Оценка эффективности мер защиты персональных данных

После разработки и интеграции системы защиты личной информации о физических лицах на предприятии возникает необходимость проанализировать её и подтвердить результативность. Для этого Федеральным законом № 152 и Приказом ФСТЭК № 21 предусмотрена оценка эффективности мер по обеспечению безопасности ПДн — комплекс мероприятий организационно-технического характера, по итогам которого составляется официальный протокол. На его основании можно начинать эксплуатацию ИСПДн.

В нормативно-правовых актах предусмотрено два способа организации проверочных мероприятий — усилиями самой организации либо путем привлечения сторонних специалистов, причем во втором случае допускается сотрудничество исключительно с лицензиатами ФСТЭК. Наш центр получил разрешение от Федеральной службы технического и экспортного контроля в 2012 году и имеет большой опыт анализа информационных систем безопасности ПДн у крупных компаний и малого бизнеса. Доверяя оценку профессионалам, вы можете быть уверенными в тщательности проверки, объективности экспертных заключений и правильности оформления текущей документации. Мы оказываем комплексный сервис, начиная от составления программы и методики оценки эффективности внедренных мер, заканчивая проведением испытаний подсистем СЗПДн и средств защиты. В результате заказчик получает официальный документ, который является подтверждением соответствия ИСПДн нормативам ФСТЭК.

Цели и особенности оценки эффективности защиты ПДн

Проверка информационной системы персональных данных осуществляется в обязательном и добровольном порядке и позволяет определить, насколько продуктивно она функционирует, точнее — справляются ли предусмотренные меры защиты со своими задачами, а именно:

• присутствуют ли все предусмотренные действующим законодательством элементы, насколько корректно они настроены и инсталлированы;
• имеется ли полный перечень документов по защите личной информации, отвечает ли он действующим правовым нормативам;
• назначены ли ответственные лица за обеспечение безопасности ПДн, насколько они компетентны и справляются с поставленными задачами;
• осведомлены ли пользователи системы в сфере защиты персональных данных;
• насколько в целом эффективна СЗПДн.

Для составления окончательного вердикта специалистам необходимо проанализировать соответствие организационно-техническим требованиям и произвести испытания внедренных защитных мер от потенциальных угроз. По итогам каждого теста и этапа заполняются протоколы, а выводы отражаются в итоговом заключении.

Что включают в себя оценочные мероприятия?

Перед началом работ сотрудники Центра разрабатывают методику, в которой описывается порядок исследований, описание объекта, список запланированных процедур, критерии и требования, которыми будут руководствоваться.

Непосредственно оценка эффективности защиты персональных данных включает в себя анализ:

• структурных особенностей системы;
• технологических нюансов обработки персональных данных субъектов;
• достаточности внутренней документации, её соответствия прописанным в нормативно-правовых актах требованиям;
• соответствия между структурой, составом программно-технической базы ИСПДн и подготовленной организационно-технической документацией;
• правильности определения уровней защищенности персональных данных и способов защиты для каждого из них;
• подготовленности персонала и распределения ответственности;
• наличия и результативности физической охраны ИСПДн;
• состояния и выполнения работ по поддержанию безопасности информационной системы.

Порядок проведения испытаний информационных систем ПДн

Чтобы удостовериться в том, что ИСПДн надежно защищена от несанкционированного проникновения, утечки данных и прочих угроз, наши сотрудники проводят с помощью специального оборудования и ПО испытания всех подсистем:

• учета и регистрации;
• контроля доступа;
• антивирусной защиты;
• поддержания целостности;
• межсетевого экранирования;
• выявления вторжений;
• каналов связи;
• оценки защищенности.

Оценочные работы включают также определение наличия предусмотренной законом документации (проектной, эксплуатационной), её соответствия комплексу программно-технических средств и степени выполнения правил использования СЗИ.