Аудит работы с персональными данными теперь обязателен

Автор: Людмила Диордиева, CIA, директор по внутреннему аудиту ООО «Интер РАО – Управление электрогенерацией», член Ассоциации «Институт внутренних аудиторов»1

Оксана Прищепа, старший аудитор ООО «Интер РАО – Управление электрогенерацией»

Персональные данные (далее – ПДн), обладая ценностью на теневом рынке, становятся желаемым объектом для злоумышленников. Согласно данным отчета экспертно-аналитического центра InfoWatch, за период 2017-2022 гг. утечки ПДн имеют положительный тренд (см. рис. 1), а также внешний и «гибридный вектор воздействия»2. В 2022 году 80% нарушений внутреннего характера отнесены к категории умышленных. Причиной роста, в частности, являются развитие информационных систем, обрабатывающих персональные данные, увеличение числа атак, связанных, в том числе с политической ситуацией в стране3.

Рис.1. Количество распространенных записей ПДн и платежной информации в РФ за 2017-2022 гг., млн записей

Рис. 2. Отраслевое распределение утечек информации в РФ за 2021-2022 гг.

Значительно чаще стали утекать ПДн из организаций отраслей промышленности, транспорта, торговли (рис. 2). Это связано как с внешними факторами (политической ситуацией в стране), так и с внутренними факторами, и может свидетельствовать о недостатках в обеспечении надежными средствами защиты баз данных организаций, содержащих значительный объем ПДн.

Изложенные факты в совокупности с ужесточением нормативных требований по обращению с ПДн, законодательным закреплением ответственности (в том числе уголовной) за их нарушение и существенным числом нарушений, выявляемых в ходе проверок Роскомнадзора4, обязывают проводить целевые проверки в организациях, являющихся операторами ПДн (далее – оператор ПДн).

С 1 сентября 2022 года оператор ПДн должен осуществлять внутренний контроль или аудит соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ-152) и принятых в соответствии с ним нормативных правовых актов, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора. Способ и порядок его проведения компания определяет самостоятельно в локальном нормативном акте (ч. 1 ст. 18.1 ФЗ-152).

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 ФЗ-152).

Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели такой обработки, состав персональных данных, а также совершаемые с ними действия (операции) (п. 1 ст. 3 ФЗ-152).

Для выполнения таких проверок предлагаем выполнение следующих аудиторских процедур:

Оценка соответствия внутренних документов, формализующих порядок обращения с ПДн (далее – ВНД и ОРД5), нормативно-правовым актам (далее – НПА). Данную процедуру можно осуществить посредством составления чек-листа, в котором указаны:

1) нормативно-правовые требования в части обращения с ПДн,

2) ссылки на требования ВНД, закрепляющие нормативные требования в части обращения с ПДн,

3) комментарии и (или) заключения аудитора относительно соответствия ВНД, формализующих порядок работы с персональными данными, требованиям НПА.

Основным документом, определяющим правила обработки данных, является Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных». Определенные нормы, содержащие правила обработки данных работников, содержатся в Трудовом кодексе РФ. Нормы технической защиты информационных систем персональных данных и условия их обработки отражены в Постановлении Правительства от 01.12.2012 № 1119, утвердившем требования к защите персональных данных при их обработке в информационных системах персональных данных. Во исполнение НПА, регулирующих работу с ПДн, принято множество подзаконных ведомственных актов.

К ВНД и ОРД можно отнести политику информационной безопасности, техническую политику в области информационных технологий, методику обработки персональных данных, правила работы пользователей с информационными системами и ресурсами, приказы о введении в действие перечней обрабатываемых ПДн, перечней информационных систем обрабатываемых ПДн, приказ об утверждении перечня помещений, в которых осуществляется обработка ПДн, аудит информационной безопасности и прочее.

Оценка соблюдения требований НПА, ВНД и ОРД, регламентирующих порядок обращения с ПДн. Данную процедуру можно осуществить посредством формирования чек-листа, в который будет включена информации о соблюдении оператором ПДн требований в области обработки ПДн.

