Оценка эффективности СЗПДн
Оценка эффективности СЗПДн – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов Российской Федерации в области защиты ПДн.
Необходимость проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных обусловлена требованием Приказа ФСТЭК России от 18.02.2013 №21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных России».
Оценка эффективности СЗПДн проводится самостоятельно или с привлечением сторонней организации в свободной форме, схожей с аттестацией на соответствие требованиям безопасности информации. Указанная оценка эффективности СЗПДн должна проводиться не реже одного раза в 3 года.
В рамках оценки эффективности СЗПДн оцениваются:
- предоставленная документация по защите персональных данных, ее достаточность и соответствие действующим нормативным документам по защите персональных данных;
- наличие всех необходимых установленных и корректно настроенных средств защиты информации на всех элементах ИСПДн;
- наличие лиц, ответственных за защиту персональных данных, а также навыки и знания этих лиц в сфере защиты ПДн;
- эффективность защитных мер в ИСПДн;
- осведомленность пользователей ИСПДн в вопросах информационной безопасности.
По результатам оценки оформляется заключение и протокол, подтверждающий полученные результаты.