'
Научный журнал «Вестник науки»

Режим работы с 09:00 по 23:00

zhurnal@vestnik-nauki.com

Информационное письмо

  1. Главная
  2. Архив
  3. Вестник науки №6 (87) том 2
  4. Научная статья № 337

Просмотры  48 просмотров

Наборщиков В.Г.

  


ОБЗОР ПОДХОДОВ К ПРОВЕДЕНИЮ ОЦЕНКИ ЭФФЕКТИВНОСТИ ПРИНИМАЕМЫХ МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ *

  


Аннотация:
в статье проводится анализ современных подходов к проведению оценки эффективности принимаемых мер защиты персональных данных в информационных системах персональных данных и других информационных систем, включающим в себя информационные системы персональных данных. Рассматриваются три основных подхода: обязательная аттестация для государственных информационных систем, упрощенная внутренняя оценка эффективности для коммерческих операторов персональных данных и методика ФСТЭК для объектов критической информационной инфраструктуры. Для каждого подхода выделяются преимущества и недостатки.   

Ключевые слова:
персональные данные, защиты информации, оценка эффективности, меры защиты, информационная безопасность.   


УДК 004.056

Наборщиков В.Г.
студент магистратуры, кафедра автоматики и телемеханики
Пермский национальный исследовательский

политехнический университет
(г. Пермь, Россия)


ОБЗОР ПОДХОДОВ К ПРОВЕДЕНИЮ

ОЦЕНКИ ЭФФЕКТИВНОСТИ ПРИНИМАЕМЫХ

МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Аннотация: в статье проводится анализ современных подходов к проведению оценки эффективности принимаемых мер защиты персональных данных в информационных системах персональных данных и других информационных систем, включающим в себя информационные системы персональных данных. Рассматриваются три основных подхода: обязательная аттестация для государственных информационных систем, упрощенная внутренняя оценка эффективности для коммерческих операторов персональных данных и методика ФСТЭК для объектов критической информационной инфраструктуры. Для каждого подхода выделяются преимущества и недостатки.

 

Ключевые слова: персональные данные, защиты информации, оценка эффективности, меры защиты, информационная безопасность.

 

В современном цифровом мире обработка персональных данных стала неотъемлемой частью функционирования государственных и коммерческих организаций. С развитием информационных технологий, объемы обрабатываемых персональных данных непрерывно растут, что повышает риски несанкционированного доступа или утечки. Нарушения в области защиты персональных данных могут привести к серьезным последствиям, включая финансовые потери, репутационный ущерб и юридическую ответственность в виде значительных штрафов. [1]

Особую значимость приобретает оценка достаточности и эффективности применяемых мер защиты. Комплексный подход, включающий технические, организационные и правовые механизмы, позволяет минимизировать риски и обеспечить соответствие информационной системы персональных данных требованиям регуляторов. Таким образом, исследование методов и средств защиты ПДн, а также разработка критериев оценки их эффективности представляют собой важную научно-практическую задачу, решение которой способствует повышению уровня информационной безопасности в условиях цифровой трансформации.

Оценка эффективности мер защиты информации – это процесс, который позволяет определить, насколько хорошо реализованные меры обеспечивают безопасность информации. Оценка включает анализ структурных особенностей, технологических нюансов, достаточности документации и соответствия её требованиям законодательства в области обеспечения защиты информации.

В настоящее время законодательством определено всего два способа проведения оценки эффективности. Первый способ – привлечение сторонней организации, обладающей соответствующей лицензией, на договорной основе, второй способ – собственными силами оператора персональных данных. [2]

Если с первым способом все понятно, нанимается специализированная организация, которая неоднократно проводила оценку эффективности, прекрасно знает все требования регуляторных органов, имеет свой собственный подход к решению поставленной задачи и предоставляет готовый результат, то со вторым зачастую у оператора возникают проблемы, так как описанного законодательством общепринятого подхода к проведению оценки эффективности мер защиты персональных данных нет.

