Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы | Статья в журнале «Молодой ученый»

Автор:

Рубрика: Прочее

Опубликовано в Молодой учёный №13 (93) июль-1 2015 г.

Дата публикации: 04.07.2015

Статья просмотрена: 1629 раз

Библиографическое описание:

Александрова В. И. Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы // Молодой ученый. — 2015. — №13. — С. 841-845. — URL https://moluch.ru/archive/93/20790/ (дата обращения: 19.07.2018).

Обстановка в сфере информационных технологий постоянно меняется, появляются новые угрозы конфиденциальности информации, а также и новые технические и программные средства, необходим постоянный контроль надежности системы защиты. Именно эту функцию и выполняет аудит информационной безопасности (далее — аудит ИБ).

Аудит ИБ — это систематическая, независимая и документированная проверка (оценка) выполнения в организации обязательных требований и норм, установленных в нормативных правовых актах и стандартах Российской Федерации, а также в организационно-распорядительных документах (локальных актах) организации в области ИБ и выработки рекомендаций по устранению выявленных нарушений [1].

Аудит предназначен для проверки обязательных требований, установленных нормативными правовыми актами и организационно-распорядительными документами (локальными актами, которые издаются юридическим лицом самостоятельно).

Анализ нормативно-правовой базы в области защиты информационной системы персональных данных (далее — ИСПДн) показал, что в Российском Законодательстве нет документов, описывающих методику проведения аудита ИБ ИСПДн. Более того отсутствуют документы, регламентирующие процесс проведения аудита ИСПДн в самих образовательных учреждениях.

В этой связи разработка методики аудита ИБ ИСПДн средней общеобразовательной школы (далее — СОШ) представляется одним из важнейших вопросов в сфере защиты конфиденциальности информации с ограниченным доступом.

Общие сведения

Методика аудита ИБ ИСПДн СОШ (далее — Методика) разрабатывается в соответствии с требованиями, указанными в документах:

-          Федеральный закон от 27.07.2006 г. № 152–ФЗ «О персональных данных».

-          Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

-          Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

-          Методический документ. Меры защиты информации в государственных информационных системах, утвержденный ФСТЭК России 11.02.2014 г.

Целью аудита по данной Методике является получение достоверных данных о ИСПДн СОШ, подкрепленных фактами и документами, которые позволили бы максимально объективно оценить степень соответствия ИСПДн СОШ требованиям по обеспечению безопасности ПДн.

Обработка ПДн в СОШ осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Персональные данные работника — это информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника.

К предоставляемым ПДн работника относится информация, содержащаяся в трудовой книжке, в страховом свидетельстве государственного пенсионного страхования, информация об образовании и квалификации, информация медицинского характера, информация в документах воинского учета и в других документах, которые содержат данные, необходимые работодателю в связи с установлением трудовых отношений.

Анализ ПДн, обрабатываемых в ИСПДн образовательных структур, позволил выделить особую категорию ПДн — ПДн несовершеннолетних.

ПДн несовершеннолетних можно охарактеризовать как особый вид информации с ограниченным доступом, затрагивающий интересы лиц в возрасте до 18 лет, который отличается более узким кругом относимых к ней сведений, участием в защите ее конфиденциальности родителей или законных представителей, широким кругом полномочий в процессе обработки ПДн государственных органов в сфере образования, социальной защиты, здравоохранения и профилактики правонарушений [2].

К ПДн обучающегося относятся сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле обучающегося; сведения, содержащиеся в документах воинского учета (при их наличии); информация об успеваемости и о состоянии здоровья, документ о месте проживания и иные сведения, необходимые для определения отношений обучения и воспитания.

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Вне зависимости от вида и объекта исследования аудит ИБ ИСПДн проводится в три этапа (рис.1). На предварительном этапе образовательным учреждением предоставляются все организационно-распорядительные документы по ИСПДн, разработанные в СОШ. Этап непосредственного проведения аудита проводится в соответствии с программой (планом) проведения аудита, разработанной и согласованной с руководством СОШ. На заключительном этапе подготавливается отчет в соответствии с программой (планом), содержащий выявленные недостатки ИСПДн СОШ и рекомендации по их устранению.

