Загрузка не удалась. Возможно, проблемы с правами доступа?

Методика аудита информационной безопасности информационных систем, обрабатывающих персональные данные

IT SECURITY AUDIT METHOD FOR THE PERSONAL DATA SYSTEM

Авторы
ЕРМАКОВА Е. В.
Журнал
Современная наука: актуальные проблемы и пути их решения
Выпуск № 5 (18) / 2015
Ключевые слова: информационная безопасность, защита персональных данных, аудит, персональные данные, информационная система персональных данных.


Аннотация. Предметом исследования является информационная система персональных данных. Цель работы - разработка типовой методики аудита информационной безопасности информационной системы персональных данных. Исследование проводилось на основе анализа и изучения нормативных правовых актов и нормативно-методических документов по защите информационной системы персональных данных. Результаты исследований могут быть использованы при проведении аудита информационной безопасности информационной системы персональных данных, не обрабатывающих государственную тайну, при этом проверяемая организация может быть, как государственным органом, так и частным предприятием.


Право на неприкосновенность частной жизни гарантировано каждому гражданину Конституцией РФ. Какую информацию предоставлять о себе, каждый решает сам. Исключением являются ситуации, когда гражданину приходится сообщать личную информацию, например, при трудоустройстве. Такие сведения о работнике носят название «персональные данные» (ПДн). Обработка ПДн включает в себя все действия и операции с персональными данными, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение [1].

Аудит информационной безопасности (ИБ) является одним из важнейших организационных мероприятий в области защиты информации (информационной безопасности) и представляет собой наиболее актуальное и динамично развивающееся направление в области защиты информационных систем (ИС) [2].

Информационная система персональных данных (ИСПДн) - это совокупность ПДн, содержащихся в базах данных, а также информационных технологий, обеспечивающих их обработку, и технических средств [2].

Аудит ИБ ИСПДн - независимое исследование состояния ИСПДн, определения её адекватности существующим рискам, связанным с осуществлением угроз безопасности, соответствия ее требованиям нормативных документов по защите информации, а также выявления существующих уязвимостей в области информационной безопасности и выработки рекомендаций по их устранению.

Данная тема является актуальной в связи с ростом рисков при обработке ПДн, поступающих в организацию через информационно-телекоммуникационные системы и средства, в результате чего увеличивается вероятность неправомерного доступа к ним, а также с увеличением нормативных правовых актов в области обработки и защиты ПДн, устанавливающих обязательные требования.

Новизна работы заключается в разработке методики аудита ИБ ИСПДн на соответствие требованиям нормативным правовым актам и нормативно методической документации, инициированных Постановлением Правительства, ФСБ и ФСТЭК России.

Работы по проведению аудита ИБ ИСПДн проводятся в порядке и объеме, приведенном на рисунке 1.

Рис. 1. Схема методики аудита ИБ ИСПДн

Органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении операторов, осуществляющих обработку персональных данных:

  1. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) - уполномоченный орган по защите прав субъектов персональных данных.
  2. Федеральная служба безопасности Российской Федерации (ФСБ России) -федеральный орган, уполномоченный в области обеспечения безопасности.
  3. Федеральная служба по техническому и экспортному контролю (ФСТЭК России) -федеральный орган, уполномоченный в области противодействия техническим разведкам и технической защиты информации.

Требования по защите ПДн, предъявляемые к ИСПДн указаны в:

  • Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении требований о защите информации, не составляющих государственную тайну, содержащейся в государственных информационных системах»;
  • Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»;
  • Сборник руководящих документов по защите информации от несанкционированного доступа, Гостехкомиссия России, 1992 г.

Целью проведения аудита ИСПДн является оценка соответствия ИСПДн требованиям перечисленных документов.

При проведении аудита ИСПДн применяются следующие методы проверок и испытаний:

  • Экспертный метод. Экспертный метод заключается в формальной проверке ИСПДн.
  • Экспертно-документальный метод. Предусматривает проверку соответствия ИСПДн требованиям по безопасности информации на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты ПДн в ИСПДн, а также соответствия реальных условий эксплуатации ИСПДн требованиям по ее эксплуатации.
  • Инструментальный метод. Инструментальный метод состоит из:
    • Проверка функций или комплекса функций защиты информации от несанкционированного доступа (НСД) с помощью тестирующих средств, а также путем пробного пуска средств защиты информации от НСД и наблюдения за их выполнением. Используемые тестирующие средства должны быть сертифицированные по требованиям безопасности информации. При отсутствии необходимых тестирующих средств они могут быть разработаны и включены в программу испытаний и использованы в процессе проведения аудита ИБ ИСПДн.
    • Попытка «взлома» систем защиты информации. Осуществляются попытки несанкционированного доступа к информации.

