При создании любой информационной системы на базе современных компьютерных технологий неизбежно возникает вопрос о защищенности этой системы от угроз безопасности информации и принятии решения по устранению этих угроз. Но прежде чем решить, как и от кого защищать ПДн, необходимо понять реальное положение в области обеспечения безопасности ПДн и оценить степень их защищенности. Для этого проводится обследование защищенности ПДн, обрабатываемых в информационных системах ПДн (ИСПДн), результаты которого, основанные на выявленных угрозах безопасности информации и оценке рисков нанесения возможного ущерба субъекту ПДн, позволят:
Под термином обследование защищенности ПДн понимается системный процесс получения и оценки объективных данных о текущем состоянии их защиты.
НТЦ «Вулкан» в интересах заказчика выполняет работы по обследованию защищенности ПДн, обрабатываемых в ИСПДн.
Работы по обследованию защищенности ПДн в ИСПДн осуществляется на основе исходных данных. Сбор исходных данных проводится с целью получения первичной (исходной) информации по обследуемой ИСПДн. При сборе исходных данных используются методы:
Как правило, заказчиком, по запросу исполнителя, предоставляются исходные данные, однако, для получения более полного объема исходных данных может быть применен метод анкетирования (интервьюирования) персонала объекта, пользователей ИСПДн по опросным листам в ходе которого удается собрать до 70% всего объема информации, необходимой для анализа.
На разных этапах обследования используются различные методы: технические, аналитические, экспертные, расчетные. При этом, результаты, полученные одними методами, могут дублироваться (дополняться) результатами, полученными другими методами. Совокупность всех применяемых методов позволяет дать объективную оценку состояния обеспечения безопасности ПДн в обследуемой ИСПДн.
При необходимости, для объективного подтверждения реального состояния безопасности информации и возможности причинения ущерба субъектам ПДн при активизации возможных уязвимостей, проводится инструментальный анализ защищенности ИСПДн.
Анализ и оценка соответствия состояния защищенности ПДн основывается на выработке несколькими экспертами согласованного мнения о реальном состоянии защиты информации в ИСПДн на основании:
На этапе разработки предложений на основании проведенных оценок составляется перечень реализованных мер защиты информации. Полученный перечень сопоставляется с требуемыми мерам и делается вывод необходимых для обеспечения требуемого уровня защищенности ПДн.
Оценка позволяет определить оптимальные направления работ по повышению уровня защищенности ПДн, а также служит исходными данными для выбора мер по обеспечению безопасности ПДн, подлежащих реализации в ИСПДн.