CC BY
128
УДК 339:002
МЕТОДИКА ОЦЕНКИ СТЕПЕНИ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ПО СОСТАВУ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
© А.С. Краснов
Ключевые слова: организационно-распорядительный документ; информационная безопасность; персональные данные.
В статье рассмотрена методика оценки соответствия уровня документационного обеспечения предприятия требованиям законодательства Российской Федерации по составу организационно-распорядительных документов. Предлагаемая методика разработана с использованием метода экспертных оценок для определения «веса» каждого документа. В работе систематизируется организационно-распорядительная документация, позволяющая сотрудникам информационной безопасности на предприятии оценить степень выполнения ими законодательства Российской Федерации в области информационной безопасности.
В условиях современной реальности управление и обработка информационных ресурсов все чаще происходит с помощью технических средств, локальных и глобальных сетей. Российская Федерация с целью защиты прав граждан регламентирует данные процедуры с помощью организационно-распорядительных документов. Для выполнения требований законодательства предприятие должно иметь необходимое документаци-онное обеспечение в области информационной безопасности.
Главную роль среди всего многообразия законодательных источников Российской Федерации в области информационной безопасности играет Федеральный Закон «Об информации, информатизации и защите информации», который определяет правовой режим информации, порядок ее документирования, право собственности, категорирование информационных ресурсов и определения уровня доступа к ним, а также порядок правовой защиты информации. Документирование информации - обязательное условие отнесения информации к информационным ресурсам, а само документирование определено органами государственной власти, ответственными за организацию делопроизводства.
Под информацией понимаются сведения (сообщения, данные) независимо от формы их представления [1].
Помимо данного закона есть еще множество организационно-распорядительных документов, регулирующих процесс управления информационными ресурсами на предприятии.
В качестве видов такой информации на предприятии можно выделить [2]:
- персональные данные;
- служебную тайну;
- коммерческую тайну.
В отдельную категорию выделяются сведения, составляющие государственную тайну.
Для регулирования документационного обеспечения управления всего многообразия информационных ресурсов в России ведется постоянная работа над законодательством в этой области. Ключевыми организа-
ционно-распорядительными документами на сегодняшний день являются:
- Федеральный закон № 152-ФЗ «О персональных данных»;
- Федеральный закон № 98-ФЗ «О коммерческой тайне»;
- Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждение требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 1 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, предоставляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Для составления методики необходимо было произвести анализ данных документов и определить тот объем документации, который должен присутствовать на предприятии для обеспечения деятельности в соответствии с законодательством Российской Федерации.
Так, по результатам анализа Федерального Закона от 27 июля 2006 г. № 152-ФЗ (ред. от 24.06.2014 г.) «О персональных данных» был выявлен перечень мер по обеспечению безопасности на предприятии, осуществляющих обработку персональных данных.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или
1851
Таблица 1
Результат экспертной оценки
№ меры Оценка эксперта Сумма рангов Отклонение от среднего арифметического Квадрат отклонения Вес
1 2 3 4 5
1 32 31 29 30 31 153 70,5000 4970,2500 0,0580
2 29 28 30 32 32 151 68,5000 4692,2500 0,0572
3 31 32 31 31 29 154 71,5000 5112,2500 0,0583
4 30 27 32 29 30 148 65,5000 4290,2500 0,0561
5 13 11 14 14 13 65 -17,5000 306,2500 0,0246
6 23 20 21 27 22 113 30,5000 930,2500 0,0428
7 24 30 25 21 28 128 45,5000 2070,2500 0,0485
8 21 18 22 26 21 108 25,5000 650,2500 0,0409
9 22 19 23 20 18 102 19,5000 380,2500 0,0386
10 20 17 20 28 23 108 25,5000 650,2500 0,0409
11 17 21 19 16 17 90 7,5000 56,2500 0,0341
12 12 10 11 15 16 64 -18,5000 342,2500 0,0242
13 19 22 18 17 19 95 12,5000 156,2500 0,0360
14 8 14 10 9 9 50 -32,5000 1056,2500 0,0189
15 25 24 24 22 24 119 36,5000 1332,2500 0,0451
16 15 16 17 19 20 87 4,5000 20,2500 0,0330
17 10 15 12 11 12 60 -22,5000 506,2500 0,0227
18 16 13 15 13 14 71 -11,5000 132,2500 0,0269
19 14 12 13 12 10 61 -21,5000 462,2500 0,0231
20 2 3 4 1 4 14 -68,5000 4692,2500 0,0053
21 18 23 16 18 15 90 7,5000 56,2500 0,0341
22 11 5 8 7 8 39 -43,5000 1892,2500 0,0148
23 1 4 1 2 3 11 -71,5000 5112,2500 0,0042
24 9 6 9 10 11 45 -37,5000 1406,2500 0,0170
25 28 26 28 23 26 131 48,5000 2352,2500 0,0496
26 27 25 26 25 25 128 45,5000 2070,2500 0,0485
27 26 29 27 24 27 133 50,5000 2550,2500 0,0504
28 3 1 3 4 1 12 -70,5000 4970,2500 0,0045
29 5 8 6 8 6 33 -49,5000 2450,2500 0,0125
30 6 7 5 5 7 30 -52,5000 2756,2500 0,0114
31 7 9 7 6 5 34 -48,5000 2352,2500 0,0129
32 4 2 2 3 2 13 -69,5000 4830,2500 0,0049
определяемому физическому лицу (субъекту персональных данных) [3].
