Оценка защищенности ПДн, обрабатываемых в информационных системах

При создании любой информационной системы на базе современных компьютерных технологий неизбежно возникает вопрос о защищенности этой системы от угроз безопасности информации и принятии решения по устранению этих угроз. Но прежде чем решить, как и от кого защищать ПДн, необходимо понять реальное положение в области обеспечения безопасности ПДн и оценить степень их защищенности. Для этого проводится обследование защищенности ПДн, обрабатываемых в информационных системах ПДн (ИСПДн), результаты которого, основанные на выявленных угрозах безопасности информации и оценке рисков нанесения возможного ущерба субъекту ПДн, позволят:

• оценить необходимость и достаточность приятых мер защиты ПДн,
• правильно выбрать уровень защищенности ПДн,
• выработать требования к мерам и средствам защиты ПДн,
• добиться максимальной отдачи от инвестиций в создание и обслуживание системы защиты ПДн.

Под термином обследование защищенности ПДн понимается системный процесс получения и оценки объективных данных о текущем состоянии их защиты.

НТЦ «Вулкан» в интересах заказчика выполняет работы по обследованию защищенности ПДн, обрабатываемых в ИСПДн.

Состав работ

• Сбор необходимых исходных данных и их предварительный анализ.
• Оценку соответствия мер по обеспечению безопасности ПДн в ИСПДн, необходимым для обеспечения требуемого уровня защищенности ПДн.
• Выработку рекомендаций по повышению безопасности информации в ИСПДн.
• Основные возможности.

Работы по обследованию защищенности ПДн в ИСПДн осуществляется на основе исходных данных. Сбор исходных данных проводится с целью получения первичной (исходной) информации по обследуемой ИСПДн. При сборе исходных данных используются методы:

• Запрос необходимых документов.
• Анкетирование сотрудников (интервьюирование).
• Агрегирования и инференции исходных данных.

Как правило, заказчиком, по запросу исполнителя, предоставляются исходные данные, однако, для получения более полного объема исходных данных может быть применен метод анкетирования (интервьюирования) персонала объекта, пользователей ИСПДн по опросным листам в ходе которого удается собрать до 70% всего объема информации, необходимой для анализа.

На разных этапах обследования используются различные методы: технические, аналитические, экспертные, расчетные. При этом, результаты, полученные одними методами, могут дублироваться (дополняться) результатами, полученными другими методами. Совокупность всех применяемых методов позволяет дать объективную оценку состояния обеспечения безопасности ПДн в обследуемой ИСПДн.

При необходимости, для объективного подтверждения реального состояния безопасности информации и возможности причинения ущерба субъектам ПДн при активизации возможных уязвимостей, проводится инструментальный анализ защищенности ИСПДн.

Анализ и оценка соответствия состояния защищенности ПДн основывается на выработке несколькими экспертами согласованного мнения о реальном состоянии защиты информации в ИСПДн на основании:

• Оценки полноты и уровня разработки организационно-распорядительной документации.
• Анализа технологического процесса обработки, передачи и хранения ПДн.
• Оценки выполнения реализованных мер требованиям по защите информации в ИСПДн.
• Оценки уровня подготовки (переподготовки) персонала.
• Оценки правильности распределения ответственности при обработке ПДн.
• Оценки результатов инструментального анализа защищенности ИСПДн.

На этапе разработки предложений на основании проведенных оценок составляется перечень реализованных мер защиты информации. Полученный перечень сопоставляется с требуемыми мерам и делается вывод необходимых для обеспечения требуемого уровня защищенности ПДн.

Преимущества

Оценка позволяет определить оптимальные направления работ по повышению уровня защищенности ПДн, а также служит исходными данными для выбора мер по обеспечению безопасности ПДн, подлежащих реализации в ИСПДн.