Обстановка в сфере информационных технологий постоянно меняется, появляются новые угрозы конфиденциальности информации, а также и новые технические и программные средства, необходим постоянный контроль надежности системы защиты. Именно эту функцию и выполняет аудит информационной безопасности (далее — аудит ИБ).
Аудит ИБ — это систематическая, независимая и документированная проверка (оценка) выполнения в организации обязательных требований и норм, установленных в нормативных правовых актах и стандартах Российской Федерации, а также в организационно-распорядительных документах (локальных актах) организации в области ИБ и выработки рекомендаций по устранению выявленных нарушений [1].
Аудит предназначен для проверки обязательных требований, установленных нормативными правовыми актами и организационно-распорядительными документами (локальными актами, которые издаются юридическим лицом самостоятельно).
Анализ нормативно-правовой базы в области защиты информационной системы персональных данных (далее — ИСПДн) показал, что в Российском Законодательстве нет документов, описывающих методику проведения аудита ИБ ИСПДн. Более того отсутствуют документы, регламентирующие процесс проведения аудита ИСПДн в самих образовательных учреждениях.
В этой связи разработка методики аудита ИБ ИСПДн средней общеобразовательной школы (далее — СОШ) представляется одним из важнейших вопросов в сфере защиты конфиденциальности информации с ограниченным доступом.
Общие сведения
Методика аудита ИБ ИСПДн СОШ (далее — Методика) разрабатывается в соответствии с требованиями, указанными в документах:
- Федеральный закон от 27.07.2006 г. № 152–ФЗ «О персональных данных».
- Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Методический документ. Меры защиты информации в государственных информационных системах, утвержденный ФСТЭК России 11.02.2014 г.
Целью аудита по данной Методике является получение достоверных данных о ИСПДн СОШ, подкрепленных фактами и документами, которые позволили бы максимально объективно оценить степень соответствия ИСПДн СОШ требованиям по обеспечению безопасности ПДн.
Обработка ПДн в СОШ осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Персональные данные работника — это информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника.
К предоставляемым ПДн работника относится информация, содержащаяся в трудовой книжке, в страховом свидетельстве государственного пенсионного страхования, информация об образовании и квалификации, информация медицинского характера, информация в документах воинского учета и в других документах, которые содержат данные, необходимые работодателю в связи с установлением трудовых отношений.
Анализ ПДн, обрабатываемых в ИСПДн образовательных структур, позволил выделить особую категорию ПДн — ПДн несовершеннолетних.
ПДн несовершеннолетних можно охарактеризовать как особый вид информации с ограниченным доступом, затрагивающий интересы лиц в возрасте до 18 лет, который отличается более узким кругом относимых к ней сведений, участием в защите ее конфиденциальности родителей или законных представителей, широким кругом полномочий в процессе обработки ПДн государственных органов в сфере образования, социальной защиты, здравоохранения и профилактики правонарушений [2].
К ПДн обучающегося относятся сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле обучающегося; сведения, содержащиеся в документах воинского учета (при их наличии); информация об успеваемости и о состоянии здоровья, документ о месте проживания и иные сведения, необходимые для определения отношений обучения и воспитания.
Методика аудита информационной безопасности информационной системы персональных данных средней общеобразовательной школы.
Вне зависимости от вида и объекта исследования аудит ИБ ИСПДн проводится в три этапа (рис.1). На предварительном этапе образовательным учреждением предоставляются все организационно-распорядительные документы по ИСПДн, разработанные в СОШ. Этап непосредственного проведения аудита проводится в соответствии с программой (планом) проведения аудита, разработанной и согласованной с руководством СОШ. На заключительном этапе подготавливается отчет в соответствии с программой (планом), содержащий выявленные недостатки ИСПДн СОШ и рекомендации по их устранению.
Рис. 1. Этапы проведения аудита информационной безопасности
Предварительный этап включает в себя проведение организационных мероприятий с учетом требований заказчика. Определяются цели, задачи, границы проведения аудита ИБ ИСПДн СОШ. Составляется и заключается договор на проведение аудита ИБ ИСПДн между заказчиком и аудитором, в котором определены и документально закреплены в должностных инструкциях аудитора права и обязанности. Определяется состав аудиторской группы и назначается ее руководитель. Готовится программа (план) аудита ИБ ИС руководителем аудиторской группы и согласовывается с руководством СОШ [3].
