Методика проведения аудита информационной безопасности информационных систем персональных данных в негосударственных пенсионных фондах | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 23 ноября, печатный экземпляр отправим 27 ноября.

Опубликовать статью в журнале

Автор:

Рубрика: Технические науки

Опубликовано в Молодой учёный №3 (107) февраль-1 2016 г.

Дата публикации: 05.02.2016

Статья просмотрена: 3429 раз

Библиографическое описание:

Ермакова, Е. В. Методика проведения аудита информационной безопасности информационных систем персональных данных в негосударственных пенсионных фондах / Е. В. Ермакова. — Текст : непосредственный // Молодой ученый. — 2016. — № 3 (107). — С. 92-95. — URL: https://moluch.ru/archive/107/25855/ (дата обращения: 15.11.2024).

 

Объектом исследования является информационная система персональных данных негосударственного пенсионного фонда. Предметом исследования является система защиты информационной безопасности информационной системы персональных данных негосударственного пенсионного фонда. Цель работы — разработка типовой методики аудита информационной безопасности информационной системы персональных данных негосударственного пенсионного фонда. Исследование проводилось на основе анализа и изучения нормативных правовых актов и нормативно-методических документов по защите информационной системы персональных данных.

Ключевые слова: информационная безопасность, аудит, персональные данные, защита персональных данных, информационная система персональных данных.

 

Аудит информационной безопасности (ИБ) является одним из важнейших организационных мероприятий в области защиты информации (информационной безопасности) и представляет собой наиболее актуальное и динамично развивающееся направление в области защиты информационных систем (ИС) [1].

Обработка персональных данных (ПДн) включает в себя все действия и операции с персональными данными, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение [2].

Информационная система персональных данных (ИСПДн) — это совокупность ПДн, содержащихся в базах данных, а также информационных технологий, обеспечивающих их обработку, и технических средств [1].

Аудит ИБ ИСПДн — независимое исследование состояния ИСПДн, определения её адекватности существующим рискам, связанным с осуществлением угроз безопасности, соответствия ее требованиям нормативных документов по защите информации, а также выявления существующих уязвимостей в области информационной безопасности и выработки рекомендаций по их устранению.

Данная тема является актуальной в связи с ростом рисков при обработке ПДн, поступающих в негосударственные пенсионные фонды (НПФ) через информационно-телекоммуникационные системы и средства, в результате чего увеличивается вероятность неправомерного доступа к ним, а также с увеличением нормативных правовых актов в области обработки и защиты ПДн, устанавливающих обязательные требования.

Новизна работы заключается в разработке методики аудита ИБ ИСПДн на соответствие требованиям нормативным правовым актам и нормативно методической документации, инициированных Постановлением Правительства, ФСБ и ФСТЭК России.

Работы по проведению аудита ИБ ИСПДн проводятся в порядке и объеме, приведенном на рисунке 1.

Рис. 1. Схема методики аудита ИБ ИСПДн

 

Органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении операторов, осуществляющих обработку персональных данных:

1)                 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — уполномоченный орган по защите прав субъектов персональных данных.

2)                 Федеральная служба безопасности Российской Федерации (ФСБ России) — федеральный орган, уполномоченный в области обеспечения безопасности.

3)                 Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган, уполномоченный в области противодействия техническим разведкам и технической защиты информации.

Требования по защите ПДн, предъявляемые к ИСПДн указаны в:

–                    Постановление Правительства Российской Федерации от 01 ноября 2012 г.

–                    № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

–                    Постановление Правительства Российской Федерации от 15 сентября 2008 г.

–                    № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

–                    Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

–                    Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»;

–                    Сборник руководящих документов по защите информации от несанкционированного доступа, Гостехкомиссия России, 1992 г.

Целью проведения аудита ИСПДн является оценка соответствия ИСПДн требованиям перечисленных документов.

Стоит уточнить, что по Постановлению Правительства Российской Федерации от 01 ноября 2012 г. № 1119 негосударственный пенсионный фонд (НПФ) может иметь не выше третьего уровня защищенности [3]. На что стоит опираться при проверке выполнения требований безопасности информации ИСПДн.

Далее перечислим виды и методы проверок испытаний ИБ ИСПДн.

Виды испытаний, входящих в состав работ по аудиту ИБ ИСПДн с указанием методов проверок и испытаний для данного вида испытаний ИБ ИСПДн:

а)                  Анализ и оценка исходных данных и документации по защите ПДн в ИСПДн пенсионного фонда. Проводятся экспертно-документальным методом.

б)                 Проверка соответствия представленных Заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации автоматизированной информационной системы (АИС). Проводятся экспертно-документальным методом.

в)                  Изучение технологического процесса обработки и хранения ПДн, анализ информационных потоков. Проводятся экспертно-документальным методом.

