Внутренний оперативный контроль соблюдения режима безопасности ПДн проводится специалистом по ИБ (администратором ИБ, администратором СрЗИ) ежедневно в режиме реального времени. Внутренний контроль заключается в анализе защищенности ПДн посредством используемых в составе ИСПДн программных и программно-аппаратных средств (систем) анализа защищенности.
В ходе проведения контроля соблюдения режима безопасности ПДн специалист по ИБ:
осуществляет анализ лог-файлов, производимых средствами защиты и другими элементами ИСПДн (ОС, прикладные программы);
просматривает оповещения средств защиты ИСПДн;
принимает меры по результатам анализа полученных оповещений и лог-файлов.
Внутренний периодический контроль соблюдения режима безопасности ПДн (контрольные обследования защищенности ИСПДн) организуется подразделением ИБ по планам, ежегодно утверждаемым руководителем Росреестра/ТО Росреестра. Форма Плана контроля выполнения требований по обеспечению безопасности персональных данных приведена в приложении N 11 к Положению. По решению руководителя Росреестра/ТО Росреестра внутренний контроль может проводиться во внеочередном порядке в случаях выявления нарушений безопасности ПДн с целью определения причин произошедших нарушений и разработки мер по их устранению.
Внутренний периодический контроль заключается в оценке выполнения требований нормативных документов по обеспечению безопасности ПДн, обрабатываемых в ИСПДн.
В ходе проведения внутреннего периодического контроля проверяются следующие вопросы:
соответствие состава и структуры программно-технических средств, обрабатывающих защищаемую информацию (ПДн), документированному составу и структуре средств, разрешенных для обработки такой информации;
знание персоналом руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях;
проверка наличия документов, подтверждающих возможность применения технических и программных СВТ для обработки ПДн и применения СрЗИ (сертификатов соответствия и других документов);
проверка правильности применения СрЗИ;
проверка выполнения требований по условиям размещения АРМ в рабочих помещениях;
соответствие реального уровня полномочий по доступу к защищаемой информации (ПДн) различных пользователей установленному в списке лиц, допущенных к обработке ПДн, уровню полномочий;
знание инструкций по обеспечению безопасности информации работниками ИСПДн;
организация хранения носителей ПДн и допуска в помещения, где размещены средства обработки и осуществляется обработка ПДн;
прохождение инструктажа пользователей по вопросам обеспечения безопасности ПДн и выполнение ими установленных требований.
По фактам несоблюдения условий хранения носителей ПДн, использования СрЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, составляется соответствующее заключение, на основе которого впоследствии осуществляется разработка и реализация мер по предотвращению возможных опасных последствий подобных нарушений.
Результаты контроля оформляются актом, в котором делаются выводы о состоянии обеспечения безопасности ПДн на проверяемом объекте информатизации и приводятся рекомендации по его совершенствованию.