Научная статья на тему 'Методика оценки соответствия информационной безопасности операторов персональных данных требованиям законодательства в области защиты персональных данных'

Методика оценки соответствия информационной безопасности операторов персональных данных требованиям законодательства в области защиты персональных данных Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY-NC-ND
907
68
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЗАКОНОДАТЕЛЬСТВО В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ / THE PERSONAL DATA LEGISLATION / ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ / PERSONAL DATA PROTECTION / ТРЕБОВАНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ / INFORMATION SECURITY REQUIREMENTS / КРИТЕРИИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ / CRITERIA OF MEETING THE REQUIREMENTS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Бейбутов Эльман Рафикович

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» возложил на организации, осуществляющие обработку персональных данных, ответственность за соблюдение требований безопасности любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Принятые на основании указанного Федерального закона нормативно-правовые акты дополнили и уточнили требования информационной безопасности, создав теоретико-практическую базу проведения работ по защите персональных данных. В настоящей статье предлагается методика, позволяющая решить актуальную проблему оценки полноты выполнения требований законодательства в области защиты персональных данных. Автором проведен анализ нормативно-правовых актов, предложена систематизация требований безопасности по трем уровням: менеджмент, организационный, программно-технический, с дальнейшей их декомпозицией, позволяющей провести количественную и качественную экспертную оценку соответствия операторов персональных данных требованиям законодательства в области защиты персональных данных.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Estimation procedure of personal data operators information security correspondence to legislative requirements on personal data protection

The federal law from July, 27th, 2006 № 152-FZ About the personal data has assigned on organizations, carrying out the personal data processing, the responsibility for safety requirements observance for any information concerning the physical person defined on the basis of such information (the subject of the personal data). The regulatory legal acts accepted on the basis of the specified Federal law have added and have specified information security requirements, having created theory-practical basis for works on the personal data protection. In the present article the technique, allowing to solve an actual problem of requirements observation estimation in the field of personal data protection is offered. The author carries out the analysis of regulatory legal acts, ordering of safety requirements on three levels is offered: 301 Management, organizational, software-technical, with their further decomposition, allowing to perform a quantitative and qualitative expert estimation of operators conformity to these requirements.

Текст научной работы на тему «Методика оценки соответствия информационной безопасности операторов персональных данных требованиям законодательства в области защиты персональных данных»

Э.Р. Бейбутов

МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» возложил на организации, осуществляющие обработку персональных данных, ответственность за соблюдение требований безопасности любой информации, относящейся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Принятые на основании указанного Федерального закона нормативно-правовые акты дополнили и уточнили требования информационной безопасности, создав теоретико-практическую базу проведения работ по защите персональных данных. В настоящей статье предлагается методика, позволяющая решить актуальную проблему оценки полноты выполнения требований законодательства в области защиты персональных данных. Автором проведен анализ нормативно-правовых актов, предложена систематизация требований безопасности по трем уровням: менеджмент, организационный, программно-технический, с дальнейшей их декомпозицией, позволяющей провести количественную и качественную экспертную оценку соответствия операторов персональных данных требованиям законодательства в области защиты персональных данных.

Ключевые слова: законодательство в области персональных данных, защита персональных данных, требования безопасности информации, критерии выполнения требований.

С момента вступления в силу Федерального закона от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» органами законодательной и исполнительной власти Российской Федерации были разработаны и приняты нормативно-правовые акты, раскрывающие обширный пере-

© Бейбутов Э.Р., 2010

чень обязанностей организаций, осуществляющих обработку персональных данных (ПДн), а также задающих цели и содержание обработки ПДн (далее - операторов ПДн, операторов). Принятое законодательство защищает права и свободы человека и гражданина России, возлагая ответственность на операторов за обеспечение информационной безопасности (ИБ) ПДн при их обработке как автоматизированными, так и неавтоматизированными способами. К основным нормативно-правовым актам, раскрывающим обязанности операторов и порядок проведения мероприятий по защите ПДн, можно отнести следующие:

- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

- Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, Федеральной службы безопасности (ФСБ) России и Министерства информационных технологий и связи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

- методические рекомендации и типовые требования по обеспечению с помощью криптосредств безопасности персональных данных, принятые 8 Центром ФСБ России 21 февраля 2008 г.;

- основные мероприятия и рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, принятые ФСТЭК России 15 февраля 2008 г.

