6. Оценка эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
Данное требование можно спутать с похожим из ПП1119 п.17 "контроль за выполнением требований", которое тоже "проводится не реже 1 раза в 3 года". В ПП1119 говориться скорее про привычный безопасникам аудит ИБ, где критериями аудита являются требования ПП1119. Все просто...
Ну, вернемся именно к оценке эффективности. Я, как человек воспитанный на ISO 27001 и аналогах, очень удивился, когда увидел данный термин в документе ФСТЭК России. Раньше его можно было встретить разве что в адаптированных ГОСТах 27й серии.
Вот например из ГОСТ 27001-2006:
Переоценка (повторная оценка) информационной безопасности является частью стадии "Проверка" (мой комментарий: это про цикл PDCA), на которой должны быть предприняты регулярные анализы эффективности системы менеджмента информационной безопасности.
Ну, а сами рекомендации по измерению ИБ и оценке эффективности необходимо искать в ISO 27004 или его аналоге ГОСТ 27004.
Ну, я и решил, что ФСТЭК России идет дорогой "лучших мировых практик" и стремиться к повышению зрелости процессов ИБ . Как я ошибался...
Похоже, что регулятор опять играет с классическими терминами ИБ .
Итак, разгадку мы видим в информационном сообщении ФСТЭК России от 15 июля 2013 г. N240/22/2637 :
информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации
Однако есть некоторое послабление:
При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности ПДн.
Но
В части государственных информационных систем, в которых обрабатываются ПДн, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации.
Итого: В понимании ФСТЭК России, аттестация ИС является оценкой эффективности. Но если ПДн обрабатываются не в государственных ИС (а точнее, не попадают под действие Приказа 17 ), то оценку эффективности можно провести в другой форме, выбираемой оператором самостоятельно. Т.е. можно попробовать пойти и по "классической схеме": считать метрики и KPI...