Рис. 1. Этапы проведения аудита информационной безопасности

Предварительный этап включает в себя проведение организационных мероприятий с учетом требований заказчика. Определяются цели, задачи, границы проведения аудита ИБ ИСПДн СОШ. Составляется и заключается договор на проведение аудита ИБ ИСПДн между заказчиком и аудитором, в котором определены и документально закреплены в должностных инструкциях аудитора права и обязанности. Определяется состав аудиторской группы и назначается ее руководитель. Готовится программа (план) аудита ИБ ИС руководителем аудиторской группы и согласовывается с руководством СОШ [3].


Рис. 2. Методика аудита информационной системы персональных данных средней общеобразовательной школы


Этап непосредственного проведения аудита включает проверку и оценку полноты и качества имеющихся в организации локальных актов (организационно-распорядительных), документов (документарный аудит), эффективности технических мер по защите информации и действий персонала (руководящего и обеспечивающего) для достижения целей и решения задач ИБ в организации.

Документальный аудит включает проверку и оценку наличия, полноты и качества имеющихся в СОШ локальных актов (организационно-распорядительных) для определения соответствия положений, отраженных в них, критериям безопасности ПДн:

а)                  достаточности представленных документов и соответствия их содержания требованиям РД;

б)                 правильности классификации ИСПДн;

в)                 выполнения требований РД по обеспечению безопасности ПДн [3].

Проверка и анализ документов могут проводиться на всех этапах аудиторской проверки. Данные с проверки документации позволяют получить свидетельства аудита ИБ.

Технический аудит ИСПДн проводится для проверки реализации требований. При проведении технического аудита могут использоваться экспертный, экспертно-документальный и инструментальный методы. Экспертный метод направлен на формальную проверку реализация выполнения требований, предъявляемых к ИСПДн. Экспертно-документальный метод направлен на проверку не только реализации выполнения требований, предъявляемых к ИСПДн, а также на работоспособность, достаточность эксплуатационной документации для установки и работы с ними. Инструментальный метод включает в себя проведение проверок с использованием дополнительных программных и технических средств, таких как:

-          средства контроля защищенности от НСД;

-          сетевые сканеры безопасности;

-          программы поиска и гарантированного уничтожения информации на дисках;

-          средства фиксации и контроля исходного состояния программного комплекса.

Вначале необходимо проверить СЗИ на соответствие требованиям безопасности, приведенным в руководящих документах о защите от несанкционированного доступа к информации. Если СЗИ соответствуют выдвинутым требованиям, то проверяется реализация мер ЗИ, установленных в Приказе ФСТЭК России от 18.02.2013 г. № 21 [4]. Иначе результаты о несоответствии СЗИ требованиям безопасности заносятся в отчет.

По завершении проверки аудиторская группа должна предоставить установленным получателям отчет по результатам проведения аудита ИБ. После завершения всех этапов аудита и подготовки отчета аудитор не должен удалять или выбрасывать документацию до окончания установленного периода хранения. В соответствии со стандартами срок хранения рабочих документов составляет не менее пяти лет с даты аудиторского отчета.

Вышеизложенный алгоритм аудита ИБ ИСПДн СОШ приведен на рисунке 2.

Заключение

Указанный контроль проводится не реже одного раза в три года, если это внешний аудит, либо раз в год, если это внутренний аудит.

В основе внешнего аудита ИБ лежит стремление руководства школы с помощью проведения независимой и компетентной оценки определить истинный уровень организации работ по защите ПДн, степень соответствия ИСПДн выдвинутым критериям аудита и принять эффективные меры по устранению недостатков.

