Информационная безопасность – это состояние защищенности информации, при котором обеспечены ее конфиденциальность, целостность и доступность.
Персональные данные – это любая информация, относящаяся, прямо или косвенно, к определенному, или определяемому физическому лицу (субъекту персональных данных). То есть, если по информации можно определить физическое лицо, к которому она относится – такая информация является персональными данными. Например, такие сведения как имя, фамилия, отчество и год рождения являются персональными данными, так как они позволяют определить конкретного человека. Требования по защите ПДн отражены в Федеральном законе «О персональных данных» № 152-ФЗ и других нормативно-правовых документах.
Средство защиты информации – техническое, программное, программно-техническое средство, предназначенное или используемое для защиты информации.
Средства защиты можно классифицировать по следующим категориям:
Для того, чтобы организации понять, какие меры необходимо предпринять для защиты обрабатываемой информации или определить достаточность уже принятых мер защиты, компании необходимо провести аудит информационной безопасности.
Аудит информационной безопасности – это оценка соответствия процесса обработки защищаемой информации требованиям текущего законодательства, проводимая внешней организацией. Если говорить об аудите информационной безопасности ПДн, то в таком случае необходимо проводить оценку соответствия системы защиты ПДн требованиям регуляторов.
В соответствии с требованиями 152-ФЗ оператор ПДн обязан принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом, в том числе проводить внутренний контроль или аудит соответствия обработки персональных данных федеральному закону и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки ПДн, локальным актам оператора.
Если аудит в части выполнения организационных мер и наличия необходимой документации организация может провести сама или обратиться за помощью к экспертным компаниям, то аудит в части реализации технических мер, предусмотренных требованиями ПП РФ № 1119, Приказа ФСТЭК России № 21, Приказа ФСБ № 378 (при необходимости), необходимо проводить с привлечением организаций, имеющих лицензию ФСТЭК России на соответствующий вид деятельности (ФСБ России).