После проведения анализа требований перечисленных нормативно-правовых актов и практического применения методических документов в создании систем защиты персональных данных (СЗПДн) была выявлена необходимость в методике, позволяющей оценить соответствие ИБ операторов ПДн требованиям законодательства в области защиты ПДн.

Была задана цель работы, которая заключается в создании набора критериев и формировании правил оценки уровня соответствия ИБ операторов ПДн требованиям законодательства в области защиты ПДн.

Методика должна достигнуть поставленной цели при решении следующих задач:

- определение состава критериев и частных показателей ИБ ПДн и правил их оценки;

- определение правил оценивания менеджмента ИБ ПДн;

- определение правил оценивания организационного уровня ИБ ПДн;

- определение правил оценивания программно-технического уровня ИБ ПДн;

- определение итогового уровня соответствия ИБ операторов ПДн требованиям законодательства в области защиты ПДн.

Анализ нормативно-правовых актов позволил распределить требования безопасности информации по трем группам в зависимости от области обеспечения ИБ1: требования к уровню менеджмента ИБ ПДн; требования к организационному уровню ИБ ПДн; требования к программно-техническому уровню ИБ ПДн.

Под менеджментом ИБ ПДн будем понимать стратегическое управление обеспечением безопасности ПДн, реализованное путем определения руководством организации целей защиты и принятия решений по их достижению. Менеджмент ИБ ПДн включает в себя следующие процессы:

- определение требований по обеспечению ИБ ПДн на основе анализа моделей угроз и нарушителя ИБ ПДн;

- утверждение способов защиты (мер и средств), позволяющих выполнить требования безопасности информации;

- управление обеспечением (кадровым, финансовым, информационным) для достижения целей защиты ПДн;

- сертификация средств защиты информации и аттестация автоматизированных ИСПДн, а также мониторинг и контроль эффективности внедренных способов защиты;

- соблюдение законности в лицензируемых областях деятельности;

- принятие решений и утверждение планов по улучшению обеспечения ИБ ПДн по результатам анализа эффективности способов защиты или в случаях возникновения инцидентов ИБ ПДн.

Под организационным уровнем ИБ ПДн будем понимать регламентацию технологических процессов обработки ПДн, обслуживания ИСПДн и взаимодействия сотрудников организации на нормативно-правовой основе, исключающей или снижающей вероятность нанесения ущерба правам и свободам субъектов ПДн. На организационном уровне ИБ решаются следующие задачи защиты ПДн:

1) подготовка сотрудников, распределение ролей и назначение ответственности за нарушение безопасности ПДн при их обработке в ИСПДн;

2) применение организационных средств защиты при проектировании, строительстве, оборудовании и эксплуатации помещений, узлов сети и других объектов ИСПДн;

3) разработка частных политик ИБ, регламентирующих управление учетными записями пользователей ИСПДн, внесение изменений в конфигурации программно-технического обеспечения ИСПДн, управление жизненным циклом ПДн и эскалацией инцидентов ИБ ПДн.

Под программно-техническим уровнем ИБ ПДн понимается выполнение задач, поставленных менеджментом организации и на организационном уровне ИБ ПДн требующих проектирования, внедрения и эксплуатации программно-технических средств защиты информации. Полнота выполнения требований программно-технического уровня ИБ ПДн зависит от достижения целей защиты ПДн от несанкционированного доступа (НСД), в том числе с использованием средств криптографической защиты информации, и от утечки по техническим каналам.

Правила выставления баллов по частным показателям

Оценка выполнения требований законодательства в области защиты ПДн рассчитывается по каждой из представленных групп требований. Для этого формируются наборы критериев, а для каждого критерия составляется набор частных показателей. Частные показатели представляются в виде вопросов, ответы на которые ранжируются по следующему принципу2:

- «нет» - значению частного показателя присваивается балл, равный нулю;

- «частично» - значению частного показателя присваивается балл, равный 0,25; 0,5 или 0,75;

- «да» - значению частного показателя присваивается балл, равный единице;

- «не применимо» - частный показатель не используется при вычислении оценки выполнения критерия.

