Обследование (аудит) ИСПДн
Аббревиатура ИСПДн расшифровывается как информационная система персональных данных. Это – комплексные сведения о персональных данных, сохраняющиеся в базах, а также технологии и техника, с помощью которых сведения обрабатываются. Эффективность средств контроля над защитой информации оценивается с помощью аудита. Он представляет собой независимую оценку состояния ИСПДн, систему ее защиты, способность противостоять угрозам проникновения, поиск уязвимостей и планирование стратегии по их устранению. Наша компания “Информационная безопасность” оценивает степень защиты сведений с 2010 года. Наша организация – это часть группы компании “АЗОРТ”. Мы предлагаем объективную проверку ИСПДн.
Предмет аудита
Аудит направлен на оценку надежности системы. Он выявляет, насколько качественно хранятся и передаются данные, насколько эффективно защищены. В первую очередь, нужно установить предмет аудита. Для разных областей бизнеса используются различные категории данных. Предметом аудита могут стать:
Таким образом, до начала аудита необходимо определить, что именно будет анализироваться.
Цель аудита
Основной целью аудита становится оценка соблюдения принципов конфиденциальности при хранении сведений. Эти принципы разработаны согласно законодательству и действующим стандартам. Информация о персональных данных и ее защита регулируется рядом законов и постановлений, к примеру, ФЗ № 152 “О персональных данных”, Постановлением Правительства РФ от 13.02.2019 N 146 и т.д. Также цель аудита – разработка рекомендаций по устранению обнаруженных уязвимостей в системе.
Область для оценки
Не менее важно определить объем документации и технологий, который должен быть проверен. В каждой ситуации определяются пределы аудита. Областью проверки могут стать:
Таким образом, результаты проверки напрямую зависят от области. Аудит может быть сосредоточен на конкретном ИТ-процессе, в этом случае его область действия будет включать системы, используемые для создания данных, для выполнения или для управления ИТ-процессом. Проверка, сфокусированная на конкретной области бизнеса, будет включать системы, необходимые для поддержки бизнес-процесса. Аудит, который фокусируется на конфиденциальности данных, будет охватывать технологические элементы управления, обеспечивающие контроль конфиденциальности в любой базе данных, файловой системе или сервере приложений.
В этой связи нужно просчитать уровень риска. Его оценка имеет решающее значение для установления окончательного объема аудита. Чем выше риск, тем значительнее потребность в безопасности системы.
Результаты аудита
В результате аудита выявляется степень защиты данных, которые подверглись проверке. Оценивается надежность защитных мероприятий информации от неправомерного использования или нанесения вреда. В зависимости от предмета и области аудита результатами могут стать:
В результате аудита будут получены сведения об уровне безопасности, а также будут сформированы рекомендации по устранению рисков и повышению качества защиты ИСПДн.