Чек-лист для экспресс-аудита системы защиты ПДн
70% компаний обнаруживают пробелы в защите персональных данных только на проверке регулятора. Получите чек-лист самодиагностики и найдите уязвимости за 30 минут — самостоятельно.
Получить чек-лист бесплатно
Основан на реальных кейсах аудитов ITG Security
Цифры говорят сами за себя
70%
компаний имеют бреши в защите ПДн — и не знают об этом до проверки
3%
штраф за утечки персональных данных
В 60%
виновата не техника, а человеческий фактор
70%
компаний имеют бреши в защите ПДн — и не знают об этом до проверки
3%
штраф за утечки персональных данных
В 60%
виновата не техника, а человеческий фактор
Проверьте все контуры защиты данных
Чек-лист покрывает все зоны риска — от сайта и email до взаимодействия с подрядчиками и регулятором.
01. Внешний контур: клиенты и пользователи
Согласие на обработку ПДн, формы сбора, политика конфиденциальности на сайте, cookie, маркетинговые рассылки — всё, что касается ваших клиентов.
02. Внутренний контур: персонал и HR
Избыточность сбора данных сотрудников, согласие на передачу ПДн третьим лицам, обучение персонала, разграничение доступов.
03. Контур взаимодействия: подрядчики
Договор поручения на обработку ПДн, NDA, контроль законности передачи данных за периметр компании.
04. Регуляторный контур: государственные органы
Уведомление РКН о начале обработки, процедура реагирования на инциденты (24 часа), работа с запросами от Роскомнадзора.
05. Организационные меры
Назначен ли ответственный за ПДн, есть ли классификация ИСПДн, план реагирования на утечки, контроль сроков хранения данных.
06. Технические меры защиты
Изолированность хранения, разграничение доступа, наличие DLP/AV/EDR, мониторинг событий ИБ, резервное копирование.
Что чаще всего находят на проверке
Документы есть, процессы не работают
Формальные политики оформлены, но уведомление РКН не соответствует реальной обработке, доступы и роли не контролируются
Проблемы с согласиями
Согласие на обработку ПДн и на маркетинговые рассылки не разделены, включены в другие документы или отсутствуют полностью
Нет контроля над подрядчиками
ПДн передаются третьим лицам без договора поручения и NDA — серьёзный риск при аудите или инциденте
Нет плана на случай утечки
При инциденте компания обязана уведомить регулятора за 24 часа. Без готового плана реагирования это почти невозможно
Документы есть, процессы не работают
Формальные политики оформлены, но уведомление РКН не соответствует реальной обработке, доступы и роли не контролируются
Проблемы с согласиями
Согласие на обработку ПДн и на маркетинговые рассылки не разделены, включены в другие документы или отсутствуют полностью
Нет контроля над подрядчиками
ПДн передаются третьим лицам без договора поручения и NDA — серьёзный риск при аудите или инциденте
Нет плана на случай утечки
При инциденте компания обязана уведомить регулятора за 24 часа. Без готового плана реагирования это почти невозможно