Так, в ст. 18.1 и 19 данного Закона в качестве необходимых выделяются следующие меры [3]:
1) назначение оператором ответственного за организацию обработки ПДн;
2) политика в отношении обработки ПДн;
3) локальные акты по вопросам обработки ПДн;
4) локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации;
5) внутренний аудит и контроль;
6) оценка вреда и перечень предпринимаемых оператором мер в зависимости от степени потенциального вреда;
7) документ об ознакомлении оператора с положениями законодательства Российской Федерации о ПДн;
8) сведения о реализуемых требованиях к защите ПДн;
9) определение угроз безопасности ПДн при их обработке в информационной системе ПДн;
10) применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационной системе;
11) применение процедуры оценки соответствия средств защиты информации;
12) оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
13) учет машинных носителей ПДн;
14) обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
15) восстановление ПДн, модифицированных или уничтоженных в результате несанкционированного доступа к ним;
16) установление правил доступа к ПДн и обеспечение регистрации и учета всех действий оператора;
17) контроль за принимаемыми мерами по обеспечению безопасности и уровню защищенности информационных систем ПДн.
Ряд мер, регулирующих деятельность организации в области защиты информации, выделяются в организационно-распорядительных документах ФСТЭК России. Так, Приказ № 17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и Приказ № 21 от 18 февраля 2013 г. «Об утверждении соста-
1852
ва и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяют необходимость выполнения следующих мер [4-5]:
1) идентификация и аутентификация субъектов и объектов доступа;
2) управление доступом субъектов доступа к объектам доступа;
3) ограничение программной среды;
4) защита машинных носителей ПДн;
5) регистрация событий безопасности;
6) антивирусная защита;
7) обнаружение вторжений;
8) контроль (анализ) защищенности ПДн;
9) обеспечение целостности информационной системы и ПДн;
10) обеспечение доступности ПДн;
11) защита среды виртуализации;
12) защита технических средств;
13) защита информационной системы, ее средств, систем связи и передачи данных;
14) выявление инцидентов и реагирование на них;
15) управление конфигурацией информационной системы и системы защиты ПДн.
Деятельность в сфере защиты ПДн для государственных и муниципальных органов регламентируется Постановлением Правительства от 21 марта 2011 г. № 211.
По результатам анализа вышеназванных документов был получен перечень из 32 мероприятий, каждое из которых должно иметь документальное подтверждение на случай аудита защиты ПДн. Степень подготовленности к такому аудиту и должна определить предлагаемая методика.
Для сформированного перечня мер и документов по ним была проведена экспертная оценка среди 5 экспертов для определения веса каждого из 32 документов. Определение веса каждого документа с помощью экспертной оценки происходило по алгоритму «Экспертный метод определения весомости» [6]. Эксперты произвели оценку важности меры, расставив ранги от 1 (соответствует наименее важному мероприятию) до 32 (самое важное). Результаты можно увидеть в представленной табл. 1.
Также для полученных рангов были рассчитаны сумма ранга (1), отклонение от среднего арифметического 01 (2), квадрат отклонения от среднего арифметического К (3).
