Аудит состояния системы защиты информационных систем персональных данных включает в себя следующие процессы:
- интервьюирование сотрудников аудируемой организации
- экспертно-документальный анализ полученной информации
- инструментальные измерения
Интервьюирование сотрудников
В ходе интервьюирования сотрудников:
- определяются владельцы информации и её пользователи
-
идентифицируются услуги и определяется, каким образом они предоставляются конечным пользователям;
-
идентифицируются основные виды приложений, функционирующие в информационной системе персональных данных;
- определяется, как информационная система персональных данных взаимодействует с другими системами.
Экспертно-документальный анализ
В ходе экспертно-документального анализа технической и организационно-распорядительной документации по защите персональных данных происходит анализ:
- функциональных схем
- описание основных технических решений
- проектной и рабочей документации на информационную систему персональных данных и т.д.
Состав оказываемых услуг в контексте инструментальных измерений
В услуги по аудиту информационной системы персональных данных входит:
- комплексный аудит защищенности технологической ИТ-инфраструктуры информационной системы персональных данных;
- контроль корректности устранения обнаруженных уязвимостей.
Оценка величины рисков, связанных с возможностью осуществления угроз безопасности в отношении информационной системы персональных данных и текущего уровня защищенности.
По завершению аудита состояния системы защиты информационных систем персональных данных производится оценка рисков, связанных с возможностью осуществления угроз безопасности в отношении информационной системы персональных данных и текущего уровня защищенности. Данный этап включает:
- Определение объема, перечня, категорий обрабатываемых персональных данных субъектов в Компании.
- Идентификация существующих угроз безопасности и уязвимостей, делающих возможным осуществление угроз, а также величина ущерба, наносимого Компании в случае успешного осуществления угроз.
- Оценка соответствия состояния защищенности информационной системы персональных данных актуальным требованиям нормативных документов в области защиты информации ФСТЭК России и ФСБ России.