Обследование информационной системы

Стоит отметить, что обследование информационной системы представляет собой главный этап при проведении мероприятий, которые выполняются при защите ПДн. Также при помощи такого обследования можно создать структуру на описание различных объектов информации. Дополнительно можно оценить соответствие ИСПДн тем требованиям, которые установлены в документах, представляющих защиту ПДн.

Обследование информационных систем персональных данных представляет собой такие виды информации:

• организационная структура организации;
• структура информационной системы, ее технический программный состав;
• средства, а также методы, обеспечивающие безопасность;
• схемы различных помещений, используемые меры для физической безопасности.

Обследуются самые разнообразные проекты по теме: бизнес и финансы, промышленные отрасли, образование и наука. Если говорить о компаниях, то могут обследоваться такие системы, как 1С или программы, работающие еще с 2008-2009 годов. Но перед этим в первую очередь проводится предпроектное обследование информационной системы персональных данных. Данный этап по обработке ПДн представляет собой обследование (аудит) всей информационной системы. При этом выявляются и описываются рабочие места, где проводится деятельность по обработке ПДн, технологические процессы по защите ИСПДн. В результате всех выполненных действий составляется акт обследования информационных систем.

Акт обследования ИСПДн

Акт обследования информационной системы – это специальный документ, составляемый при обработке ПДн. В таком акте по обработке ПДн предоставляется весь перечень информации, в соответствии с которым проводились работы по обработке информационных данных. Сама проверка по защите ПДн осуществляется на основании внутреннего Приказа. Такие стандарты действовали еще в 2009 году и могли учитывать сведения даже из 1С.

Во время проверки ИСПДн проверяется состав, структура всех объектов по защите. Также проверяется конфигурация ИСПДн, режим обработки, перечень лиц, которые в ней участвуют, их права доступа, различные угрозы, которые могут нанести вред персонализированным данным. По завершению составления акта устанавливаются требуемые меры по защите ПДн, при этом в документ включается перечень мер, которые уже используются для такой защиты.

Данные по обработке информационной системы могут стать основой для самых разных документов, которые используются в деятельности компании. Кроме того, стоит отметить, что весь объем информации о структуре, составе различных объектов защиты обязательно включается в специальный перечень о защите персональных данных.

Информация о структуре, а также о составе всех обрабатываемых личных данных, различные конфигурации ИСПДн, режим, используемый при обработке – база, в соответствии с которой составляется Акт классификации по информационной системе личных сведений.

Данные о тех, кто допущен к обработке, а также об уровне такого доступа обязательно относят к Положению о разграничении всех прав доступа к используемым личным данным.

Полученные сведения об угрозах безопасности – это основа для составления такого документа, как Модель угроз по безопасности ПДн.

Если говорить о мерах защиты, то составляется специальный План мероприятий, в соответствии с которым составляется перечень таких мер.

Акт обследования информационной системы персональных данных (образец) вы сможете просмотреть на нашем сайте, чтобы иметь представление о том, каким образом составляется данный документ.