^=5>,,, (1)
<■=1 ,=1
где п - количество мер; т - количество экспертов; г -порядковый номер меры; ] - порядковый номер эксперта; Гц - ранг меры г, поставленный экспертом}.
о, = я - Б, (2)
где Я - среднее арифметическое суммы рангов Б,. К = О}. (3)
Определим степень согласованности экспертов путем нахождения коэффициента конкордации W (4). Если полученное значение меньше 0,75, то оценка будет считаться несогласованной [6].
w = 2123l , (4)
m (n - n)
где L - сумма квадратов отклонения от среднего арифметического.
Так как значение коэффициента конкордации больше 0,75 ( W = 0,96), то мы можем перейти к нахождению веса меры pi по формуле:
_ Si
Pi n '
Ils,
i=l
Результаты данной оценки сформировали вес каждого документа, что позволяет сотрудникам на предприятии оценить уровень соответствия документаци-онного обеспечения законодательству Российской Федерации. Сотрудник, отмечая наличие документов, в итоге получает процентное выражение соответствия требования организационно-распорядительных документов, а также перечень документов, которые необходимо разработать.
Следует понимать, что данная методика направлена лишь на фактическую проверку наличия документов, не проверяя их содержания. Степень проработанности таких документов является прямой задачей сотрудников службы информационной безопасности.
Методика оценки степени выполнения по составу организационно-распорядительных документов позволяет определить сотрудникам степень полноты документации, определяемой законодательством. Методика имеет нетривиальное решение, основанное на нахождении весомости каждого документа путем метода экспертных оценок. Методика не решает проблемы проработанности документов, но позволяет организовать рабочий процесс предприятия в сфере передвижения информации в соответствии с законом.
ЛИТЕРАТУРА
1. Об информации, информационных технологиях и о защите информации: Федеральный закон РФ № 149-ФЗ от 27.07.2006 г. (с изм. от 24.11.2014 г.) // «РГ» - Федеральный выпуск № 4131. 2006. 29 июля.
2. Об утверждении перечня сведений конфиденциального характера: Указ Президента РФ от 06.03.1997 г. № 188 (с изм. от 23.09.2005 г.) // Информационно-правовой портал Гарант. URL: http://base.ga-rant.ru/10200083/ (дата обращения: 10.10.2014).
3. О персональных данных: Федеральный закон РФ № 152-ФЗ от 27.07.2006 г. (ред. от 04.06.2014 г.) // «РГ» - Федеральный выпуск № 4131. 2006. 29 июля.
4. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: Приказ ФСТЭК России от 11.02.2013 г. № 17 // «РГ» - Федеральный выпуск № 6112. 2013. 26 июня.
5. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: Приказ ФСТЭК России от 18.02.2013 г. № 21 // Информаци-
1853
онно-правовой портал Гарант. URL: http://base.garant.ru/70380924/ (дата обращения: 13.10.2014). 6. Недбай А.А. Основы квалиметрии: учеб. пособие. Красноярск: ИПК СФУ, 2008. 126 с.
Поступила в редакцию 10 ноября 2014 г.
Krasnov A.S. METHODS OF ASSESSING THE DEGREE OF COMPLIANCE WITH REQUIREMENTS ON COMPOSITION OF ORGANIZATIONAL AND ADMINISTRATIVE DOCUMENTS IN INFORMATION SECURITY FIELD
The article describes the method of estimation of the level of documentation support of enterprise to requirements of the legislation of the Russian Federation on the composition of organizational and administrative documents. The proposed method is developed using the Delphi method to determine the "weight" of each document. The work systematizes the organizational and administrative documentation, which allows employees to information security in the company to assess the degree of fulfillment of the legislation of the Russian Federation in the field of information security.
Key words: organizational and administrative document; information security; personal data.
Краснов Алекс Сергеевич, Санкт-Петербургский государственный торгово-экономический университет, г. Санкт-Петербург, Российская Федерация, ассистент кафедры информационных систем и информационных технологий, e-mail: alex073ul@mail.ru
Krasnov Alex Sergeyevich, Saint Petersburg State University of Trade and Economics, Saint Petersburg, Russian Federation, Assistant of Information Systems and Information Technology Department, e-mail: alex073ul@mail.ru
1854
