Объектом исследования является информационная система персональных данных негосударственного пенсионного фонда. Предметом исследования является система защиты информационной безопасности информационной системы персональных данных негосударственного пенсионного фонда. Цель работы — разработка типовой методики аудита информационной безопасности информационной системы персональных данных негосударственного пенсионного фонда. Исследование проводилось на основе анализа и изучения нормативных правовых актов и нормативно-методических документов по защите информационной системы персональных данных.
Ключевые слова: информационная безопасность, аудит, персональные данные, защита персональных данных, информационная система персональных данных.
Аудит информационной безопасности (ИБ) является одним из важнейших организационных мероприятий в области защиты информации (информационной безопасности) и представляет собой наиболее актуальное и динамично развивающееся направление в области защиты информационных систем (ИС) [1].
Обработка персональных данных (ПДн) включает в себя все действия и операции с персональными данными, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение [2].
Информационная система персональных данных (ИСПДн) — это совокупность ПДн, содержащихся в базах данных, а также информационных технологий, обеспечивающих их обработку, и технических средств [1].
Аудит ИБ ИСПДн — независимое исследование состояния ИСПДн, определения её адекватности существующим рискам, связанным с осуществлением угроз безопасности, соответствия ее требованиям нормативных документов по защите информации, а также выявления существующих уязвимостей в области информационной безопасности и выработки рекомендаций по их устранению.
Данная тема является актуальной в связи с ростом рисков при обработке ПДн, поступающих в негосударственные пенсионные фонды (НПФ) через информационно-телекоммуникационные системы и средства, в результате чего увеличивается вероятность неправомерного доступа к ним, а также с увеличением нормативных правовых актов в области обработки и защиты ПДн, устанавливающих обязательные требования.
Новизна работы заключается в разработке методики аудита ИБ ИСПДн на соответствие требованиям нормативным правовым актам и нормативно методической документации, инициированных Постановлением Правительства, ФСБ и ФСТЭК России.
Работы по проведению аудита ИБ ИСПДн проводятся в порядке и объеме, приведенном на рисунке 1.
Рис. 1. Схема методики аудита ИБ ИСПДн
Органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении операторов, осуществляющих обработку персональных данных:
1) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — уполномоченный орган по защите прав субъектов персональных данных.
2) Федеральная служба безопасности Российской Федерации (ФСБ России) — федеральный орган, уполномоченный в области обеспечения безопасности.
3) Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган, уполномоченный в области противодействия техническим разведкам и технической защиты информации.
Требования по защите ПДн, предъявляемые к ИСПДн указаны в:
– Постановление Правительства Российской Федерации от 01 ноября 2012 г.
– № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Постановление Правительства Российской Федерации от 15 сентября 2008 г.
– № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»;
– Сборник руководящих документов по защите информации от несанкционированного доступа, Гостехкомиссия России, 1992 г.
Целью проведения аудита ИСПДн является оценка соответствия ИСПДн требованиям перечисленных документов.
Стоит уточнить, что по Постановлению Правительства Российской Федерации от 01 ноября 2012 г. № 1119 негосударственный пенсионный фонд (НПФ) может иметь не выше третьего уровня защищенности [3]. На что стоит опираться при проверке выполнения требований безопасности информации ИСПДн.
Далее перечислим виды и методы проверок испытаний ИБ ИСПДн.
Виды испытаний, входящих в состав работ по аудиту ИБ ИСПДн с указанием методов проверок и испытаний для данного вида испытаний ИБ ИСПДн:
а) Анализ и оценка исходных данных и документации по защите ПДн в ИСПДн пенсионного фонда. Проводятся экспертно-документальным методом.
б) Проверка соответствия представленных Заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации автоматизированной информационной системы (АИС). Проводятся экспертно-документальным методом.
в) Изучение технологического процесса обработки и хранения ПДн, анализ информационных потоков. Проводятся экспертно-документальным методом.
