52. Внутренний аудит безопасности персональных данных позволяет установить, что применяемые методы, способы и средства обеспечения безопасности персональных данных при их обработке в ИС:
соответствуют законодательству Российской Федерации и нормативным документам Росводресурсов, регламентирующим вопросы обеспечения безопасности персональных данных;
своевременно и эффективно внедряются и поддерживаются;
функционируют должным образом.
53. Процесс проведения внутреннего аудита безопасности персональных данных предполагает получение объективных качественных и количественных оценок текущего состояния СЗИ и осуществляется в рамках проведения общего контроля состояния и эффективности защиты информации конфиденциального характера в Росводресурсах.
54. В ходе проведения внутреннего аудита безопасности персональных данных оценивается текущий уровень защищенности ИС, определяются уязвимости ИС, в том числе проверяется:
выполнение пользователями ИС и оператором ИС требований нормативных документов Росводресурсов, регламентирующих вопросы обеспечения безопасности персональных данных;
выполнение требований к процедурам обработки персональных данных (уничтожению персональных данных, допуску сотрудников Росводресурсов к персональным данным и т.п.);
правильность организации работы с машинными носителями персональных данных.
55. Все события, происходящие в ИС и связанные с безопасностью (включая предоставление доступа, попытки аутентификации, изменение системных политик и пользовательских привилегий, системные сбои и т.п.), должны отслеживаться и протоколироваться в специальных электронных журналах аудита СрЗИ и во встроенных средствах, имеющихся в составе операционных систем, систем управления базами данных, прикладных приложений, с помощью которых осуществляется обработка персональных данных.
56. События, зафиксированные в специальных электронных журналах аудита, анализируются администратором ИБ на постоянной основе, а также в ситуациях, требующих проведения расследования инцидентов информационной безопасности.
57. Должен проводиться анализ защищенности ИС посредством использования средств анализа защищенности, предназначенных для решения следующих основных задач:
анализ параметров конфигурации операционных систем и приложений по шаблонам с целью выявления уязвимостей ИС, в том числе связанных с некорректной настройкой ИС и приложений, определения уровня защищенности контролируемых ИС и соответствия текущего состояния СЗИ принятой политике безопасности информации;
коррекция конфигурационных параметров операционных систем и приложений;
контроль изменения состояния операционных систем и приложений, осуществляемый на основе мгновенных снимков их параметров и атрибутов файлов.
58. Анализ защищенности ИС проводится оператором ИС совместно с администратором ИБ в плановом порядке с установленной периодичностью.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875