Научная статья на тему 'О МЕТОДИКЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕКОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ'

О МЕТОДИКЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕКОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
365
69
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
персональные данные / некоммерческая организация / методика / аудит / информационная безопасность. / personal data / non-profit organization / methodology / audit / information security.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Сапожников И. В., Муранова М. А., Тюкова А. Д., Суханов Е. Э.

Обобщаются результаты анализа требований по защите информации в информационных системах персональных данных некоммерческой организации. Приводятся результаты исследований в части вопроса разработки методики аудита информационной безопасности информационной системы персональных данных некоммерческой организации. Приводятся результаты исследований в части вопроса разработки программы аудита информационной безопасности информационной системы персональных данных некоммерческой организации. Предлагается порядок проведения анализа исходных данных.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Сапожников И. В., Муранова М. А., Тюкова А. Д., Суханов Е. Э.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ABOUT THE METHODS OF AUDIT OF INFORMATION SECURITY OF INFORMATION SYSTEM OF PERSONAL DATA OF NON-PROFIT ORGANIZATION

The results of the analysis of information protection requirements in information systems of personal data of a non-profit organization are summarized. The results of research on the development of the methodology for auditing the information security of the personal data information system of a non-profit organization are presented. The results of research on the development of an information security audit program for the personal data information system of a non-profit organization are presented. The order of the analysis of initial data is proposed.

Текст научной работы на тему «О МЕТОДИКЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕКОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ»

Список литературы

1. Сидоренко О.В. Теоретико-практичш засади розробки рибних кулшарних B^o6iB щдвище-но1 бюлопчно! цiнностi / О.В. Сидоренко, Р.С. Мо-скалюк, О.В. Романенко// Тематичний збiрник нау-кових праць «Обладнання та технологй' харчових виробництв» Донецький нац. ун. екон. i торгiвлi. -Донецьк - 2009. - випуск 22.

2. Слащева А.В. Розробка технологи функць онального рослинного напiвфабрикату для рибних

Счених виробiв / А.В. Слащева// Науковий журнал «Вюник». Технiчнi науки. Донецький нац. ун. екон. i торпвлг - Донецьк - 2010. - № 1(45).

3. 1ванова Г. В. Кулинарная продукция для школьного питания/ Г.В. 1ванова// Журнал «Пищевая промышленность». - М.: 2007. - № 4.

4. Радионова Н.С. Кулинарные рубленые изделия для адекватного питания/ Н.С. Радионова, И.С. Наумченко, Н.П. Зацепина // Журнал «Пищевая промышленность». - М.: 2008. - № 8.

О МЕТОДИКЕ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕКОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ

Сапожников И.В.

студент НИУ «МИЭТ» Муранова М.А. студент НИУ «МИЭТ» Тюкова А.Д. студент НИУ «МИЭТ» Суханов Е.Э. студент НИУ «МИЭТ»

ABOUT THE METHODS OF AUDIT OF INFORMATION SECURITY OF INFORMATION SYSTEM OF PERSONAL DATA OF NON-PROFIT ORGANIZATION

Sapozhnikov I.

student National Research University of Electronic Technology - MIET

Muranova M.

student National Research University of Electronic Technology - MIET

Tyukova A.

student National Research University of Electronic Technology - MIET

Sukhanov E.

student National Research University of Electronic Technology - MIET

Аннотация

Обобщаются результаты анализа требований по защите информации в информационных системах персональных данных некоммерческой организации. Приводятся результаты исследований в части вопроса разработки методики аудита информационной безопасности информационной системы персональных данных некоммерческой организации. Приводятся результаты исследований в части вопроса разработки программы аудита информационной безопасности информационной системы персональных данных некоммерческой организации. Предлагается порядок проведения анализа исходных данных.

Abstract

The results of the analysis of information protection requirements in information systems of personal data of a non-profit organization are summarized. The results of research on the development of the methodology for auditing the information security of the personal data information system of a non-profit organization are presented. The results of research on the development of an information security audit program for the personal data information system of a non-profit organization are presented. The order of the analysis of initial data is proposed.

Ключевые слова: персональные данные, некоммерческая организация, методика, аудит, информационная безопасность.

Keywords: personal data, non-profit organization, methodology, audit, information security.

Необходимость обеспечения защиты персональных данных - неотъемлемая часть реальности современного мира. Информация о человеке всегда имела ценность. В особенности сейчас, когда большая часть информации представлена в электронном виде и может быть скопирована, распространена, передана за секунды, от этого актуальность

защиты, такого рода данных, только растет. Безусловно, персональные данные ценный товар, нуждающийся в серьёзной защите.

Принятие странами Евросоюза нового регламента GDPR (General Data Protection Regulation) вступающим в силу с мая 2018 года и имеющим экстерриториальное действие, безусловно подчеркивает значимость данного вопроса. В свою очередь, ФЗ РФ о персональных данных не обладает

экстерриториальным действием. Ужесточение наказания за несоблюдение законодательства РФ в вопросах обработки персональных данных (ФЗ №13), также подчеркивает значимость вопроса защиты персональных данных.