г) Проверка состояния организации работ и выполнения организационно-технических требований по защите ПДн, оценка правильности определения уровня и класса защищенности ИСПДн, а также оценка правильности классификации АИС, категорирования объектов вычислительной техники в составе АИС, оценка полноты и уровня разработки организационно распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению защиты ПДн. Проводятся экспертно-документальным методом.
д) Испытания отдельных технических и программных средств АИС, средств систем защиты ПДн, инженерного оборудования объекта на соответствие требованиям безопасности информации по утвержденным или согласованным методикам испытаний. Проводятся инструментальным методом.
е) Комплексные испытаний АИС на соответствие требованиям безопасности информации. Проводятся экспертным, экспертно-документальным, инструментальным методами.
ж) Подготовка отчетной документации с выводами аудиторской группы о соответствии ИСПДн требованиям по безопасности информации. Проводятся экспертно-документальным методом.
В качестве тестирующих (инструментальных) средств для проведения испытаний могут быть выбраны технические и программные средства, принятые в установленном порядке для такого рода деятельности. Перечень рекомендуемых тестирующих средств приведен в таблице 1.
Таблица 1
Перечень рекомендуемых тестирующих средств
|
№ п/п |
Наименование |
Тип, изготовитель, страна |
|
1 |
Средство сбора информации о программном и аппаратном обеспечении |
Агент инвентаризации, Россия |
|
2 |
Программа обеспечение для создания модели разграничения доступа |
Ревизор-1 ХР, Россия |
|
3 |
Программа контроля полномочий доступа к информационным ресурсам |
Ревизор-2 ХР, Россия |
|
4 |
Программа поиска и гарантированного уничтожения информации на дисках |
«TERRIER» (версия 3.0), Россия |
|
5 |
Программа фиксации и контроля исходного состояния программного комплекса |
«ФИКС» (версия 2.0.2) |
|
6 |
Программный комплекс. Средство анализа защищенности |
Сканер-ВС |
|
7 |
СЗИ от НСД (средство контроля — получение сведений о АРМ, управление доступом, сведения о случаях НСД) |
SecretNet 6, Россия |
|
8 |
DallasLock 8.0-K, Россия |
|
|
9 |
Гипервизор (в качестве средства контроля за сетями) |
VMware vSphere 4 |
Аудит ИБ ИСПДн по разработанной методике рекомендуется проводить не реже одного раза в год, а также перед проверками на защищенность ПДн в организации органами государственного контроля и надзора.
После завершения аудита аудиторской организацией составляется перечень недостатков ИСПДн и рекомендаций по их устранению. Данные рекомендации должны быть выполнены в установленный срок по соглашению Заказчика и руководителя аудиторской группы, после чего рекомендуется повторное проведение аудита по данной методике.
Аудиторский отчет является основным результатом проведения аудита. Его содержательный минимум: описание целей проведения аудита ИСПДн, характеристика исследуемой ИСПДн, указание границ работ по аудиту, методы и инструментальные средства проведения аудита ИСПДн, результаты анализа полученных данных по ИСПДн, выводы, определяющие соответствие требованиям ИСПДн стандартам, и рекомендации аудиторской группы по устранению обнаруженных в ходе проведения аудита недостатков, а также рекомендации по совершенствованию системы защиты [4].
Предложенная в работе методика аудита ИБ систем, участвующих в обработке ПДн, позволяет снизить потенциальные риски и защитить ПДн граждан, обрабатываемых в негосударственных пенсионных фондах.
Литература:
- Новиков В. К. Организационное и правовое обеспечение информационной безопасности. Часть 2: Организационное обеспечение информационной безопасности: учеб. пособие. — М.: МИЭТ, 2013. — 172 с.
- Российская Федерация. Законы. О персональных данных. — Российская газета, 2006. № 165–22 с.
- Российская Федерация. Постановление Правительства Российской Федерации. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. — Российская газета, 2012. № 256–5 с.
- Аверченков В. И. Аудит информационной безопасности. 2-е издание: учеб. пособие для вузов — М.: ФЛИНТА, 2011. — 269 с.
