Abstract: Due to the identified lack of a unified approach to bringing the personal data information system (PDIS SGS) in line with the requirements, it is difficult to optimize the costs of building the PDIS SGS, which leads to the complication of auditing the information security of such a system. In addition, the experience gained during the construction and operation of the PDIS SGS (not built according to the standard) is simply lost. Under such conditions, it is impossible to collect statistics, which does not allow building a formal probabilistic model. To solve this problem, it is required to develop a unified methodology that reflects the audit programs for the personal data information system of the personnel department of a secondary school.
Keywords: PDIS, SGS, audit
Защита персональных данных достигла пика своей актуальности. Согласно аналитическому отчету экспертно-аналитического центра группы компаний InfoWatch [1]. С каждым годом происходит рост случаев утечки персональных данных. Согласно исследованиям компании, значительный рост пришелся на 2020 год, но в 2021 году рост продолжился. Связана это тенденция так же и с быстрым переходом компаний к дистанционным каналам обслуживания. В результате перехода в дистанционный режим работы большого количества компаний (государственных, коммерческих) увеличилось и количество хранящихся данных пользователей. Так же, отчет указывает и на рост утечки персональных данных (ПДн), происходящих по вине внутренних нарушителей.
Безусловно, проблема утечки ПДн не осталась не замеченной. С 2006 года действует закон «О персональных данных», согласно [2] частные и государственные компании и организации, которые хранят, обрабатывают, передают, собирают ПДн относятся к операторам персональных данных и имеют обязанность, согласно установленным требованиям [3], защищать персональные данные. Так же 27 марта 2021 года в КоАП РФ[4] внесены поправки в ст. 13.11, предусматривающее ужесточение ответственности за нарушения в области персональных данных [5]. Таким образом, при несоблюдении требований, оператору грозит финансовая, административная и уголовная ответственности [6].
Внесенные поправки помогут обратить внимание на проблему организациям, но решить ее поможет лишь единая методика проведения аудита информационной системы персональных данных средней общеобразовательной школы (ИСПДн СОШ). Стоимость и временные затраты, проведения аудита ИСПДн СОШ, довольно высоки, особенно для бюджетных организаций, но и актуальность проведения аудита на их территории тоже масштабна.
Согласно данным сборника «Россия в цифрах» [7] за 2020 год в сфере образования работают 5215,4 тыс. человек, из них 1087,3 тыс. учителей осуществляющих образовательную деятельность по образовательным программам начального, основного и среднего общего образования, за исключением руководителей и внешних совместителей. Так же по образовательным программам начального, основного и среднего общего образования обучаются 16 893,7 тыс. человек.
В ходе анализа имеющейся литературы по выбранной темы, приходим к выводу, что полноценной методики обнаружить не удалось, поэтому на основе имеющейся определим состав методики. В связи с отсутствием единого подхода к приведению ИСПДн СОШ в соответствие с требованиями, затрудняется оптимизация расходов на построение ИСПДн СОШ, что приводит к усложнению проведения аудита ИБ такой системы. К тому же, получаемый опыт, при построении и эксплуатации ИСПДн (построенной не по стандарту) просто теряется. В подобных условиях нельзя набрать статистику, что не позволяет построить формальную вероятностную модель.
Для решения поставленной задачи требуется разработать единую методику, в которой отражены программы аудита информационной системы персональных данных отдела кадров средней общеобразовательной школы.
Этап 1. Установить цель программы аудита.
Руководству необходимо установить цели для программы аудита ИСПДн СОШ, чтобы можно было проводить планирование и проведение аудитов, а также обеспечить эффективность программы аудита. Такими целями может быть оценка текущего уровня защищенности или оценка соответствия защиты ИСПДн требованиям нормативно-правовые документы [5]. А также одной из целей может являться выработка рекомендаций по повышению текущего уровня защищенности ИСПДн школы.
Этап 2. Установление объема программы аудита ИСПДн СОШ.
На начальном этапе следует определить компетентность сотрудника, осуществляющего управление программой аудита. Основными критериями для определения компетентности являются: наличие образования в сфере ИБ [8], наличие знаний навыков, необходимых для управления программой аудита [9].
Определить размеры аудируемой организации, масштаб оснащения техническими средствами, которые будут подвергнуты аудиту и на основании полученных данных определить объем программы аудита.
Этап 3. Выявление и оценка рисков для программы аудита ИСПДн СОШ.
Необходимо выявить возможные риски, которые могут повлиять на достижение целей программы аудита. Далее следует оценить риски наиболее подходящим методом оценки рисков, согласно [10].
Этап 4. Разработать процедуры для программы аудита ИСПДн СОШ.
