После разработки и интеграции системы защиты личной информации о физических лицах на предприятии возникает необходимость проанализировать её и подтвердить результативность. Для этого Федеральным законом № 152 и Приказом ФСТЭК № 21 предусмотрена оценка эффективности мер по обеспечению безопасности ПДн — комплекс мероприятий организационно-технического характера, по итогам которого составляется официальный протокол. На его основании можно начинать эксплуатацию ИСПДн.
В нормативно-правовых актах предусмотрено два способа организации проверочных мероприятий — усилиями самой организации либо путем привлечения сторонних специалистов, причем во втором случае допускается сотрудничество исключительно с лицензиатами ФСТЭК. Наш центр получил разрешение от Федеральной службы технического и экспортного контроля в 2012 году и имеет большой опыт анализа информационных систем безопасности ПДн у крупных компаний и малого бизнеса. Доверяя оценку профессионалам, вы можете быть уверенными в тщательности проверки, объективности экспертных заключений и правильности оформления текущей документации. Мы оказываем комплексный сервис, начиная от составления программы и методики оценки эффективности внедренных мер, заканчивая проведением испытаний подсистем СЗПДн и средств защиты. В результате заказчик получает официальный документ, который является подтверждением соответствия ИСПДн нормативам ФСТЭК.
Цели и особенности оценки эффективности защиты ПДн
Проверка информационной системы персональных данных осуществляется в обязательном и добровольном порядке и позволяет определить, насколько продуктивно она функционирует, точнее — справляются ли предусмотренные меры защиты со своими задачами, а именно:
- присутствуют ли все предусмотренные действующим законодательством элементы, насколько корректно они настроены и инсталлированы;
- имеется ли полный перечень документов по защите личной информации, отвечает ли он действующим правовым нормативам;
- назначены ли ответственные лица за обеспечение безопасности ПДн, насколько они компетентны и справляются с поставленными задачами;
- осведомлены ли пользователи системы в сфере защиты персональных данных;
- насколько в целом эффективна СЗПДн.
Для составления окончательного вердикта специалистам необходимо проанализировать соответствие организационно-техническим требованиям и произвести испытания внедренных защитных мер от потенциальных угроз. По итогам каждого теста и этапа заполняются протоколы, а выводы отражаются в итоговом заключении.
Что включают в себя оценочные мероприятия?
Перед началом работ сотрудники Центра разрабатывают методику, в которой описывается порядок исследований, описание объекта, список запланированных процедур, критерии и требования, которыми будут руководствоваться.
Непосредственно оценка эффективности защиты персональных данных включает в себя анализ:
- структурных особенностей системы;
- технологических нюансов обработки персональных данных субъектов;
- достаточности внутренней документации, её соответствия прописанным в нормативно-правовых актах требованиям;
- соответствия между структурой, составом программно-технической базы ИСПДн и подготовленной организационно-технической документацией;
- правильности определения уровней защищенности персональных данных и способов защиты для каждого из них;
- подготовленности персонала и распределения ответственности;
- наличия и результативности физической охраны ИСПДн;
- состояния и выполнения работ по поддержанию безопасности информационной системы.
Порядок проведения испытаний информационных систем ПДн
Чтобы удостовериться в том, что ИСПДн надежно защищена от несанкционированного проникновения, утечки данных и прочих угроз, наши сотрудники проводят с помощью специального оборудования и ПО испытания всех подсистем:
- учета и регистрации;
- контроля доступа;
- антивирусной защиты;
- поддержания целостности;
- межсетевого экранирования;
- выявления вторжений;
- каналов связи;
- оценки защищенности.
Оценочные работы включают также определение наличия предусмотренной законом документации (проектной, эксплуатационной), её соответствия комплексу программно-технических средств и степени выполнения правил использования СЗИ.