Поэтому изучение данного вопроса помогает в решении конкретных практических задач по аудиту информационной безопасности, предназначенному для получения достоверных данных о ИСПДн СОШ, подкрепленных фактами и документами, которые позволили максимально объективно оценить степень соответствия ИСПДн СОШ требованиям по обеспечению безопасности ПДн.

Использование данной методики позволяет снизить риск административной, уголовной, гражданско-правовой, дисциплинарной ответственности.

 

Литература:

 

1.         Новиков В. К. Организационное и правовое обеспечение информационной безопасности: в 2-х ч.: Учеб. пособие. Ч. 2: Организационное обеспечение информационной безопасности; Министерство образования и науки РФ, Национальный исследовательский университет «МИЭТ». — М.: МИЭТ, 2013. — 172 с.

2.         Покаместова Е. Ю. Правовая защита конфиденциальности персональных данных несовершеннолетних. — [Электронный ресурс]. — Воронеж, 2010 — Режим доступа: http://law.edu.ru/book/book.asp?bookID=1291833.

3.         Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Проверка и оценка деятельности по управлению информационной безопасностью. Серия «Вопросы управление информационной безопасностью». Выпуск 5. — М.: Горячая линия — Телеком, 2012. — 166 с.

4.         Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — М.: Изд-во стандартов, 2013. — 20 с.

Основные термины (генерируются автоматически): данные, документ, информационная безопасность, обеспечение безопасности, аудиторская группа, Россия, общеобразовательная школа, методика аудита, информация, информационная система, соответствие.


Похожие статьи

Методика проведения аудита информационной безопасности...

Ключевые слова: информационная безопасность, аудит, персональные данные, защита персональных данных, информационная система персональных данных. Аудит информационной безопасности (ИБ)...

Аудит информационных систем | Статья в журнале...

- справочно-информационные системы («Ассистент аудитора»); - системы автоматизации непосредственно процесса аудиторской проверки («ЭкспрессАудит: ПРОФ», «AuditXP»(«Комплекс аудит»

Аудит безопасности корпоративных информационных систем.

Аудит безопасности корпоративных информационных систем

В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.

Состав и структура дисциплины основы информационной...

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Особенности проведения аудита с использованием компьютерных...

Если рассматривать этап составления плана аудиторской проверки, в соответствии со стандартом «Планирование аудита», то нужно учитывать уровень автоматизации обработки учетной информации, наличие особенности информационного...

Ключевые проблемы информационной безопасности сферы...

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Обеспечение безопасности информационных систем

система, информационная безопасность, ITSEC, данные, информация, вычислительная техника, повторное использование, последнее время, принудительное управление, регистрационная информация.

Методика оценки рисков информационной безопасности

Обеспечение информационной безопасности это одна из ключевых задач современных организаций. Угрозу организации могут представлять технические сбои, несогласованность данных в системах организации, безграничный доступ служащих к хранимой информации.

Угрозы информационной безопасности образовательного...

При создании системы защиты информации в образовательном учреждении обязательно необходимо учитывать те угрозы, которые могут возникнуть. Исходя из основных свойств информации...

Методика проведения аудита информационной безопасности...

Ключевые слова: информационная безопасность, аудит, персональные данные, защита персональных данных, информационная система персональных данных. Аудит информационной безопасности (ИБ)...

Аудит информационных систем | Статья в журнале...

- справочно-информационные системы («Ассистент аудитора»); - системы автоматизации непосредственно процесса аудиторской проверки («ЭкспрессАудит: ПРОФ», «AuditXP»(«Комплекс аудит»

Аудит безопасности корпоративных информационных систем.

Аудит безопасности корпоративных информационных систем

В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.

Состав и структура дисциплины основы информационной...

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Особенности проведения аудита с использованием компьютерных...

Если рассматривать этап составления плана аудиторской проверки, в соответствии со стандартом «Планирование аудита», то нужно учитывать уровень автоматизации обработки учетной информации, наличие особенности информационного...

Ключевые проблемы информационной безопасности сферы...