Частные показатели каждого критерия имеют весовые коэффициенты значимости, сумма которых равна единице. Если частный показатель предназначен для оценки требований, которые не относятся к деятельности организации или на момент оценки не являются актуальными для организации, что документально зафикси-

ровано во внутренних документах организации, то данный частный показатель определяется как неоцениваемый (должна быть заполнена графа «н/п» - не применимо) и не учитывается в формировании дальнейших результатов оценки. При этом необходимо выполнить процедуру нормировки коэффициентов значимости оставшихся частных показателей ИБ ПДн в рамках критерия.

При выставлении баллов по частным показателям проводится оценка степени документированности требований, или степени выполнения требований, или одновременно степеней документиро-ванности и выполнения требований.

При выставлении баллов по частным показателям, для которых оценивается как степень документированности, так и степень выполнения, рекомендуется использовать шкалу, представленную в таблице 1.2. Результаты таблицы 1.2 получены на основе данных таблицы 1.1 и формулы (1).

Таблица 1.1

Рекомендуемые критерии выставления баллов частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ

Не документи- Частично доку- Полностью

рованы ментированы документированы

Не выполняются 0 0 1

Частично выполняются 1 1 2

Полностью выполняются 2 3 4

Для перехода к нормированным оценкам необходимо значение балла разделить на максимально допустимый балл для рассматриваемого частного показателя. В результате вычисляется нормированный балл частного показателя Ку:

В

(1)

У птах

Вш

ч

где Ву - балл, выставленный в соответствии с полнотой реализации требования; Вттах - максимально допустимый балл для рассматриваемого частного показателя.

Таким образом, таблица 1.1 приводится к виду таблицы 1.2, в которой отражена зависимость нормированных баллов от полноты реализации требования ИБ ПДн.

Таблица 1.2

Рекомендуемые критерии выставления нормированных баллов частных показателей ИБ, в которых оценивается как степень документированности, так и степень выполнения требований ИБ

Нормированный балл частного показателя ИБ Критерий выставления балла частного показателя ИБ

0 Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации и не выполняются

0 Требования частного показателя ИБ частично установлены в нормативных документах проверяемой организации, но не выполняются

0,25 Требования частного показателя ИБ полностью установлены в нормативных документах проверяемой организации, но не выполняются

0,25 Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,25 Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,5 Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в неполном объеме

0,5 Требования частного показателя ИБ не установлены во внутренних нормативных документах проверяемой организации, но выполняются в полном объеме

0,75 Требования частного показателя ИБ частично установлены во внутренних нормативных документах проверяемой организации, но выполняются в полном объеме

1 Требования частного показателя ИБ полностью установлены во внутренних нормативных документах проверяемой организации и выполняются в полном объеме

При проведении оценки частных показателей, для которых оценивается только степень документированности, рекомендуется использовать следующий общий подход (табл. 2.1):

Таблица 2.1

Рекомендуемые критерии выставления баллов частных показателей ИБ, в которых оценивается только степень документированности требований ИБ

Не документированы Частично документированы Полностью документированы

0 1 2

В соответствии с формулой (1) таблица 2.1 приводится к виду таблицы 2.2, в которой отражена зависимость нормированных оценок от полноты документированности требований ИБ.

Таблица 2.2

Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень документированности требований ИБ

Нормированный балл частного показателя ИБ Критерий выставления балла частного показателя ИБ

0 Требования частного показателя И Б не установлены во внутренних нормативных документах проверяемой организации

0,5 Требования частного показателя ИБ частично установлены в нормативных документах проверяемой организации

1 Требования частного показателя И Б полностью установлены в нормативных документах проверяемой организации

При проведении оценки частных показателей, для которых оценивается только степень выполнения, рекомендуется использовать следующий общий подход (табл. 3.1):

Таблица 3.1

Рекомендуемые критерии выставления баллов частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ

Не выполняются Частично выполняются Полностью выполняются

0 1 2

В соответствии с формулой (1) таблица 3.1 приводится к виду таблицы 3.2, в которой отражена зависимость нормированных оценок от полноты документированности требований ИБ.

Таблица 3.2

Рекомендуемые критерии выставления оценок частных показателей ИБ, в которых оценивается только степень выполнения требований ИБ

Нормированный балл частного показателя ИБ Критерий выставления балла частного показателя ИБ

0 Требования частного показателя ИБ не выполняются

0,5 Требования частного показателя ИБ выполняются в неполном объеме

1 Требования частного показателя ИБ выполняются в полном объеме

Выставление баллов по частным показателям ИБ должно основываться на свидетельствах аудита, в качестве основных источников которых рекомендуется использовать:

- локальные нормативные документы проверяемой организации и при необходимости документы третьих лиц, относящиеся к обеспечению ИБ ПДн в организации;

- устные высказывания сотрудников проверяемой организации в процессе проводимых опросов;

- результаты наблюдений членов аудиторской группы за деятельностью сотрудников проверяемой организации в области ИБ ПДн.

