Что требует закон?

Закон о персональных данных требует, чтобы абсолютно каждый оператор осуществил правовую подготовку по статье 18.1 и техническую подготовку по статье 19 закона.

Также закон требует, чтобы каждый оператор проводил аудит соответствия обработки персональных данных требованиям закона, подзаконным нормативно-правовым актам, политике оператора в отношении обработки персональных данных и внутренним локальным актам оператора. Об этом гласит пункт 5) части 1 статьи 18.1.

В теории все просто: оператор должен открыть сам закон, внимательно вчитаться в статьи 18.1 и 19 закона и реализовать их в жизни. Но на практике все гораздо сложнее, потому что для реализации указанных статей закона нужно иметь понимание требований, а, столкнувшись с общими формулировками закона, неподготовленному (не опытному) читателю понять их совсем не просто.

В итоге без внешней помощи не обойтись. А тем, кто все же отважился реализовать требование статей закона самостоятельно, нужна перепроверка от компетентной организации.

Заказать обратный звонок и получить полное понимание за 10 минут
ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Что такое аудит по 152-ФЗ?

Под аудитом понимается обследование, анализ и оценка соответствия/готовности требованиям закона и(или) регулятора, проводимые внешней организацией. Аудит по 152-ФЗ делится на два направления: аудит соответствия требованиям закона (проверка правильности и объема выполнения требований закона) и аудит готовности к проверке Роскомнадзора (проверка готовности организации к проверке регулятора).

Если оператор провел подготовку по требованиям закона, то это не значит, что он готов пройти проверку уполномоченного регулятора (Роскомнадзора), так как на проверке запрашиваются дополнительные документы и сведения по предмету проверки. Поэтому любому оператору стоит обратиться за внешней помощью (к экспертной организации) для проверки соответствия/готовности требованиям закона и(или) регулятора.

Что входит в аудит по 152-ФЗ?

Сам аудит может проводиться как комплексом услуг, так и по отдельности:

  • аудит организационно-правовой готовности по статьям закона 18.1 и 19 закона (аудит состава и содержания организационно-распорядительной документации в части обработки и защиты персональных данных);
  • аудит реализации технических мер защиты по статье 19 закона (аудит защищенности информационных систем персональных данных или экспертиза результатов работ);
  • аудит готовности к проверке Роскомнадзора (проведение внутреннего контроля готовности к проверке Роскомнадзора: проверка оператора по типовому плану проверки Роскомнадзора, перепроверка наличия и подписания ОРД, инструктаж персонала, консультации).

Как проводится аудит по 152-ФЗ?

Порядок проведения аудита правового соответствия 152-ФЗ следующий:

Порядок проведения аудита реализации технических мер защиты следующий:

Порядок проведения аудита готовности к проверке Роскомнадзора следующий:
Вы можете узнать стоимость работ по аудиту в рамках 152-ФЗ: 8(800) 550-44-71
ЗАКАЗАТЬ ЗВОНОК

Аудит соответствия 152-ФЗ и аудит готовности к проверке Роскомнадзора: отличия.

Главное отличие состоит в том, что при реализации оператором требований 152-ФЗ разрабатываются организационно-распорядительные документы в объеме, требуемом для соответствия законодательству, а при проверке Роскомнадзора, на самой проверке запрашиваются еще дополнительные документы и сведения по предмету проверки. Так как закон не содержит конкретный перечень документов для выполнения требований закона, в нем нет и перечня документов, необходимых для прохождения проверки Роскомнадзора. Поэтому операторы, не имеющие реальной практики, не могут однозначно сказать, соответствуют ли они закону и готовы ли они к проверке Роскомнадзора.

Чтобы стало понятно, приведем цифры:
Пакет документов для соответствия требованиям закона состоит примерно из 40 документов.
Пакет документов для прохождения проверки Роскомнадзора — плюс еще около 20 документов.
Итого полный пакет документов составляет около 60 документов.

Аудит по 152-ФЗ: цена вопроса.

Напомним, что аудит по 152-ФЗ делится на три направления:

  1. Аудит правовой готовности (аудит организационно-распорядительной документации по статьям 18.1 и 19 закона и подзаконным нормативно-правовым актам).
  2. Аудит реализации технических мер защиты (аудит защищенности информационных (компьютерных) систем по статье 19 закона).
  3. Аудит готовности к проверке Роскомнадзора (аудит готовности к проверке по типовому плану проверки Роскомнадзора и с учетом практики прохождения проверок).

Оператор может провести аудит самостоятельно или обратиться за квалифицированной помощью к компетентной организации. Внимание: аудит реализации технических мер защиты может выполнять только лицензиат ФСТЭК России с лицензией на техническую защиту конфиденциальной информации.

Цена аудита правовой подготовки варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от масштаба организации, которую проверяют (количества контрагентов у организации, количества и класса информационных систем, количества отделов и сотрудников и др.).

Цена аудита реализации технических мер защиты варьируется в диапазоне от 150 тыс. руб. до 1,5 млн. руб. в зависимости от масштаба, класса защищенности, сложности и территориальной распределённости ИСПДн.

Цена аудита готовности к прохождению проверки Роскомнадзора варьируется в диапазоне от 150 тыс. до 1,5 млн. в зависимости от срочности, т.е. в зависимости от того, сколько времени есть на подготовку. Сверхсрочные услуги, как правило, в два-три раза дороже чем с обычным сроком.

Обычно при заказе комплексного аудита по 152-ФЗ, включающего правовой, технический аудит и аудит готовности к проверке Роскомнадзора, общая стоимость услуг ниже, чем при заказе каждого вида аудита по отдельности.

Скачать коммерческое предложение на Аудит соответствия 152-ФЗ
СКАЧАТЬ PDF