Возможно, в ближайшее время Россию ожидают и другие нововведения в вопросах регулирования обработки и защиты персональных данных. Однако, время покажет.

В 2017 году, нормативно-правовая и нормативно методическая базы, в части вопросов защиты персональных данных, претерпели ряд изменений. Но обо всем по порядку.

В соответствии со статьей 2 ФЗ №7, некоммерческой организацией (здесь и далее НКО) является организация, не имеющая извлечение прибыли в качестве основной цели своей деятельности и не распределяющая полученную прибыль между участниками. В части защиты персональных данных органы управления НКО должны руководствоваться рядом основных нормативно-правовых актов Российской Федерации:

1) Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;

2) Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее ФЗ 152);

3) Гражданский кодекс Российской Федерации Часть 1 глава 4[5];

4) Трудовой кодекс Российской Федерации Глава 14 «Защита персональных данных работника»;

5) Кодекс Российской Федерации об административных правонарушениях Глава 13 «Административные правонарушения в области связи и информации» [4];

6) Приказ Роскомнадзора от 30.05.2017 N 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения» (далее приказ Роскомнадзора № 94);

7) Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

8) Приказ ФСТЭК N 21 (ред. от 23.03.2017) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

9) Постановление Правительства РФ N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

10) Приказ ФСБ N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации,

необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

11) Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утв. ФСБ России 31.03.2015 N 149/7/2/6-432);

12) Постановление Правительства РФ N 211 (ред. от 06.09.2014) Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

13) Приказами ФСТЭК, устанавливающими:

а) Требования к средствам антивирусной защиты;

б) Требований к межсетевым экранам;

в) Требования к системам обнаружения вторжений;

г) Требования к средствам контроля съемных машинных носителей информации;

д) Требования безопасности информации к операционным системам;

е) Требования к средствам доверенной загрузки.

Как правило, некоммерческая организация, так или иначе, имеет дело с персональными данными, осуществляет обработку таких данных и, следовательно, подпадает под действие законодательства РФ, в части персональных данных. В целом, объем и характер обязательств НКО, в вопросах защиты персональных данных, зависит от четырех факторов:

1) с использованием каких средств осуществляется обработка НКО персональных данных: с использованием средств автоматизации либо же без использования таковых средств;

2) типа актуальных угроз безопасности персональных данных;

3) типа и количества субъектов персональных данных, обработку информации которых осуществляет НКО;

4) категории обрабатываемых персональных данных.

Согласно ФЗ 152 «О персональных данных», субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным [1].

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, требует наличия согласия

субъекта персональных данных, если таковые данные не являются общедоступными (однако, эту оговорку при возникновении спора придется доказывать оператору, а не субъекту персональных данных).

В соответствии со статьей 10 ФЗ 152, обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом [1]. Не следует также забывать, что в 2017 году вступили в силу поправки, внесенные в Кодекс Российской Федерации об административных правонарушениях, ужесточающие наказание за несоблюдение законодательства в сфере персональных данных [3].

Составляя согласие на обработку персональных данных, руководители НКО должны очень хорошо продумать формулировку цели обработки персональных данных, т.к. с целью связан срок хранения персональных данных. Рассмотрим пример, получив согласие на обработку персональных данных о состоянии здоровья благополучателя (относится к специальным категориям персональных данных), благотворительный фонд может сформулировать цель обработки данных, достаточно быстро достигаемую, «для принятия решения об оказании благотворительной помощи». В данном случае, законом установлено, что в случае достижения цели обработки персональных данных, персональные данные должны быть обезличены или уничтожены. Так в статье 5 ФЗ 152, написано следующие: «Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным» законом [1]. Из этого следует, что приняв решение об оказании благотворительной помощи, фонд обязан уничтожить или обезличить персональные данные субъекта, что в свою очередь, может помешать достойно пройти проверку Минюста либо, при необходимости доказать законность использования денежных средств, имевшихся в распоряжении фонда.

Также не стоит забывать, что в соответствии с приказом Роскомнадзора № 94, уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) осуществляется Оператором до начала обработки персональных данных [2].

Разработанная методика содержит основные методические рекомендации, касающиеся порядка, условий, видов и мер проведения аудита информационной безопасности информационной системы персональных данных некоммерческой организации на предмет определения соответствия требованиям законодательства Российской Федерации в области защиты информации.

Основные нормативно-правовые акты и методические документы Российской Федерации, в сфере защиты персональных данных, были рассмотрены выше. Разработанная методика аудита

информационной безопасности ИСПДн некоммерческой организации, в своей основе опирается на эти документы.

