Главная \ Услуги \ Оценка эффективности мер защиты информационных систем персональных данных

Оценка эффективности мер защиты информационных систем персональных данных

Оценка эффективности мер защиты информационных систем персональных данных (аттестация, декларирование соответствия ИСПДн)
  • описание объекта оценки;
  • порядок проведения оценки;
  • перечень процедур оценки;
  • требования к содержанию проверок и испытаний;
  • критерии оценки, характеризующей успешное прохождение проверок и испытаний.
Оценка соответствия ИСПДн организационно-техническим требованиям по защите ПДн может осуществляться в следующем порядке:
  • анализ структуры ИСПДн и технологического процесса обработки информации;
  • оценка достаточности разработанных внутренних нормативных актов и соответствия их содержания требованиям по безопасности информации;
  • оценка правильности выбора уровней защищенности ПДн и мер защиты;
  • оценка соответствия состава и структуры программно-технических средств ИСПДн представленной документации;
  • оценка состояния организации работ и выполнения организационно-технических требований по защите информации;
  • оценка достаточности мер физической охраны технических средств информационной системы;
  • оценка уровня подготовки кадров и распределения ответственности персонала.
Испытания ИСПДн на соответствие требованиям по защищенности ПДн от угроз безопасности ПДн могут проводиться в следующей последовательности (в зависимости от состава подсистем и средств защиты):
  • наличие необходимой проектной, рабочей и эксплуатационной документации;
  • оценка соответствия проектной документации состава и структуры программно-технических средств СЗПДн;
  • оценка выполнения требований формуляров СЗИ и СКЗИ, правил эксплуатации СЗИ и СКЗИ и условий действия сертификатов;
  • испытания подсистемы управления доступом;
  • испытания подсистемы регистрации и учета;
  • испытания подсистемы обеспечения целостности;
  • испытания подсистемы антивирусной защиты;
  • испытания подсистемы анализа защищенности;
  • испытания подсистемы обнаружения вторжений;
  • испытания подсистемы межсетевого экранирования;
  • испытания подсистемы защиты каналов связи;
  • испытания защищенности комплекса программно-технических средств ИСПДн в целом, в том числе с использованием сканеров безопасности.
В случае выявления несоответствия ИСПДн установленным требованиям по защите информации необходимо разработать предложения по устранению выявленных недостатков и нарушений по возможности до окончания оценки. При этом могут применяться следующие меры:
  • доработка организационно-распорядительной документации;
  • исключение отдельных средств из состава ИСПДн;
  • внесение дополнительных настроек в СЗПДн и изменение рабочей и эксплуатационной документации;
  • применение дополнительных организационно-технических мер защиты;
  • применение дополнительных сертифицированных средств защиты информации.
По результатам оценки оформляется заключение.
Окончательной процедурой являеться процедура аттестации
Порядок проведения аттестации ИСПДн регламентируется:
  • национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.