На главную
Карта сайта
Написать письмо в АСПЕКТ СПб
Главная /  О компании /  История /  Прошедшие мероприятия / Межблогерский вебинар «Аудит процессов обработки и защиты персональных данных»

12.08.20 Межблогерский вебинар «Аудит процессов обработки и защиты персональных данных»

Аудит процессов обработки и защиты персональных данных (ПДн) — одна из ключевых практик информационной безопасности, внедрение которой позволяет поддерживать соответствие требованиям. Организация аудитов вызывает множество вопросов у руководителей организаций и у лиц, ответственных за организацию обработки персональных данных (ЛОООПДн). На межблогерском вебинаре 12 августа 2020 года пять экспертов обсудили стратегии проведения аудитов, поделились опытом из своей практики и предупредили о «подводных камнях». Опыт внешнего аудитора представил Сергей Городилов, руководитель отдела информационной безопасности АСПЕКТ СПб.

Видеозапись вебинара «Аудит процессов обработки и защиты персональных данных» (2:50:25)

Вопросы вебинара:

  • Зачем нужно проводить аудит соответствия по 152-ФЗ? Два вида целей.
  • В каких случаях необходим внешний аудит, а в каких — внутренний контроль? Плюсы и минусы проведения аудита своими силами.
  • Кто должен проводить контроль – ЛОООПДн или рабочая группа/комиссия?
  • Какие требования компетентности предъявляются к аудитору? Какие полномочия нужны аудитору?
  • Нужно ли планировать проверки? Нужно ли заранее уведомлять проверяемых?
  • Что входит в область работ по аудиту? Что проверять и какие свидетельства собирать? Что включить в опросный лист?
  • Какие результаты деятельности по проверке (артефакты) могут появляться? Свидетельства аудита. Составление отчета.
  • Что делать с выявленными несоответствиями?
  • Как оценивать компетентность и квалификацию проверяемых?
  • Можно ли проводить проверку удаленно? Когда необходимо выходить на места?
  • Что делать, если объект не готов к аудиту?
  • Полезные советы из опыта работы.

По мнению Сергея Городилова, компетентность — ключевое условие для обеспечения информационной безопасности. Второе важное условие — результативное выполнение требований информационной безопасности сотрудниками организаций. Главным инструментом для этого являются аудиты. Выбор внешнего или внутреннего аудита зависит от целей, которые ставит менеджмент организации, а также от имеющихся ресурсов и уровня компетентности. Если цель — повышение уровня требований, то нужен внешний аудит. Независимый внешний аудит позволяет выявить риски, проблемы и точки роста, получить авторитетную точку зрения, завалидировать собственные подходы. Внутренний аудит (контроль) необходим как дисциплина, позволяющая достигать и непрерывно поддерживать соответствие требованиям информационной безопасности и необходимый уровень компетентности.

В области информационной безопасности Сергей Городилов работает 18 лет. За это время он принимал участие в 150 проектах по ИБ, из них 100 — по защите персональных данных. Преподавал в ВятГУ курс «Методы и средства защиты компьютерной информации». Для Министерства образования Кировской области на общественных началах проводил учебный курс по защите персональных данных для образовательных организаций.

 
© АСПЕКТ СПб, 2020. Все права защищены.