|
В данной статье хотелось бы поподробнее осветить весь процесс аудита и аттестации информационных систем персональных данных (ИСПДн), - а как оно на практике?
Имея более пяти лет опыта работы в этой сфере, могу сказать, что на практике приходится выкручиваться как угодно, но опять же в рамках закона.
В общих чертах: аудит и аттестация похожи, но аудит требует больше бумажной работы, чем аттестация. Однако после аттестации Вы получаете Аттестат соответствия, а по окончании аудита - только рекомендации или не имеющее юридической силы свидетельство. Поэтому в статье некоторые моменты будут отнесены как к аудиту, так и к аттестации.
И еще! Данная статья предназначена не для специалистов по защите информации (хотя, и им может быть интересна), а для обычных сотрудников обычной фирмы, которым пришлось (или придется) столкнуться с реалиями информационной безопасности.
Итак, начнем!
Представим, что вам позвонила некая организация, желающая провести аудит (или аттестацию) информационной безопасности своей ИСПДн. Или же вы сами позвонили в организацию с намерением провести аудит (аттестацию) своей ИСПДн.
С государственными структурами всё ясно – их обязуют аттестовать свои ИСПДн. Это прописано в специальных требованиях и рекомендациях по защите конфиденциальной информации (СТР-К). Кто-то может подумать: «А причем тут СТР-К?». Дело в том, что СТР-К прописывает требования к автоматизированным системам (АС). А ИСПДн – не что иное, как АС, просто в ней обрабатываются персональные данные (ПДн).
Все коммерческие организации, зачастую стараются как можно меньше потратить средств на защиту своих ИСПДн. Всё верно, ведь нужно “толкать” бизнес, развивать его, на пустую подстраховку нет желания выделять средства… Но защита Ваших собственных интересов, разработок и коммерчески ценной информации в целом тоже является продвижением бизнеса! Это страховка на тот случай, если кто-то захочет получить тот секрет, при помощи которого ваша организация существует и зарабатывает деньги.
Кто-то скажет, что безопасность, такая, какой её видит грамотный специалист по информационной безопасности, не нужна и слишком дорого обходится, и что достаточно все бумажки положить в сейф. Но вы же не станете сами сидеть в этом сейфе, в котором, спрятавшись от всех внешних угроз, сможете спокойно работать? Вы используете множество средств связи и коммуникации, допускаете к своим тайнам посторонних, по сути, людей (работников собственной организации). Считаете, что они не посторонние? Давайте разберемся… Сотовая связь и коммуникации, - от этого всегда можно защититься при наличии головы на плечах и, если необходимо, денег. Защита от утечки по техническим каналам возможна. Но как быть с людьми, которые на вас работают? Человеческий фактор присутствовал всегда. Это подверженность настроениям, желаниям, эмоциям и чувствам. На сегодняшний день общество имеет тенденцию к эгоизму, причем более всего это заметно в больших городах с большими деньгами. Человек сначала хочет золотые горы, а уже потом будет работать, этакий отголосок жадности. Плюс ко всему, сейчас мало кого волнуют межличностные отношения, и не редко сотрудники идут по головам своих коллег для того, чтобы получить лучшее рабочее место с более высокой зарплатой. Всё это не придает никакой уверенности в том, что ваш, например, бухгалтер не уйдет к вашему же конкуренту на более высокий оклад и при этом не сдаст вас с потрохами. Поэтому защищать информацию нужно, как от внешних угроз так, и от внутренних.
Но вернемся к нашей ситуации. Вам позвонила организация, которая хочет, чтобы Вы провели аудит (или аттестацию) информационной безопасности.
|
