Аудит процессов обработки персональных данных

АУДИТ СОСТОЯНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Аудит состояния системы защиты информационных систем персональных данных включает в себя следующие процессы:
  •  интервьюирование сотрудников аудируемой организации
  •  экспертно-документальный анализ полученной информации
  •  инструментальные измерения

Заказать услугу
Интервьюирование сотрудников
В ходе интервьюирования сотрудников:
  •  определяются владельцы информации и её пользователи
  •   идентифицируются услуги и определяется, каким образом они предоставляются конечным пользователям;
  •   идентифицируются основные виды приложений, функционирующие в информационной системе персональных данных;
  •  определяется, как информационная система персональных данных взаимодействует с другими системами.
Экспертно-документальный анализ
В ходе экспертно-документального анализа технической и организационно-распорядительной документации по защите персональных данных происходит анализ:
  •  функциональных схем
  •  описание основных технических решений
  •  проектной и рабочей документации на информационную систему персональных данных и т.д.
Состав оказываемых услуг в контексте инструментальных измерений
В услуги по аудиту информационной системы персональных данных входит:
  •  комплексный аудит защищенности технологической ИТ-инфраструктуры информационной системы персональных данных;
  • контроль корректности устранения обнаруженных уязвимостей.
Оценка величины рисков, связанных с возможностью осуществления угроз безопасности в отношении информационной системы персональных данных и текущего уровня защищенности.
По завершению аудита состояния системы защиты информационных систем персональных данных производится оценка рисков, связанных с возможностью осуществления угроз безопасности в отношении информационной системы персональных данных и текущего уровня защищенности. Данный этап включает:
  • Определение объема, перечня, категорий обрабатываемых персональных данных субъектов в Компании.
  • Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз, а также величина ущерба, наносимого Компании в случае успешного осуществления угроз.
  • Оценка соответствия состояния защищенности информационной системы персональных данных актуальным требованиям нормативных документов в области защиты информации ФСТЭК России и ФСБ России.