентах;
• соответствие политики обработки персональных данных требованиям закона.

2. Федеральный закон № 98-ФЗ «О коммерческой тайне»— если организация обладает сведениями, составляющими коммерческую тайну. Аудитор проверяет:

• наличие грифа «Коммерческая тайна» на носителях;
• регламент доступа сотрудников к таким сведениям;
• договоры о неразглашении с контрагентами и персоналом;
• меры ответственности за разглашение.

3. Требования регуляторов (ФСТЭК России, ФСБ России, Банка России)— для организаций критической информационной инфраструктуры, финансового сектора и государственных учреждений. Проверке подлежат:

• сертифицированные средства защиты информации;
• порядок аттестации объектов информатизации;
• выполнение предписаний регуляторов;
• система защиты государственной тайны (при наличии лицензии).

4. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»— устанавливает общие принципы правового регулирования отношений в сфере информации. Аудит проверяет:

• классификацию информации по степени доступа;
• соблюдение запретов на распространение определенных сведений;
• порядок ограничения доступа к информации.

5. Требования к обработке биометрических персональных данных(специальные нормы в рамках 152-ФЗ) — при сборе отпечатков пальцев, изображения лица и т.д. Проверяется:

• отдельное письменное согласие на биометрию;
• применение усиленных средств защиты.

Как аудит помогает избежать штрафов и иных санкций?

Проактивное выявление нарушений. Штрафы по статье 13.11 Кодекса Российской Федерации об административных правонарушениях за нарушение порядка обработки персональных данных для юридических лиц достигают: от 60 000 до 100 000 рублей за первичное нарушение, а за повторное — до 300 000 рублей. По статье 13.12 — за нарушение условий защиты информации — штраф до 100 000 рублей. Для отдельных должностных лиц предусмотрены дисквалификация и уголовная ответственность по статье 183 Уголовного кодекса (незаконное разглашение коммерческой тайны). Аудит позволяет устранить нарушения до проверки Роскомнадзором или прокуратуры.

Систематизация документации. Отсутствие правильно оформленных согласий на обработку данных, политик и инструкций — частая причина штрафов. Эксперт по аудиту проверит каждый локальный акт, укажет на несоответствия и поможет их исправить.

Оценка реальных технических угроз. Использование нелицензионного или неподтвержденного программного обеспечения, отсутствие антивирусной защиты, незащищенные каналы связи — все это риски утечки. После аудита вы получите дорожную карту технических мероприятий, которые закроют уязвимости.

Минимизация репутационных потерь. Даже если штрафа удалось избежать, утечка данных клиентов приводит к потере доверия. Согласно исследованиям, более 60% клиентов уходят от компании, допустившей утечку их персональных данных. Аудит предотвращает сам инцидент.

Доказательство добросовестности. При проведении проверки со стороны надзорных органов наличие недавнего аудита и плана устранения недостатков может смягчить наказание или перевести его в предупреждение, особенно для малого и среднего бизнеса.

РАЗДЕЛ С КЕЙСАМИ

Кейс № 1. Крупная розничная сеть (продукты питания, 250 магазинов в Центральном федеральном округе).
За 2 месяца до плановой проверки Роскомнадзора заказчик обратился к нам для проведения аудита информационной безопасности. В ходе проверки были выявлены следующие нарушения: отсутствие политики обработки персональных данных в актуальной редакции, не оформлено согласие на обработку данных для 15% клиентов из базы лояльности, не назначено ответственное лицо за обработку персональных данных, сервер с базой данных не был защищен межсетевым экраном. Эксперты федеральной экспертизы подготовили 43 рекомендации. Сеть в течение 3 недель устранила недостатки. Пришедшая проверка Роскомнадзора не нашла нарушений, штраф удалось избежать. Стоимость аудита окупилась в 30 раз — потенциальный штраф составил бы до 500 000 рублей плюс репутационные риски.