г)                  Проверка состояния организации работ и выполнения организационно-технических требований по защите ПДн, оценка правильности определения уровня и класса защищенности ИСПДн, а также оценка правильности классификации АИС, категорирования объектов вычислительной техники в составе АИС, оценка полноты и уровня разработки организационно распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению защиты ПДн. Проводятся экспертно-документальным методом.

д)                 Испытания отдельных технических и программных средств АИС, средств систем защиты ПДн, инженерного оборудования объекта на соответствие требованиям безопасности информации по утвержденным или согласованным методикам испытаний. Проводятся инструментальным методом.

е)                  Комплексные испытаний АИС на соответствие требованиям безопасности информации. Проводятся экспертным, экспертно-документальным, инструментальным методами.

ж)                Подготовка отчетной документации с выводами аудиторской группы о соответствии ИСПДн требованиям по безопасности информации. Проводятся экспертно-документальным методом.

В качестве тестирующих (инструментальных) средств для проведения испытаний могут быть выбраны технические и программные средства, принятые в установленном порядке для такого рода деятельности. Перечень рекомендуемых тестирующих средств приведен в таблице 1.

 

Таблица 1

Перечень рекомендуемых тестирующих средств

 п/п

Наименование

Тип, изготовитель, страна

1

Средство сбора информации о программном и аппаратном обеспечении

Агент инвентаризации, Россия

2

Программа обеспечение для создания модели разграничения доступа

Ревизор-1 ХР, Россия

3

Программа контроля полномочий доступа к информационным ресурсам

Ревизор-2 ХР, Россия

4

Программа поиска и гарантированного уничтожения информации на дисках

«TERRIER» (версия 3.0), Россия

5

Программа фиксации и контроля исходного состояния программного комплекса

«ФИКС» (версия 2.0.2)

6

Программный комплекс. Средство анализа защищенности

Сканер-ВС

7

СЗИ от НСД (средство контроля — получение сведений о АРМ, управление доступом, сведения о случаях НСД)

SecretNet 6, Россия

8

DallasLock 8.0-K, Россия

9

Гипервизор (в качестве средства контроля за сетями)

VMware vSphere 4

 

Аудит ИБ ИСПДн по разработанной методике рекомендуется проводить не реже одного раза в год, а также перед проверками на защищенность ПДн в организации органами государственного контроля и надзора.

После завершения аудита аудиторской организацией составляется перечень недостатков ИСПДн и рекомендаций по их устранению. Данные рекомендации должны быть выполнены в установленный срок по соглашению Заказчика и руководителя аудиторской группы, после чего рекомендуется повторное проведение аудита по данной методике.

Аудиторский отчет является основным результатом проведения аудита. Его содержательный минимум: описание целей проведения аудита ИСПДн, характеристика исследуемой ИСПДн, указание границ работ по аудиту, методы и инструментальные средства проведения аудита ИСПДн, результаты анализа полученных данных по ИСПДн, выводы, определяющие соответствие требованиям ИСПДн стандартам, и рекомендации аудиторской группы по устранению обнаруженных в ходе проведения аудита недостатков, а также рекомендации по совершенствованию системы защиты [4].

Предложенная в работе методика аудита ИБ систем, участвующих в обработке ПДн, позволяет снизить потенциальные риски и защитить ПДн граждан, обрабатываемых в негосударственных пенсионных фондах.

 

Литература:

 

  1.                Новиков В. К. Организационное и правовое обеспечение информационной безопасности. Часть 2: Организационное обеспечение информационной безопасности: учеб. пособие. — М.: МИЭТ, 2013. — 172 с.
  2.                Российская Федерация. Законы. О персональных данных. — Российская газета, 2006. № 165–22 с.
  3.                Российская Федерация. Постановление Правительства Российской Федерации. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. — Российская газета, 2012. № 256–5 с.
  4.                Аверченков В. И. Аудит информационной безопасности. 2-е издание: учеб. пособие для вузов — М.: ФЛИНТА, 2011. — 269 с.
Основные термины (генерируются автоматически): Россия, данные, информационная безопасность, информационная система, экспертно-документальный метод, негосударственный пенсионный фонд, Постановление Правительства, Российская Федерация, аудиторская группа, защита.


Похожие статьи

Метод сбора и представления данных для расчета стратегических показателей эффективности деятельности в области управления охраной труда производственных объектов

Статья посвящена разработке метода сбора и представления данных для расчета стратегических показателей эффективности деятельности в области управления охраной труда для повышения результативности и эффективности деятельности в системе менеджмента без...

Процедура оценки эффективности внедрения профессиональных стандартов в систему управления персоналом

В статье рассматривается и анализируется подход к оценке эффективности внедрения профессионального стандарта как инструмента административного регулирования в области социально-трудовых отношений в российских организациях. Даются определения понятий ...

Оптимизация системы контроля персонала на примере банковского сектора

В статье проводится анализ эффективности системы контроля персонала в организации с целью выявления факторов, снижающих оптимальный уровень ее результативности. Определяется понятие системы контроля персонала и ее основные элементы. Обозначаются взаи...