Оценка контрольных процедур оператора ПДн, направленных на закрепление обязанностей по работе с ПДн, и контроль за ее эффективностью. В рамках данной процедуры можно, например, запросить перечень лиц / структурных подразделений организации, доступ которых к ПДн необходим для выполнения служебных обязанностей, а также должностные инструкции данных лиц и положения о структурных подразделениях, приказы о назначении администратора информационных систем и прочее.

Оценка соблюдения информационной безопасности при работе с ПДн. Данную процедуру можно провести посредством составления чек-листа, в котором указаны нормативные требования в части информационной безопасности, комментарии и (или) заключения аудитора относительно соответствия оператора ПДн этим требованиям. При определении подходов к оценке соблюдения информационной безопасности при работе с ПДн можно помимо федеральных законов использовать ГОСТ Р ИСО / МЭК 27007-2014 «Руководство по аудиту системы менеджмента информационной безопасности», а также результаты аудитов информационной безопасности, проведенных внешними органами и/или внутренними подразделениями организации (например, отделом информационной безопасности).

Оценка возможного ущерба от распространения ПДн (размер штрафов, возмещения морального вреда лицам, чьи персональные данные были утеряны по вине оператора ПДн). В настоящее время законодательно закреплены требования к оценке вреда от распространения данных, предполагающие определение его уровня: высокий, средний, низкий6.

При проведении аудиторских процедур возможно использование системы оценки соблюдения требований к работе с ПДн: например,

5 – соблюдается, 4 – скорее соблюдается,

3 – скорее не соблюдается, 2 – не соблюдается,

1 – требование не закреплено во внутренних нормативных документах.

При формировании аудиторского заключения следует учитывать рекомендации Роскомнадзора по обращению с ПДн7:

  • минимизировать список персональных данных для сбора и обработки. Лучше использовать только те сведения, которые реально нужны;

  • раздельно хранить личные сведения контрагентов, работников, соискателей;

  • хранить идентификаторы человека (Ф.И.О., электронную почту, телефон, адрес) и данные о взаимодействии с ним в базах данных, которые напрямую не связаны друг с другом.

Наделение аудиторов, осуществляющих внутренние проверки обращения с ПДн в организации, правом доступа к ПДн и полномочиями на обращение с ПДн является важной составляющей в организации такого рода проверок. Представляется, что данный вопрос может быть решен, к примеру, посредством включения аудиторов в перечень лиц, имеющих доступ к ПДн, на уровне соответствующего ВНД или ОРД организации. В трудовых договорах сотрудников служб внутреннего аудита должна быть закреплена обязанность по соблюдению конфиденциального режима обращения с ПДн, запрет на распространение ставших известными в ходе проверок сведений, относящихся к ПДн, а также ответственность за нарушение указанных правил.

Таким образом, аудит работы операторов ПДн уверенно входит в периметр проверок служб внутреннего аудита, обеспечивая, тем самым, заинтересованных лиц компании разумной уверенностью в надежности и эффективности процесса обработки персональных данных, а также минимизируя риски, связанные с несоблюдением требований по работе с ПДн (репутационный риск, риск привлечения к ответственности8 и сопутствующий риск несения ущерба в виде штрафов и расходов на компенсационные выплаты по заявлениям «пострадавших» от незаконного распространения ПДн).


1. Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

2. Воздействие как изнутри, так и снаружи информационного контура посредством сговора с сотрудниками организаций.

4. В период 2021 — 2022 гг. проведено не менее 9.7 тысяч проверок, в ходе которых (более 80% проверок) выявлены нарушения, взысканы штрафы в размере более 50 млн рублей.

5. Организационно-распорядительные документы.

6. Приказ Роскомнадзора от 27.10.2022 N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

7. Рекомендации Роскомнадзора операторам ПДн от 08.08.2023

8. Ст. 13.11 Кодекса об административных правонарушениях РФ, ст. 137 Уголовного кодекса РФ.

Комментарии закрыты