Подходы к синтезу модели оценки защищенности персональных данных в соответствии с требованиями стандарта ISO/IEC 27001:2005
Ключевые слова:
активы, информационная безопасность (ИБ), персональные данные (ПДн), система менеджмента информационной безопасности, средства защиты информации (СЗИ), несанкционированный доступ (НСД), аудит, сетефой трафикАннотация
Анализ публикаций за последние несколько лет по проблеме проектирования, внедрения и сопровождения систем защиты персональных данных (ПДн) позволяет отметить стабильно высокий интерес к этому актуальному и критичному аспекту обеспечения ИБ. Определенно предлагаемые различными специалистами подходы к синтезу моделей на базе как международных, так и отечественных стандартов свидетельствует о глубокой проработке всех требований по защите ПДн, но в тоже время ставят новые вопросы, эффективное решение которых экспертам еще только предстоит синтезировать и проверить на практике. В предлагаемой работе предложены некоторые подходы для создания модели оценки защищенности ПДн в соответствии с требованиями стандарта ISO/IEC 27001:2005. Учитывая относительную новизну данного стандарта в практическом применении к исследуемой проблеме, предлагаемые подходы могут оказаться полезными при планировании систем защиты ПДн, оценке защищенности уже созданных ИСПДн, а также, в частности, для решения практических задач — аудитов ИБ в организациях.Литература
Указ Президента РФ 6.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»
Федеральный закон РФ 27.07.2006 г. № 152-ФЗ «О персональных данных»
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК России)
Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации. Банк России, Ассоциация коммерческих банков, 2010 г.
Рекомендации в области стандартизации Банка России РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций БС РФ. Требования по обеспечению безопасности ПДн в ИСПДн БС РФ», 2010 г.
Рекомендации в области стандартизации Банка России РС БР ИББС-2.4-2010 «Отраслевая частная модель угроз безопасности ПДн при их обработке в ИСПДн БС РФ», 2010 г.
ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»
ISO/IEC 27005:2008 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности»
ISO/IEC 27000:2009 «Информационные технологии. Методы обеспечения безопасности. Термины и определения»
Козин И.Ф., Лившиц И.И. Информационная безопасность. Интеграция международных стандартов в систему информационной безопасности России // Информация и связь. № 1, 2010
Лившиц И. И. Проектирование, создание и внедрение комплексных систем обеспечения информационной безопасности на базе международного стандарта ISO/IEC 27001:2005 // Электросвязь, № 4, 2010
Лившиц И. И. Современная практика проведения аудитов ИБ // Сб. трудов 16-я научно-практической конференции «Комплексная защита информации», Республика Беларусь, г. Гродно, 2011
Саати Т. Принятие решений. Метод анализа иерархии. М.: Радио и связь, 1989
Смирнов Э.А. Управленческие решения. М.: Инфра-М, 2001
Федеральный закон РФ 27.07.2006 г. № 152-ФЗ «О персональных данных»
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК России)
Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации. Банк России, Ассоциация коммерческих банков, 2010 г.
Рекомендации в области стандартизации Банка России РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций БС РФ. Требования по обеспечению безопасности ПДн в ИСПДн БС РФ», 2010 г.
Рекомендации в области стандартизации Банка России РС БР ИББС-2.4-2010 «Отраслевая частная модель угроз безопасности ПДн при их обработке в ИСПДн БС РФ», 2010 г.
ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»
ISO/IEC 27005:2008 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности»
ISO/IEC 27000:2009 «Информационные технологии. Методы обеспечения безопасности. Термины и определения»
Козин И.Ф., Лившиц И.И. Информационная безопасность. Интеграция международных стандартов в систему информационной безопасности России // Информация и связь. № 1, 2010
Лившиц И. И. Проектирование, создание и внедрение комплексных систем обеспечения информационной безопасности на базе международного стандарта ISO/IEC 27001:2005 // Электросвязь, № 4, 2010
Лившиц И. И. Современная практика проведения аудитов ИБ // Сб. трудов 16-я научно-практической конференции «Комплексная защита информации», Республика Беларусь, г. Гродно, 2011
Саати Т. Принятие решений. Метод анализа иерархии. М.: Радио и связь, 1989
Смирнов Э.А. Управленческие решения. М.: Инфра-М, 2001
Опубликован
2012-12-01
Как цитировать
Лившиц, И. И. (2012). Подходы к синтезу модели оценки защищенности персональных данных в соответствии с требованиями стандарта ISO/IEC 27001:2005. Труды СПИИРАН, 4(23), 80-92. https://doi.org/10.15622/sp.23.4
Раздел
Статьи
Авторы, которые публикуются в данном журнале, соглашаются со следующими условиями:
Авторы сохраняют за собой авторские права на работу и передают журналу право первой публикации вместе с работой, одновременно лицензируя ее на условиях Creative Commons Attribution License, которая позволяет другим распространять данную работу с обязательным указанием авторства данной работы и ссылкой на оригинальную публикацию в этом журнале.
Авторы сохраняют право заключать отдельные, дополнительные контрактные соглашения на неэксклюзивное распространение версии работы, опубликованной этим журналом (например, разместить ее в университетском хранилище или опубликовать ее в книге), со ссылкой на оригинальную публикацию в этом журнале.
Авторам разрешается размещать их работу в сети Интернет (например, в университетском хранилище или на их персональном веб-сайте) до и во время процесса рассмотрения ее данным журналом, так как это может привести к продуктивному обсуждению, а также к большему количеству ссылок на данную опубликованную работу (Смотри The Effect of Open Access).