В процессе проведения устного опроса сотрудников проверяемой организации и наблюдений за деятельностью указанных сотрудников члены аудиторской группы должны сделать вывод о сте-

пени соответствия оцениваемой деятельности требованиям внутренних нормативных документов проверяемой организации.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Полученные свидетельства аудита ИБ ПДн и источники их получения должны быть задокументированы путем составления листов для сбора свидетельств аудита ИБ ПДн. При заполнении листов для сбора свидетельств аудита ИБ ПДн необходимо указать ссылки на соответствующие локальные нормативные документы проверяемой организации, результаты опроса сотрудников проверяемой организации, а также результаты наблюдений членов аудиторской группы. Результаты опроса и наблюдений должны быть подтверждены подписью опрашиваемого сотрудника организации и члена аудиторской группы.

Оценка менеджмента ИБ ПДн

Оценка менеджмента ИБ ПДн осуществляется с помощью критериев и частных показателей ИБ ПДн, позволяющих определить степень выполнения требований законодательства в области ПДн (табл. 4).

Таблица 4

Набор критериев оценки менеджмента ИБ ПДн

Обозначение

Наименование критерия ИБ ПДн

критерия

MNG1 Разработка замысла обеспечения ИБ ПДн

MNG2 Обоснование требований по обеспечению ИБ ПДн

MNG3 Разработка внутренних документов, регламентирующих управ-

ление обеспечением ИБ ПДн

MNG4 Разработка программы по обучению и повышению осведомлен-

ности персонала в области ИБ ПДн

MNG5 Выбор целесообразных способов (мер и средств) защиты ПДн

в соответствии с задачами и замыслом обеспечения ИБ ПДн

MNG6 Планирование мероприятий по обеспечению ИБ ПДн

MNG7 Организация работ по вводу в эксплуатацию СЗПДн в ИСПДн

MNG8 Мониторинг и контроль эффективности мер обеспечения И Б

ПДн

MNG9 Аттестация или декларирование соответствия ИСПДн по тре-

бованиям безопасности информации

MNG10 Лицензирование деятельности по технической защите кон-

фиденциальной информации

MNG11 Разработка решений по улучшению обеспечения ИБ ПДн

Для каждого критерия менеджмента ИБ ПДн ММС1-МЫС11 разрабатываются частные показатели, которым присваиваются весовые коэффициенты значимости. Состав и содержание частных показателей определяются в соответствии с требованиями нормативно-правовых актов в области защиты ПДн. Так, например, для критерия МЫС1 «Разработка замысла обеспечения ИБ ПДн» частными показателями являются3:

- определение состава, содержания и местонахождения ПДн, подлежащих защите;

- проведение категорирования ПДн;

- проведение оценки выполнения обязанностей по обеспечению безопасности ПДн оператором;

- проведение оценки возможности физического доступа к ИСПДн;

- выявление возможных технических каналов утечки информации;

- анализ возможностей программно-математического воздействия на ИСПДн;

- анализ возможностей электромагнитного воздействия на ПДн, обрабатываемые в ИСПДн;

- проведение оценки непосредственного ущерба от реализации угроз безопасности ПДн;

- проведение оценки опосредованного ущерба от реализации угроз безопасности ПДн;

- анализ имеющихся в распоряжении мер и средств защиты ПДн от физического доступа;

- анализ имеющихся в распоряжении мер и средств защиты ПДн от утечки по техническим каналам утечки информации;

- анализ имеющихся в распоряжении мер и средств защиты ПДн от несанкционированного доступа;

- анализ имеющихся в распоряжении мер и средств защиты ПДн от программно-математических воздействий;

- анализ имеющихся в распоряжении мер и средств защиты ПДн от электромагнитного излучения;

- определение направлений сосредоточения усилий по защите ПДн;

- выбор основных способов защиты ПДн;

- решение основных вопросов управления защитой ПДн;

- решение основных вопросов финансового, технического и программного, информационного и кадрового обеспечения.