В таблице 1 представлены методы проверок и испытаний для каждого вида испытаний, входящих в состав работ по аудиту ИБ ИСПДн.

Таблица 1. Виды и методы испытаний ИБ ИСПДн

№ п/п Вид испытаний Метод испытаний
1 Анализ и оценка исходных данных и документации по защите ПДн в ИСПДн организации Экспертно- документальный
2 Проверка соответствия представленных Заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации автоматизированной информационной системы (АИС) Экспертно- документальный
3 Изучение технологического процесса обработки и хранения ПДн, анализ информационных потоков Экспертно- документальный
4 Проверка состояния организации работ и выполнения организационно-технических требований по защите ПДн, оценка правильности определения уровня и класса защищенности ИСПДн, а также оценка правильности классификации АИС, категорирования объектов вычислительной техники в составе АИС, оценка полноты и уровня разработки организационно распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению защиты ПДн Экспертно- документальный
5 Испытания отдельных технических и программных средств АИС, средств систем защиты ПДн, инженерного оборудования объекта на соответствие требованиям безопасности информации по утвержденным или согласованным методикам испытаний Инструментальный
6 Комплексные испытаний АИС на соответствие требованиям безопасности информации Экспертный, экспертно- документальный, инструментальный
7 Подготовка отчетной документации с выводами аудиторской группы о соответствии ИСПДн требованиям по безопасности информации Экспертно- документальный

В качестве тестирующих (инструментальных) средств для проведения испытаний могут быть выбраны технические и программные средства, принятые в установленном порядке для такого рода деятельности. Перечень рекомендуемых тестирующих средств приведен в таблице 2.

Таблица 2. Перечень рекомендуемых тестирующих средств

№ п/п Наименование Тип, изготовитель, страна
1 Средство сбора информации о программном и аппаратном обеспечении Агент инвентаризации, Россия
2 Программа обеспечение для создания модели разграничения доступа Ревизор-1 ХР, Россия
3 Программа контроля полномочий доступа к информационным ресурсам Ревизор-2 ХР, Россия
4 Программа поиска и гарантированного уничтожения информации на дисках «TERRIER» (версия 3.0), Россия
5 Программа фиксации и контроля исходного состояния программного комплекса «ФИКС» (версия 2.0.2)
6 Программный комплекс. Средство анализа защищенности Сканер-ВС
7 СЗИ от НСД (средство контроля - получение сведений о АРМ, управление доступом, сведения о случаях НСД) SecretNet 6, Россия
8 DallasLock 8.0-K, Россия
9 Гипервизор (в качестве средства контроля за сетями) VMware vSphere 4

Аудит ИБ ИСПДн по разработанной методике рекомендуется проводить не реже одного раза в год, а также перед проверками на защищенность ПДн в организации органами государственного контроля и надзора.

После завершения аудита аудиторской организацией составляется перечень недостатков ИСПДн и рекомендаций по их устранению. Данные рекомендации должны быть выполнены в установленный срок по соглашению Заказчика и руководителя аудиторской группы, после чего рекомендуется повторное проведение аудита по данной методике.

Аудиторский отчет является основным результатом проведения аудита. Его содержательный минимум: описание целей проведения аудита ИСПДн, характеристика исследуемой ИСПДн, указание границ работ по аудиту, методы и инструментальные средства проведения аудита ИСПДн, результаты анализа полученных данных по ИСПДн, выводы, определяющие соответствие требованиям ИСПДн стандартам, и рекомендации аудиторской группы по устранению обнаруженных в ходе проведения аудита недостатков, а также рекомендации по совершенствованию системы защиты [4].

Предложенная в работе методика аудита ИБ систем, участвующих в обработке ПДн, позволяет снизить потенциальные риски и защитить ПДн граждан.

Список литературы

  1. Российская Федерация. Законы. О персональных данных. - Российская газета, 2006. № 165 - 22 с.
  2. Новиков В.К. Организационное и правовое обеспечение информационной безопасности. Часть 2: Организационное обеспечение информационной безопасности: учеб. пособие. - М.: МИЭТ, 2013. - 172 с.
  3. Российская Федерация. Постановление Правительства Российской Федерации. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. - Российская газета, 2012. № 256 - 5 с.
  4. Аверченков В.И. Аудит информационной безопасности. 2-е издание: учеб. пособие для вузов - М.: ФЛИНТА, 2011. - 269 с.