Аудит информационных систем персональных данных (ИСПДН) — это проверка уровня защиты информационной системы персональных данных на соответствие требованиям законодательства РФ.
Цели и задачи аудита:
- оценить степень защищенности информации и состояние информационных систем;
- проанализировать соответствие уровня безопасности информационных систем актуальным стандартам и нормативно-правовым актам;
- разработать и передать клиенту рекомендации, которые помогут устранить обнаруженные проблемы и несоответствия.
Аудит включает в себя:
- анализ сведений о технологических и бизнес-процессах, связанных с персональными данными;
- определение и описание состава персональных данных с указанием оснований и целей их обработки в организации;
- определение структурных подразделений и работников, которые задействованы в обработке персональных данных, формирование перечня;
- определение и описание документов с персональными данными, обрабатываемых вне информационных систем, указание условий хранения таких документов;
- анализ информационных систем, в которых ведется обработка персональных данных;
- определение и описание технических и программных средств (в том числе указание на расположение), которые используются информационными системами для обработки персональных данных, это позволит структурировать данные по текущему материально-техническому состоянию;
- описание и анализ техпроцесса обработки персональных данных в информационных системах;
- анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации;
- описание текущего состояния уровня безопасности персональных данных и формирование рекомендаций, как обеспечить должную степень защиты персональных данных.