Вычисление оценки по критерию МЫС1 «Разработка замысла обеспечения ИБ ПДн» выполняется по формуле (2.1):

ММСг = £ аМ*с X , (2.1)

з=1 ' '

где аМж - весовой коэффициент з'-ого частного показателя г-ого критерия менеджмента ИБ ПДн; ррМ^с - значение з'-ого частного показателя г-ого критерия менеджмента ИБ ПДн, вычисленное по правилам выставления баллов, описанным выше; N - общее количество критериев менеджмента ИБ ПДн.

Аналогичным образом проводится оценка выполнения всех остальных критериев, а для оценки менеджмента ИБ ПДн в целом необходимо определить среднее значение оценок критериев по формуле (3.1):

I МШг

tVMNG =-N-' ( )

где EVMNG - оценка менеджмента ИБ ПДн; MNGi - значение оценки г-ого критерия менеджмента ИБ ПДн.

Оценка организационного уровня ИБ ПДн

Оценка организационного уровня ИБ ПДн осуществляется с помощью критериев и частных показателей ИБ ПДн, позволяющих определить степень выполнения требований законодательства в области защиты ПДн (табл. 5).

Таблица 5

Набор критериев оценки организационного уровня ИБ ПДн4

Обозначение критерия Наименование критерия ИБ ПДн

ORG1 Подготовка персонала к безопасной обработке ПДн

ORG2 Обеспечение организационной защиты помещения и средств

вычислительной техники

ORG3 Управление учетными записями

ORG4 Управление конфигурациями и изменениями

ORG5 Управление уязвимостями ИСПДн

ORG6 Управление жизненным циклом обработки ПДн

ORG7 Управление инцидентами ИБ ПДн

ORG8 Управление жизненным циклом ключей шифрования СКЗИ

ORG9 Управление внешними подключениями к ИСПДн

Для каждого критерия организационного уровня ИБ ПДн ORG1-ORG9 разрабатываются наборы частных показателей. Каждому частному показателю присваивается весовой коэффициент значимости. Состав и содержание частных показателей определяются в соответствии с требованиями нормативно-правовых актов в области защиты ПДн. Так, например, для критерия ORG1 «Подготовка персонала к безопасной обработке ПДн» частными показателями являются:

- определение круга лиц, допущенных к обработке ПДн;

- распределение обязанностей и персонификация ролей в управлении жизненным циклом ПДн и управлении инцидентами ИБ ПДн;

- ознакомление с положением по обеспечению безопасности ПДн при их обработке;

- ознакомление с мерами ответственности за нарушение правил защиты ПДн;

- установление персональной ответственности за нарушения правил обработки ПДн;

- реализация программ по обучению и повышению квалификации сотрудников при работе со средствами защиты информации.

Вычисление оценки по критерию ORG1 «Подготовка персонала к безопасной обработке ПДн» выполняется по формуле (2.2):

M

ORGi = £ aORG х PForg, (2.2)

j=i

где aORG - весовой коэффициент j-ого частного показателя г-ого

ORG

критерия организационного уровня ИБ ПДн; PF° - значение j-ого частного показателя г-ого критерия организационного уровня ИБ ПДн, вычисленное по правилам выставления баллов, описанным выше; M - общее количество критериев организационного уровня ИБ ПДн.

Аналогичным образом проводится оценка выполнения всех остальных критериев, а для оценки организационного уровня ИБ ПДн в целом необходимо определить среднее значение оценок критериев по формуле (3.2):

EVQRG ==£MG, (32)

где EVorg - оценка организационного уровня ИБ ПДн; ORGг -значение оценки г-ого критерия организационного уровня ИБ ПДн.

Оценка программно-технического уровня ИБ ПДн

Оценка программно-технического уровня ИБ ПДн осуществляется с помощью критериев и частных показателей ИБ ПДн, позволяющих определить степень выполнения требований законодательства в области персональных данных (табл. 6).

