Что такое информационная безопасность

Информационная безопасность – это состояние защищенности информации, при котором обеспечены ее конфиденциальность, целостность и доступность.

Персональные данные – это любая информация, относящаяся, прямо или косвенно, к определенному, или определяемому физическому лицу (субъекту персональных данных). То есть, если по информации можно определить физическое лицо, к которому она относится – такая информация является персональными данными. Например, такие сведения как имя, фамилия, отчество и год рождения являются персональными данными, так как они позволяют определить конкретного человека. Требования по защите ПДн отражены в Федеральном законе «О персональных данных» № 152-ФЗ и других нормативно-правовых документах.

Средства защиты информационной безопасности

Средство защиты информации – техническое, программное, программно-техническое средство, предназначенное или используемое для защиты информации.

Средства защиты можно классифицировать по следующим категориям:

• по реализуемым функциям безопасности: средства защиты от несанкционированного доступа, средства антивирусной защиты, средства обнаружения вторжений, межсетевые экраны и т. д.;
• по привязке к аппаратной платформе: программные, аппаратные, программно-аппаратные;
• по месту (уровню) установки: уровень операционной системы, уровень хоста, уровень локальной сети, на границе сети и т. д.

Аудит информационной безопасности и аудит персональных данных

Для того, чтобы организации понять, какие меры необходимо предпринять для защиты обрабатываемой информации или определить достаточность уже принятых мер защиты, компании необходимо провести аудит информационной безопасности.

Аудит информационной безопасности – это оценка соответствия процесса обработки защищаемой информации требованиям текущего законодательства, проводимая внешней организацией. Если говорить об аудите информационной безопасности ПДн, то в таком случае необходимо проводить оценку соответствия системы защиты ПДн требованиям регуляторов.

В соответствии с требованиями 152-ФЗ оператор ПДн обязан принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом, в том числе проводить внутренний контроль или аудит соответствия обработки персональных данных федеральному закону и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки ПДн, локальным актам оператора.

Если аудит в части выполнения организационных мер и наличия необходимой документации организация может провести сама или обратиться за помощью к экспертным компаниям, то аудит в части реализации технических мер, предусмотренных требованиями ПП РФ № 1119, Приказа ФСТЭК России № 21, Приказа ФСБ № 378 (при необходимости), необходимо проводить с привлечением организаций, имеющих лицензию ФСТЭК России на соответствующий вид деятельности (ФСБ России).