Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных

Необходимость проведения оценки эффективности принятых мер обусловлена пунктом 6 документа «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены приказом ФСТЭК России № 21 от 18 февраля 2013 года).
Оценка эффективности принятых мер по защите информации осуществляется после фактического внедрения всех организационных и технических мер, сформулированных в техническом задании на создание системы защиты персональных данных в ИСПДн. Перед началом проведения оценки эффективности принятых мер как правило составляется документ «Программа и методики оценки эффективности принятых мер», в котором описаны ее цели и задачи, а также основные инструменты и методики, с помощью которых будет осуществляться данное мероприятие.
Во время оценки эффективности принятых мер оцениваются:
— предоставленная документация по защите персональных данных, ее достаточность и соответствие действующим нормативным документам по защите персональных данных;
— наличие всех необходимых установленных и корректно настроенных средств защиты информации на всех элементах ИСПДн;
— наличие лиц, ответственных за защиту персональных данных, а также навыки и знания этих лиц в сфере защиты информации;
— эффективность защитных мер в ИСПДн;
— осведомленность пользователей ИСПДн в вопросах информационной безопасности;
— другие вопросы.
Все проводимые тесты и их результаты фиксируются в протоколе оценки эффективности принятых мер. Итоговый результат фиксируется в заключении по итогам оценки эффективности принятых мер по защите персональных данных.