Рис. 2. Методика аудита информационной системы персональных данных средней общеобразовательной школы
Этап непосредственного проведения аудита включает проверку и оценку полноты и качества имеющихся в организации локальных актов (организационно-распорядительных), документов (документарный аудит), эффективности технических мер по защите информации и действий персонала (руководящего и обеспечивающего) для достижения целей и решения задач ИБ в организации.
Документальный аудит включает проверку и оценку наличия, полноты и качества имеющихся в СОШ локальных актов (организационно-распорядительных) для определения соответствия положений, отраженных в них, критериям безопасности ПДн:
а) достаточности представленных документов и соответствия их содержания требованиям РД;
б) правильности классификации ИСПДн;
в) выполнения требований РД по обеспечению безопасности ПДн [3].
Проверка и анализ документов могут проводиться на всех этапах аудиторской проверки. Данные с проверки документации позволяют получить свидетельства аудита ИБ.
Технический аудит ИСПДн проводится для проверки реализации требований. При проведении технического аудита могут использоваться экспертный, экспертно-документальный и инструментальный методы. Экспертный метод направлен на формальную проверку реализация выполнения требований, предъявляемых к ИСПДн. Экспертно-документальный метод направлен на проверку не только реализации выполнения требований, предъявляемых к ИСПДн, а также на работоспособность, достаточность эксплуатационной документации для установки и работы с ними. Инструментальный метод включает в себя проведение проверок с использованием дополнительных программных и технических средств, таких как:
- средства контроля защищенности от НСД;
- сетевые сканеры безопасности;
- программы поиска и гарантированного уничтожения информации на дисках;
- средства фиксации и контроля исходного состояния программного комплекса.
Вначале необходимо проверить СЗИ на соответствие требованиям безопасности, приведенным в руководящих документах о защите от несанкционированного доступа к информации. Если СЗИ соответствуют выдвинутым требованиям, то проверяется реализация мер ЗИ, установленных в Приказе ФСТЭК России от 18.02.2013 г. № 21 [4]. Иначе результаты о несоответствии СЗИ требованиям безопасности заносятся в отчет.
По завершении проверки аудиторская группа должна предоставить установленным получателям отчет по результатам проведения аудита ИБ. После завершения всех этапов аудита и подготовки отчета аудитор не должен удалять или выбрасывать документацию до окончания установленного периода хранения. В соответствии со стандартами срок хранения рабочих документов составляет не менее пяти лет с даты аудиторского отчета.
Вышеизложенный алгоритм аудита ИБ ИСПДн СОШ приведен на рисунке 2.
Заключение
Указанный контроль проводится не реже одного раза в три года, если это внешний аудит, либо раз в год, если это внутренний аудит.
В основе внешнего аудита ИБ лежит стремление руководства школы с помощью проведения независимой и компетентной оценки определить истинный уровень организации работ по защите ПДн, степень соответствия ИСПДн выдвинутым критериям аудита и принять эффективные меры по устранению недостатков.
Поэтому изучение данного вопроса помогает в решении конкретных практических задач по аудиту информационной безопасности, предназначенному для получения достоверных данных о ИСПДн СОШ, подкрепленных фактами и документами, которые позволили максимально объективно оценить степень соответствия ИСПДн СОШ требованиям по обеспечению безопасности ПДн.
Использование данной методики позволяет снизить риск административной, уголовной, гражданско-правовой, дисциплинарной ответственности.
Литература:
1. Новиков В. К. Организационное и правовое обеспечение информационной безопасности: в 2-х ч.: Учеб. пособие. Ч. 2: Организационное обеспечение информационной безопасности; Министерство образования и науки РФ, Национальный исследовательский университет «МИЭТ». — М.: МИЭТ, 2013. — 172 с.
2. Покаместова Е. Ю. Правовая защита конфиденциальности персональных данных несовершеннолетних. — [Электронный ресурс]. — Воронеж, 2010 — Режим доступа: http://law.edu.ru/book/book.asp?bookID=1291833.
3. Милославская Н. Г., Сенаторов М. Ю., Толстой А. И. Проверка и оценка деятельности по управлению информационной безопасностью. Серия «Вопросы управление информационной безопасностью». Выпуск 5. — М.: Горячая линия — Телеком, 2012. — 166 с.
4. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — М.: Изд-во стандартов, 2013. — 20 с.