Методика включает в себя рекомендуемую программу проведения анализа соответствия комплекса мер требованиям, предъявляемым к обеспечению защищенности персональных данных, включающую:

1) изучение объекта информатизации;

а) анализ и оценка исходных данных;

б) анализ угроз безопасности информации.

2) оценка ИСПДн на соответствие требованиям по защите информации;

а) оценка соответствия процессов защиты ПДн требованиям, установленным ПП-1119;

б) оценка выполнения комплекса мер, предусмотренных приказом ФСТЭК № 21.

3) оценка результатов анализа соответствия комплекса мер требованиям по защите ПДн, обрабатываемых в ИСПДн;

4) формирование заключения по результатам анализа соответствия комплекса мер требованиям по обеспечению защиты ПДн, обрабатываемых в ИСПДн.

Анализ соответствия комплекса мер проводится в соответствии с программой проведения анализа соответствия комплекса мер требованиям по защите ПДн обрабатываемых в ИСПДн.

Для проведения анализа соответствия комплекса мер требованиям по безопасности ПДн обрабатываемых в ИСПДн необходимы следующие исходные данные по объекту информатизации:

1) информация о процессах обработки и защиты персональных данных;

2) информация об используемых средствах обработки персональных данных;

3) документы, регламентирующие процессы обработки и защиты персональных данных в ИС-ПДн.

Рекомендуемый порядок анализа:

1) анализ объекта, состава технических и программных средств, технологии обработки информации информационных потоков, мер и средств защиты информации, инженерного оборудования и других исходных данных об объекте;

2) проверка организации работ по защите информации на объекте, наличия и правильности оформления необходимой документации, уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации;

3) комплексная оценка применяемых мер по защите информации, обрабатываемой в ИСПДн на соответствие требованиям по защите информации;

4) обработка результатов обследования и анализ эффективности принимаемого комплекса мер требованиям по защите информации.

5) формирование и оформление результатов обследования.

Аудит ИСПДн рекомендуется проводить группой аудиторов в соответствии с разработанной методикой, содержащей рекомендуемый перечень и порядок работ.

Методика аудита информационной безопасности ИСПДн некоммерческой организации разрабатывалась на основе анализа требований законодательства Российской Федерации в области защиты персональных данных. Перед проведением аудита должны быть определены сроки, и условия проведения необходимых мероприятий. Методика аудита может уточняться и корректироваться в процессе проведения обследования.

Список литературы

1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных». Действующая редакция на момент написания статьи. [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/document/cons_doc_ LAW_61801/.

2. Приказ Роскомнадзора от 30.05.2017 N 94 «Об утверждении методических рекомендаций по

уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения». [Электронный ресурс]. - Режим доступа: http://www.consultant.ru/document/cons_doc_ LAW_223376/.

3. Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017 N 13-ФЗ. [Электронный ресурс]. - Режим доступа http://www.consultant.ru/document/cons_doc_LAW_ 212391/.

4. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 05.02.2018). [Электронный ресурс]. -Режим доступа http://www.consultant.ru/document/cons_doc_LAW_ 34661/

5. Гражданский кодекс Российской Федерации Действующая на момент написания статьи редакция. [Электронный ресурс]. - Режим доступа http://www.consultant.ru/document/cons_doc_LAW_ 5142

РЕАЛИЗАЦИЯ ИМПУЛЬСНО-КОДОВОГО УПРАВЛЕНИЯ В ПАРАМЕТРИЧЕСКИХ МОДЕЛЯХ ИНДУКЦИОННЫХ УСТРОЙСТВ

Кинев Е. С.

К.т.н., директор,

ООО Тепловые электрические системы, г. Красноярск

Тяпин А.А. аспирант,

Сибирский федеральный университет, г. Красноярск

Пантелеев В.И. Д.т.н, профессор, Сибирский федеральный университет, г. Красноярск

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Первухин М.В. Д.т.н, профессор, Сибирский федеральный университет, г. Красноярск

IMPLEMENTATION OF PULSE-CODE CONTROL IN PARAMETRIC MODELS OF INDUCTION

DEVISES

Kinev E.

Ph.D., director of Thermal Electrical Systems LLC

Tyapin A.

Postgraduate student, Siberian Federal University

Panteleev V.

Professor, Siberian Federal University Pervukhin M.

Professor, Siberian Federal University

Аннотация

Предложен подход к построению импульсных регуляторов при моделировании индукционных устройств. В схемах замещения индукторов для нагрева алюминия перед экструзией есть составляющие, обусловленные наличием загрузки. Свойства металла при нагреве меняются и, при создании моделей для численного эксперимента следует учитывать изменение импеданса. В качестве средства управления режимом эквивалентных двухполюсников предложено кодовое импульсное воздействие на ключи, в динамике изменяющее проводимость. Управление периодом переключения модели при последовательном и параллельном соединении элементов обеспечивает плавный закон регулирования. Исследование типовых схем

i Надоели баннеры? Вы всегда можете отключить рекламу.