Любую большую работу с чего-то нужно начинать. Работы по созданию системы защиты персональных данных всегда начинаются с аудита информационных систем персональных данных и процессов обработки персональных данных.
Аудит информационных систем персональных данных (ИСПДн) позволяет дать ответы на следующие вопросы:
— наличие/отсутствие ответственных за функционирование ИСПДн, перечень приказов о назначении ответственных за функционирование ИСПДн и за защиту информации в ней;
— цели создания ИСПДн и задачи, решаемые этой ИСПДн;
— перечень данных (наименование полей в базах данных, или электронных таблицах, содержание документов), в совокупности позволяющих отнести персональные данные к определенному типу (специальные, биометрические, иные или общедоступные);
— места хранения персональных данных;
— технологические процессы обработки информации в ИСПДн и используемые для этого информационные технологии;
— состав программного обеспечения, используемого при обработке персональных данных в ИСПДн;
— общесистемные и прикладные программные средства, используемые (планируемые к использованию) в ИСПДн;
— наличие утвержденной и реализованной технически системы разграничения прав доступа к персональным данным у пользователей ИСПДн;
— физические и логические связи между компонентами ИСПДн, другими информационными системами, в том числе с сетями общего пользования;
— функциональные и технологические связи, как внутри информационной системы, так и с другими системами различного уровня и назначения;
— степень ущерба в результате нарушения каждого из свойств безопасности (конфиденциальность, целостность, доступность) по отдельности;
— категории субъектов персональных данных;
— количество субъектов персональных данных;
— наличие и состав документов, регламентирующих процесс обработки данных в ИСПДн (регламенты, соглашения по организации информационного взаимодействия, положения о конфиденциальности и т.п.) в соответствии с требованиями нормативных правовых актов в зависимости от уровня защищенности персональных данных, обрабатываемых в ИСПДн;
— наличие и содержание должностных инструкций и оценка уровня подготовки лиц, администрирующих средства защиты информации в информационной системе;
— наличие и содержание должностных инструкций персонала и оценка уровня подготовки персонала, участвующего в обработке персональных данных;
— правильность определения уровня защищенности персональных данных (если уровень защищенности персональных данных уже установлен);
— наличие сертифицированных средств защиты информации в ИСПДн (если необходимо), в соответствии с требованиями документов в зависимости от уровня защищенности персональных данных;
— другие данные.
Результаты аудита могут быть оформлены как в виде отдельного отчета, так и внесены в документацию, в дальнейшем разрабатываемую для ИСПДн.