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Обеспечение безопасности информационных систем

система, информационная безопасность, ITSEC, данные, информация, вычислительная техника, повторное использование, последнее время, принудительное управление, регистрационная информация.

Методика оценки рисков информационной безопасности

Обеспечение информационной безопасности это одна из ключевых задач современных организаций. Угрозу организации могут представлять технические сбои, несогласованность данных в системах организации, безграничный доступ служащих к хранимой информации.

Угрозы информационной безопасности образовательного...

При создании системы защиты информации в образовательном учреждении обязательно необходимо учитывать те угрозы, которые могут возникнуть. Исходя из основных свойств информации...

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Методика проведения аудита информационной безопасности...

Ключевые слова: информационная безопасность, аудит, персональные данные, защита персональных данных, информационная система персональных данных. Аудит информационной безопасности (ИБ)...

Аудит информационных систем | Статья в журнале...

- справочно-информационные системы («Ассистент аудитора»); - системы автоматизации непосредственно процесса аудиторской проверки («ЭкспрессАудит: ПРОФ», «AuditXP»(«Комплекс аудит»

Аудит безопасности корпоративных информационных систем.

Аудит безопасности корпоративных информационных систем

В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.

Состав и структура дисциплины основы информационной...

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Особенности проведения аудита с использованием компьютерных...

Если рассматривать этап составления плана аудиторской проверки, в соответствии со стандартом «Планирование аудита», то нужно учитывать уровень автоматизации обработки учетной информации, наличие особенности информационного...

Ключевые проблемы информационной безопасности сферы...

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Обеспечение безопасности информационных систем

система, информационная безопасность, ITSEC, данные, информация, вычислительная техника, повторное использование, последнее время, принудительное управление, регистрационная информация.

Методика оценки рисков информационной безопасности

Обеспечение информационной безопасности это одна из ключевых задач современных организаций. Угрозу организации могут представлять технические сбои, несогласованность данных в системах организации, безграничный доступ служащих к хранимой информации.

Угрозы информационной безопасности образовательного...

При создании системы защиты информации в образовательном учреждении обязательно необходимо учитывать те угрозы, которые могут возникнуть. Исходя из основных свойств информации...

Методика проведения аудита информационной безопасности...

Ключевые слова: информационная безопасность, аудит, персональные данные, защита персональных данных, информационная система персональных данных. Аудит информационной безопасности (ИБ)...

Аудит информационных систем | Статья в журнале...

- справочно-информационные системы («Ассистент аудитора»); - системы автоматизации непосредственно процесса аудиторской проверки («ЭкспрессАудит: ПРОФ», «AuditXP»(«Комплекс аудит»

Аудит безопасности корпоративных информационных систем.

Аудит безопасности корпоративных информационных систем

В статье раскрывается сущность понятия аудита информационной безопасности, описываются три основные виды аудита безопасности корпоративных информационных систем: активный, экспертный и проверка на соответствие стандартам.

Состав и структура дисциплины основы информационной...

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Особенности проведения аудита с использованием компьютерных...

Если рассматривать этап составления плана аудиторской проверки, в соответствии со стандартом «Планирование аудита», то нужно учитывать уровень автоматизации обработки учетной информации, наличие особенности информационного...

Ключевые проблемы информационной безопасности сферы...

Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.

Обеспечение безопасности информационных систем

система, информационная безопасность, ITSEC, данные, информация, вычислительная техника, повторное использование, последнее время, принудительное управление, регистрационная информация.

Методика оценки рисков информационной безопасности

Обеспечение информационной безопасности это одна из ключевых задач современных организаций. Угрозу организации могут представлять технические сбои, несогласованность данных в системах организации, безграничный доступ служащих к хранимой информации.

Угрозы информационной безопасности образовательного...

При создании системы защиты информации в образовательном учреждении обязательно необходимо учитывать те угрозы, которые могут возникнуть. Исходя из основных свойств информации...

Задать вопрос