Разработка процедур происходит на основании плана аудиторской проверки. Надзор процедур аудита зависит от целей аудита. Процедуры аудита ИСПДн СОШ должны быть детально прописаны, представляя собой подробные инструкции для членов аудиторской группы.
Одной из процедур программы аудита является процедура планирования и составления графика аудита с учетом рисков для программы аудита. При разработке данной процедуры следует учесть заявленные временные рамки при выявлении объема аудита, учитывая специфику работы учебного заведения в экзаменационный период. А также следует учесть значимость рисков, проанализированных на этапе 3.
На основе составленного графика следует сформировать команду по аудиту и распределить обязанности, опираясь на заявленные временные рамки, не нарушая [11], опыт работы, компетентность.
Каждый участок проверки необходимо сопровождать целями и задачами, указывать метод проводимого аудита, критерии аудита.
При проведения оценка соответствия защиты ИСПДн требованиям НПА, необходимо включить следующие процедуры:
- Определение целей, задач и границ аудита;
- Формирование аудиторской группы и назначение руководителя;
- Сбор информации;
- Анализ полученных исходных данных;
- Подготовка отчетной документации.
При определении целей, задач и границ аудита руководство школы определяет цели и задачи аудита, аудитор определяет границы проведения аудита.
При определении границ аудита СОШ следует учесть подразделения, в рамках которых происходит обработка ПДн сотрудников и обучающихся в СОШ, а также наличие специальных подразделений, должностных лиц, которые могут привести к расширению типовых границ аудита СОШ. Так же границами аудита определяются планируемые сроки и продолжительность проведения аудита в СОШ.
При формировании аудиторской группы следует учитывать опыт и образование аудиторов, входящих в аудиторскую группу, заявленные временные рамки и соответствие нагрузки установленным требованиям [11].
На этапе сбора информации необходимо осуществить запрос необходимой информации, проведение анкетирования, проведение интервьюирования.
На этапе анализа полученных исходных данных необходимо осуществить анализ полноты и содержания существующей организационно-распорядительной документации, требованиям по защите информации, определение уровня защищенности ИТ-инфраструктуры, анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов и прочее.
По итогу проведения аудита необходимо осуществить запись результатов аудита ИСПДн СОШ. По всем рассмотренным направлениям оформляются протоколами. На основании полученных результатов принимается заключение, которое должно включать:
- оценку соответствия ИСПДн требованиям безопасности информации;
- перечень выявленных недостатков и нарушений;
- рекомендации по устранению выявленных недостатков и нарушений.
Оценка соответствия ИСПДн требованиям безопасности информации проводится на основании анализа общих результатов контрольных испытаний и выявленных в процессе проведения аудита конкретных недостатков и нарушений.
Применение рассмотренной методики окажет значительную поддержку ответственным руководителям образовательных организаций путем значительного сокращения материальных и временных затрат при проведении аудита ИСПДн, а качественно проведенный аудит поможет исключить возможность финансовой, административной, уголовной и репутационной ответственности.
References
1. Аналитический отчёт исследований случаев утечек информации ограниченного доступа - URL: https://www.infowatch.ru/analytics/analitika/v-2021-stalo-bolshe-umyshlennykh-utechek (дата обращения: 26.04.2022)2. Постановление Правительства РФ N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" от 01.11.2012
3. Федеральный закон ФЗ № 19 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" от 24 февраля 2021 г.
4. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 02.08.2019) // Собрание законодательства РФ. - 07.01.2002. - № 1 (ч. 1).
5. Федеральный закон о персональных данных от 27 июля 2006 г. N 152-ФЗ // Собрание законодательства Российской Федерации. — 2006.
6. Уголовный кодекс Российской Федерации: Федеральный закон от 13.06.1996, № 63-ФЗ (ред. от 30.03.2015).- Москва: Проспект. - 2016.
7. Россия в цифрах. 2020: Крат.стат.сб./Росстат- М., 2020 – 550 с
8. Федеральный закон N 307-ФЗ "Об аудиторской деятельности" от 30.12.2008
9. State Standard ISO/MEK 19011:2011. Guidelines for auditing management systems. Moscow, Standartinform Publ., 2011. (in Russian). ИСО
10. State Standard ISO/IEC 27005 - 2014 Information technology. Security techniques. Information security risk management. Moscow, Standartinform Publ., 2014. (in Russian). ИСО
11. Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (с изм. от 23 июля 2013 г.) // Собрание законодательства РФ. 2002. № 1 (ч. 1). Ст. 3.
12. State Standard ISO/MEK 27007 - 2014. Information technology. Security techniques. Guidelines for information security management systems auditing. Moscow, Standartinform Publ., 2015. 27 p. (in Russian). ИСО
13. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — М.: Изд-во стандартов, 2013.— 20 с.
14. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
15. Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".