Применение программной системы Digital Security Office для проведения аудита безопасности информационной системы обработки персональных данных

В данной статье представлены результаты исследования по аудиту безопасности для информационной системы обработки персональных данных бухгалтерии университета. Исследования проводились в экспертной системе информационной безопасности Digital Security ...

Финансовый контроль в системе государственного управления

В статье проводится исследование теоретико-методологических положений и подходов к построению и развитию финансового контроля в системе государственного управления. Проведен анализ действующей системы общественного контроля в Российской Федерации. В ...

Информационные технологии банковской деятельности в РФ и их нормативно-правовое регулирование

В данной статье рассматриваются нормативно-правовые аспекты регулирования применяемых информационных систем и технологий в банковской деятельности Российской Федерации, а также нормы финансового права, четко закрепленные в нормативных актах в области...

Цели и требования при организации аудита консолидированной финансовой отчетности

В работе рассмотрены основные цели и требования при организации аудита консолидированной отчетности в соответствии с международными стандартами аудита. Как результат исследования был сделан вывод о том, что для эффективной организации аудита необходи...

Взаимосвязь оценки эффективности и результативности и иных кадровых технологий на государственной гражданской службе: правовой аспект

В статье проанализировано нормативно-правовое регулирование использования результатов оценки эффективности и результативности профессиональной служебной деятельности государственных гражданских служащих в других кадровых технологиях. С учётом функцио...

Региональные механизмы негосударственного пенсионного страхования (обеспечения) работников бюджетной сферы

В статье обобщен опыт региональных практик негосударственного пенсионного страхования работников бюджетной сфер, на основе которого проведена группировка регионов России по ряду классификационных признаков. Кроме того, обоснована целесообразность исп...

Анализ и выявление недостатков при работе в системе электронного конфиденциального документооборота

В научной статье проведен анализ актуальных недостатков и проблем системы электронного конфиденциального документооборота, используемого предприятиями российской экономики. Проанализирована роль конфиденциального электронного документооборота, как ин...

Похожие статьи

Метод сбора и представления данных для расчета стратегических показателей эффективности деятельности в области управления охраной труда производственных объектов

Статья посвящена разработке метода сбора и представления данных для расчета стратегических показателей эффективности деятельности в области управления охраной труда для повышения результативности и эффективности деятельности в системе менеджмента без...

Процедура оценки эффективности внедрения профессиональных стандартов в систему управления персоналом

В статье рассматривается и анализируется подход к оценке эффективности внедрения профессионального стандарта как инструмента административного регулирования в области социально-трудовых отношений в российских организациях. Даются определения понятий ...

Оптимизация системы контроля персонала на примере банковского сектора

В статье проводится анализ эффективности системы контроля персонала в организации с целью выявления факторов, снижающих оптимальный уровень ее результативности. Определяется понятие системы контроля персонала и ее основные элементы. Обозначаются взаи...

Применение программной системы Digital Security Office для проведения аудита безопасности информационной системы обработки персональных данных

В данной статье представлены результаты исследования по аудиту безопасности для информационной системы обработки персональных данных бухгалтерии университета. Исследования проводились в экспертной системе информационной безопасности Digital Security ...

Финансовый контроль в системе государственного управления

В статье проводится исследование теоретико-методологических положений и подходов к построению и развитию финансового контроля в системе государственного управления. Проведен анализ действующей системы общественного контроля в Российской Федерации. В ...

Информационные технологии банковской деятельности в РФ и их нормативно-правовое регулирование

В данной статье рассматриваются нормативно-правовые аспекты регулирования применяемых информационных систем и технологий в банковской деятельности Российской Федерации, а также нормы финансового права, четко закрепленные в нормативных актах в области...

Цели и требования при организации аудита консолидированной финансовой отчетности

В работе рассмотрены основные цели и требования при организации аудита консолидированной отчетности в соответствии с международными стандартами аудита. Как результат исследования был сделан вывод о том, что для эффективной организации аудита необходи...

Взаимосвязь оценки эффективности и результативности и иных кадровых технологий на государственной гражданской службе: правовой аспект

В статье проанализировано нормативно-правовое регулирование использования результатов оценки эффективности и результативности профессиональной служебной деятельности государственных гражданских служащих в других кадровых технологиях. С учётом функцио...

Региональные механизмы негосударственного пенсионного страхования (обеспечения) работников бюджетной сферы

В статье обобщен опыт региональных практик негосударственного пенсионного страхования работников бюджетной сфер, на основе которого проведена группировка регионов России по ряду классификационных признаков. Кроме того, обоснована целесообразность исп...

Анализ и выявление недостатков при работе в системе электронного конфиденциального документооборота

В научной статье проведен анализ актуальных недостатков и проблем системы электронного конфиденциального документооборота, используемого предприятиями российской экономики. Проанализирована роль конфиденциального электронного документооборота, как ин...

Задать вопрос