Аудит ИСПДн

Обследование (аудит) ИСПДн

Аббревиатура ИСПДн расшифровывается как информационная система персональных данных. Это – комплексные сведения о персональных данных, сохраняющиеся в базах, а также технологии и техника, с помощью которых сведения обрабатываются. Эффективность средств контроля над защитой информации оценивается с помощью аудита. Он представляет собой независимую оценку состояния ИСПДн, систему ее защиты, способность противостоять угрозам проникновения, поиск уязвимостей и планирование стратегии по их устранению. Наша компания “Информационная безопасность” оценивает степень защиты сведений с 2010 года. Наша организация – это часть группы компании “АЗОРТ”. Мы предлагаем объективную проверку ИСПДн.

Предмет аудита

Аудит направлен на оценку надежности системы. Он выявляет, насколько качественно хранятся и передаются данные, насколько эффективно защищены. В первую очередь, нужно установить предмет аудита. Для разных областей бизнеса используются различные категории данных. Предметом аудита могут стать:

социальные сети
информация, хранящаяся в “облаке”
аналитика баз данных
технологии слежения/наблюдения и т.д.

Таким образом, до начала аудита необходимо определить, что именно будет анализироваться.

Цель аудита

Основной целью аудита становится оценка соблюдения принципов конфиденциальности при хранении сведений. Эти принципы разработаны согласно законодательству и действующим стандартам. Информация о персональных данных и ее защита регулируется рядом законов и постановлений, к примеру, ФЗ № 152 “О персональных данных”, Постановлением Правительства РФ от 13.02.2019 N 146 и т.д. Также цель аудита – разработка рекомендаций по устранению обнаруженных уязвимостей в системе.

Область для оценки

Не менее важно определить объем документации и технологий, который должен быть проверен. В каждой ситуации определяются пределы аудита. Областью проверки могут стать:

  • определенное приложение;
  • технологический процесс;
  • хранение баз данных на конкретных устройствах и др.

    • Таким образом, результаты проверки напрямую зависят от области. Аудит может быть сосредоточен на конкретном ИТ-процессе, в этом случае его область действия будет включать системы, используемые для создания данных, для выполнения или для управления ИТ-процессом. Проверка, сфокусированная на конкретной области бизнеса, будет включать системы, необходимые для поддержки бизнес-процесса. Аудит, который фокусируется на конфиденциальности данных, будет охватывать технологические элементы управления, обеспечивающие контроль конфиденциальности в любой базе данных, файловой системе или сервере приложений.

    В этой связи нужно просчитать уровень риска. Его оценка имеет решающее значение для установления окончательного объема аудита. Чем выше риск, тем значительнее потребность в безопасности системы.

    Результаты аудита

    В результате аудита выявляется степень защиты данных, которые подверглись проверке. Оценивается надежность защитных мероприятий информации от неправомерного использования или нанесения вреда. В зависимости от предмета и области аудита результатами могут стать:

    Определение слабых мест в системе защиты баз данных. Оценка рисков поможет не только обнаружить проблему, но и предотвратить утечку данных при взломе, сбоях в системе, перебоях в работе и др.
    Обнаружение вторжений, которые обнаруживаются при отслеживании подозрительного поведения или действий. Это дает возможность скорректировать защиту. Она распространяется на интеллектуальную собственность, проекты, информацию о персонале, финансовую документацию и т.д.
    Контроль над поведением пользователей, который может предотвратить внедрение вирусов, неправильное или несанкционированное использование информации. Ответственность пользователя возрастает, так как его действия автоматически сохраняются и привязываются к его уникальной личности.

    В результате аудита будут получены сведения об уровне безопасности, а также будут сформированы рекомендации по устранению рисков и повышению качества защиты ИСПДн.

    Получить бесплатную консультацию специалиста  стрелка
    ЗАДАТЬ ВОПРОС