Построение системы защиты персональных данных в организации является сложным многоэтапным процессом, состоящим из следующих основных этапов: обследование, проектирование и внедрение. Распространённым случаем является то, что на этом организация-оператор останавливается, посчитав, что завершение проекта по созданию комплексной системы по защите персональных данных означает полное выполнение всех требований к безопасности. Однако это не так, поскольку кроме выполнения всех установленных требований необходимо обеспечить контроль их исполнения и необходимо постоянно совершенствовать систему исходя из результатов периодического анализа. Следует регулярно (не реже одного раза в год) проводить в организации-операторе процедуры мониторинга и анализа обеспечения безопасности персональных данных – внутренний аудит.
Аудит – систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев.
Аудит защиты информации позволит получить следующую информацию:
– соответствует ли система обработки и защиты персональных данных требованиям, предъявляемым законодательством;
– все ли процессы и системы обработки и защиты персональных данных эффективно реализованы.
Обработка и защита информации и персональных данных в организации выполняется в соответствии с ожиданиями, сформированными при проектировании и внедрении системы защиты персональных данных.
Критериями при мониторинге и анализе системы защиты информации могут быть:
1) Требования регулирующих органов (ФЗ «О персональных данных» № 152-ФЗ от 27 июля 2007 года с поправками от 25 июля 2011 года, руководящие и методические документы ФСТЭК России и ФСБ России и др.);
2) Требования внутренних организационно-распорядительных документов (приказов, положений, регламентов, инструкций и др.), регламентирующих обработку и защиту персональных данных в организации;
3) Требования корпоративных стандартов, технических заданий на системы и средства защиты информации;
4) Согласованные и документированные требования партнеров и клиентов.
Основными факторами, влияющими на эффективность аудиторской проверки, являются:
– наличие полной и актуальной информации о требованиях к системе обработки и защиты персональных данных, для чего необходимо регулярно отслеживать появление новых редакций руководящих документов, корректировок к ним, а также добиваться от представителей регулирующих органов разъяснений требований к обработке и защите персональных данных;
– обеспечение объективности результатов аудита. Необходимая объективность результатов