Итоговое мероприятие оценки соответствия созданной системы защиты персональных данных. Может проводиться в свободной форме, но, как правило, проводится в форме, схожей с аттестацией объекта информатизации. В отличие от аттестации, оценка эффективности может проводиться оператором персональных данных самостоятельно, но в случае привлечения сторонних организаций, такая организация должна иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Необходимость проведения оценки эффективности принятых мер обусловлена пунктом 6 документа «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены приказом ФСТЭК России № 21 от 18 февраля 2013 года).
Оценка эффективности принятых мер по защите информации осуществляется после фактического внедрения всех организационных и технических мер, сформулированных в техническом задании на создание системы защиты персональных данных в ИСПДн. Перед началом проведения оценки эффективности принятых мер как правило составляется документ «Программа и методики оценки эффективности принятых мер», в котором описаны ее цели и задачи, а также основные инструменты и методики, с помощью которых будет осуществляться данное мероприятие.
Во время оценки эффективности принятых мер оцениваются:
— предоставленная документация по защите персональных данных, ее достаточность и соответствие действующим нормативным документам по защите персональных данных;
— наличие всех необходимых установленных и корректно настроенных средств защиты информации на всех элементах ИСПДн;
— наличие лиц, ответственных за защиту персональных данных, а также навыки и знания этих лиц в сфере защиты информации;
— эффективность защитных мер в ИСПДн;
— осведомленность пользователей ИСПДн в вопросах информационной безопасности;
— другие вопросы.
Все проводимые тесты и их результаты фиксируются в протоколе оценки эффективности принятых мер. Итоговый результат фиксируется в заключении по итогам оценки эффективности принятых мер по защите персональных данных.