контроль за принимаемыми мерами по обеспечению безопасности персональных данных - Форум по вопросам информационной безопасности

Люди добрый проконсультируйте, пожалуйста.
В 152-ФЗ статьей 19 (ч. 2 п. 9) установлено требование:

2. Обеспечение безопасности персональных данных достигается, в частности:
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных

Не понятно, что имеет ввиду законодатель - какой контроль?
Внутренний?

И насколько это является обязательным?

Спасибо.

В п.8.8 приказе 21 ФСТЭК написано так:

>>> 8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

Влад
То есть для ИСПДн уровня УЗ3 и выше - необходимо проводить тестирование СЗИ и сканировать на уязвимости каким-нибудь xspider или Сканер ВС?

to Васек

Для вашей ИСПДн наверняка была оформлена организационно-распорядительная документация по которой требуется проводить те или иные регламентные работы. Например, раз в неделю проводить полную антивирусную проверку, сканирование уязвимостей и т.п. Всё это будут систематические мероприятия по анализу защищенности информационной системы.

В частности, для УЗ3, нужно выполнять:
- Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей;
- Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации;
- Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;
- Контроль состава технических средств, программного обеспечения и средств защиты информации.
Это написано в приказе 21 ФСТЭК.

Также, нужно проводить тестирование работоспособности системы защиты персональных данных. Обычно это делают в рамках ЕТК (ежегодного технического контроля) или контроля защиты информации на аттестованном объекте информатизации. За основу проверок можно взять программу и методику атт.испытаний, в которой как правило расписаны тесты для каждого СЗИ из состава системы защиты информации.