Особенности проведения аудита персональных данных (в соответствии с ПП-1119)

Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении требований о защите информации, не составляющих государственную тайну, содержащейся в государственных информационных системах»;
Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»;
Сборник руководящих документов по защите информации от несанкционированного доступа, Гостехкомиссия России, 1992 г.
Целью проведения аудита ИСПДн является оценка соответствия ИСПДн требованиям перечисленных документов.
Рассмотрим процесс аудита информационной безопасности ИСПДн с учетом требований ПП-1119.
Аудит информационной безопасности ИСПДн
2.1 Порядок проведения аудита ИБ ИСПДн
Аудит включает в себя:
анализ сведений о технологических и бизнес-процессах, связанных с персональными данными;
определение и описание состава персональных данных с указанием оснований и целей их обработки в организации;
определение структурных подразделений и работников, которые задействованы в обработке персональных данных, формирование перечня;
определение и описание документов с персональными данными, обрабатываемых вне информационных систем, указание условий хранения таких документов;
анализ информационных систем, в которых ведется обработка персональных данных;
определение и описание технических и программных средств (в том числе указание на расположение), которые используются информационными системами для обработки персональных данных, это позволит структурировать данные по текущему материально-техническому состоянию;
описание и анализ техпроцесса обработки персональных данных в информационных системах;
анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации;
описание текущего состояния уровня безопасности персональных данных и формирование рекомендаций, как обеспечить должную степень защиты персональных данных.
Работы по проведению аудита ИБ ИСПДн проводятся в порядке и объеме, приведенном на рисунке 1.