Таблица 6

Набор критериев оценки программно-технического уровня ИБ ПДн4

Обозначение критерия Наименование критерия ИБ ПДн

РЯГ1 Актуальность проектной и рабочей документации на

СЗПДн

РЯТ2 Выполнение требований безопасности для подсистемы уп-

равления доступом

рщ Выполнение требований безопасности для подсистемы реги-

страции и учета

РЯТ4 Выполнение требований безопасности для подсистемы обес-

печения целостности

РЯТ5 Выполнение требований безопасности для подсистемы кон-

троля отсутствия недекларированных возможностей

РЯГб Выполнение требований безопасности для подсистемы ана-

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

лиза защищенности

РЯГ7 Выполнение требований безопасности для подсистемы обна-

ружения вторжений

РЯТ8 Выполнение требований безопасности для подсистемы анти-

вирусной защиты

РЯГ9 Выполнение требований безопасности по межсетевому экра-

нированию

РЯТ10 Выполнение требований безопасности по закрытию техниче-

ских каналов утечки ПДн

РЯТ11 Выполнение требований безопасности по инженерно-тех-

нической защите помещений и средств вычислительной

техники

РЯТ12 Использование сертифицированных средств защиты

Для каждого критерия программно-технического уровня ИБ ПДн PRT1-PRT9 разрабатываются наборы частных показателей. Состав и содержание частных показателей определяются в соответствии с требованиями нормативно-правовых актов в области защиты ПДн. Так, например, для критерия PRT1 «Актуальность проектной и рабочей документации на СЗПДн» частными показателями являются5:

- наличие пояснительной записки к техническому проекту;

- наличие описания комплекса технических средств;

- наличие описания программного обеспечения;

- наличие схем соединения внешних проводок;

- наличие чертежа установки технических средств;

- описание технологического процесса обработки данных;

- наличие программы и методики испытаний;

- наличие паспорта на СЗПДн.

Вычисление оценки по критерию PRT1 «Актуальность проектной и рабочей документации на СЗПДн» выполняется по формуле (2.3):

PRTl = 1 аР X PFPR■, (2.3)

з=1

где аiрRT - весовой коэффициент р-ого частного показателя г-ого критерия программно-технического уровня ИБ ПДн; PFiрRT - значение з-ого частного показателя г-ого критерия программно-технического уровня ИБ ПДн, вычисленное по правилам выставления баллов, описанным выше; К - общее количество критериев программно-технического уровня ИБ ПДн.

Аналогичным образом проводится оценка выполнения всех остальных критериев, а для оценки программно-технического уровня ИБ ПДн в целом необходимо определить среднее значение оценок критериев по формуле (3.3):

^ = ^ (3.3)

где EVPRT - оценка программно-технического уровня ИБ ПДн; PRTi - значение оценки г-ого критерия программно-технического уровня ИБ ПДн.

Определение итогового уровня соответствия ИБ операторов ПДн требованиям законодательства в области защиты ПДн

Конечным результатом, который позволяет рассчитать предлагаемая методика, является качественная и количественная оценка итогового уровня соответствия ИБ операторов ПДн требованиям законодательства в области защиты ПДн.

Следуя делению шкалы оценок от 0 до 1 по принципу дихотомии, образуем 5 рангов со следующими диапазонами:

ранг 5 - (0,95; 1];

ранг 4 - (0,88; 0,95];

ранг 3 - (0,75; 0,88];

ранг 2 - (0,5; 0,75];

ранг 1 - [0; 0,5].

Каждая полученная оценка EVMNG, EVORG, EVPRT ранжируется в соответствии с ее значением и диапазонами шкалы.

Итоговый уровень соответствия определяется по наименьшему значению из трех оценок по направлениям оценки:

- оценки менеджмента ИБ ПДн организации;

- оценки организационного уровня ИБ ПДн организации;

- оценки программно-технического уровня ИБ ПДн организации.

Полученное значение итогового уровня ИБ операторов является основой при формировании заключения по результатам оценки выполнения требований законодательства в области защиты ПДн.

Примечания

1 Галатенко В.А. Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности // Jet Info. 2006. № 4 (155). С. 2-26.

2 Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» СТО БР ИББС 1.2-2009. С. 7-9.

3 См.: Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России от 15 февраля 2008 г. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персо-

нальных данных при их обработке в информационных системах персональных данных, 8 Центр ФСБ России от 21 февраля 2008 г.

4 Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, 8 Центр ФСБ России от 21 февраля 2008 г. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, ФСТЭК России от 15 февраля 2008 г.

5 См.: ГОСТ 34.201-89: Виды, комплектность и обозначение документов при создании автоматизированных систем. М., 1989.

i Надоели баннеры? Вы всегда можете отключить рекламу.