Кейс № 2. Финансово-кредитная организация (микрофинансовая компания).
Заказчик уже получил предписание Роскомнадзора с требованием устранить нарушения по 152-ФЗ. Нам предстояло не только провести аудит, но и помочь с исправлением. В ходе аудита выявлено: доступ к персональным данным сотрудников и клиентов имели 40% сотрудников без служебной необходимости, логи доступа не велись, система уничтожения персональных данных при достижении целей обработки отсутствовала, согласия на обработку включали незаконные пункты (например, передача третьим лицам без указания этих лиц). Разработан план корректирующих мероприятий. Заказчик в срок устранил нарушения. Роскомнадзор снял предписание, штраф (от 300 000 до 700 000 рублей) не был наложен.

Кейс № 3. Медицинский центр (обработка специальных категорий персональных данных — состояние здоровья).
Специальные категории требуют повышенной защиты. При аудите выяснилось: отсутствовало отдельное письменное согласие пациентов на обработку биометрических данных (фото в электронной карте), не применялись сертифицированные средства криптографической защиты, журнал учета лиц, допущенных к медицинским тайнам, велся с нарушениями. После аудита медицинский центр внедрил сертифицированное средство защиты информации (класс не ниже КС2), переоформил согласия, провел обучение персонала. За полгода после этого — ни одного инцидента, а потенциальный штраф по части 2 статьи 13.11 КоАП РФ (обработка специальных категорий без письменного согласия) составляет от 300 000 до 500 000 рублей.

Кейс № 4. Обрабатывающий завод (коммерческая тайна).
Конкурент пытался получить технологическую документацию. Внутреннее расследование показало возможную утечку. Проведен аудит информационной безопасности с акцентом на 98-ФЗ. Выявлено: 80% документов с грифом «Коммерческая тайна» не имели грифа на бумажных носителях, с увольняющимися сотрудниками не проводились финальные беседы о неразглашении, доступ к папке «Технологии» на сервере имели 50 человек при необходимости только 5. После аудита пересмотрена система допусков, усилен контроль электронной почты, введена процедура депонирования ноутбуков при увольнении. Утечек более не зафиксировано. Экономический ущерб от предотвращенного слива технологий оценен заказчиком в 25 млн рублей.

Кейс № 5. Образовательное учреждение (обработка данных несовершеннолетних).
Школа собирала согласия на обработку данных учеников и родителей, но форма согласия не соответствовала требованиям 152-ФЗ (отсутствовал перечень действий с данными, срок обработки, порядок отзыва согласия). В ходе аудита выявлены также: неуничтоженные личные дела выпускников за 20 лет (истек срок хранения), доступ к электронному журналу без двухфакторной аутентификации. Эксперты помогли разработать правильную форму согласия, организовали уничтожение архивов с истекшим сроком, настроили двухфакторную аутентификацию для педагогов. При проверке прокуратуры в следующем полугодии нарушений не найдено. Школа избежала штрафа до 100 000 рублей и административного приостановления деятельности.

Что в итоге дает аудит информационной безопасности с точки зрения закона?

Вы получаете не просто бумагу с выводами, а полноценный инструмент управления рисками. В отчете об аудите будут:

• перечень несоответствий конкретным статьям законов (152-ФЗ, 98-ФЗ, 149-ФЗ и другим);
• оценка вероятности реализации угроз для каждого вида информации;
• план мероприятий с указанием сроков и ответственных;
• приоритетность устранения нарушений от критических до желательных.

Наличие такого отчета позволяет доказать надзорным органам, что вы добросовестно подходите к защите информации. Это смягчающее обстоятельство при рассмотрении дела об административном правонарушении.

Помните: аудит должен проводиться лицом, имеющим соответствующую квалификацию и лицензию (при работе с государственной тайной или критической информационной инфраструктурой). Самостоятельные проверки часто пропускают системные ошибки, за которые и налагаются штрафы.

Ваш следующий шаг — заказать аудит информационной безопасности в нашей организации.

Для этого достаточно обратиться к нам любым удобным способом: заполнить форму обратной связи на нашем официальном сайте, написать на электронную почту или позвонить по контактному телефону, указанному в разделе «Контакты». Наши эксперты проконсультируют вас по перечню проверяемых норм в зависимости от специфики вашей компании, назовут точные сроки и стоимость аудита. Не ждите штрафов — действуйте на опережение.

Больше полезных статей и экспертных материалов вы найдете на нашем сайте:

👉 fedexpertiza.ru