Одним из подходов, доказывающих эффективность мер защиты, принимаемых в информационной системе персональных данных, является аттестация объекта информатизации. Стоит так же отметить, что если информационная система персональных данных является одновременно и государственной информационной системой, то такой подход будет являться обязательным. [3] Особенности данного подхода заключаются в следующем:

  • необходимо привлечение сторонней организации, обладающей лицензией на техническую защиту информации,
  • состав и содержание мер регламентируются Приказами ФСТЭК России №21 и №77,
  • все используемые средства защиты информации должны быть сертифицированы ФСТЭК России и иметь запись в Государственном реестре сертифицированных средств защиты информации,
  • часть сформированных в процессе выполнения работ по аттестации документов органу по аттестации необходимо направить для согласования во ФСТЭК России в течение 5 дней,
  • результатом работ будет выданный Аттестат соответствия.

К преимуществам рассматриваемого подхода можно отнести повышенный уровень доверия со стороны клиентов и Государства за счет наличия Аттестата, а к недостаткам – отсутствие возможности вносить изменения в объект информатизации, так как это повлечет за собой приостановление действия Аттестата.

Далее рассмотрим подходы к проведению оценки эффективности для объектов информатизации, не являющихся государственной информационной системой.

На основе подхода к проведению оценки эффективности мер защиты через аттестацию можно реализовать следующий подход, который заключается в проведении оценки эффективности порядком, установленным к аттестации, но без привлечения органа по аттестации, то есть собственными силами оператора. Так же, в отличии от аттестации, для реализации данного подхода нет необходимости в обязательном порядке использовать сертифицированные средства защиты информации, не нужно обладать лицензией ФСТЭК России на деятельность по технической защите информации и уведомлять его о результатах работ по проведению оценки эффективности, а результатом работ будет не Аттестат, а Заключение или иной документ, содержащий выводы по результатам проведенных проверок. Допускается самостоятельно выбирать состав и содержание проверяемых мер защиты. Преимуществами данного подхода является упрощенная по сравнению с аттестацией форма проведения оценки эффективности, отсутствие необходимости повторной оценки эффективности вне периодической, при изменениях на объекте информатизации. Недостатками является отсутствие преимуществ аттестации.

Следующим и последним рассмотренным в рамках настоящей статьи подходом к проведению оценки эффективности будет подход на основе Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденной 2 мая 2024 года ФСТЭК России. [4] Методика обладает четкими метриками и готовыми формулами для расчета итоговой оценки. Как следует из названия, данный подход регламентирует проведение оценки эффективности технических мер по обеспечению безопасности информации, принятых на объектах критической информационной инфраструктуры, однако при необходимости может применяться и для информационных систем персональных данных. Из названия так же вытекает главный недостаток данного подхода – он не позволяет оценить правовые и организационные меры защиты информации, из чего следует необходимость совмещать данный подход с другими, чтобы оценка эффективности была проведена в полном объеме и у регулирующих органов в случае проверки не возникло вопросов и замечаний.

В заключении необходимо сказать: каждый метод имеет преимущества и недостатки, что требует их осознанного выбора в зависимости от типа системы. Обозреваемые подходы к проведению оценки эффективности не являются исчерпывающими, каждый оператор вправе сам выбирать подход к проведению оценки эффективности.

 

 

СПИСОК ЛИТЕРАТУРЫ:

 

  1. О персональных данных: Федеральный закон №152-ФЗ: [принят Государственной Думой 8 июля 2006 г.: одобрен Советом Федерации 14 июля 2006 г.]. – Москва, Кремль, 2006
  2. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: Приказ ФСТЭК России от 18 февраля 2013 г. № 21
  3. Приказ ФСТЭК России от 11 февраля 2013 г. № 17
  4. Приказ ФСТЭК России от 18 февраля 2013 г. № 21
  5. Методический документ. ФСТЭК России 2 мая 2024 г.

 

Naborshchikov V.G.
Perm National Research Polytechnic University
(Perm, Russia)

REVIEW OF METHODS FOR ASSESSING EFFECTIVENESS

OF MEASURES TAKEN TO PROTECT PERSONAL DATA

 

Abstract: article analyzes modern approaches to assessing the effectiveness of measures taken to protect personal data in personal data information systems and other information systems that include personal data information systems. Three main approaches are considered: mandatory certification for state information systems, simplified internal assessment of effectiveness for commercial operators of personal data, and the FSTEC methodology for critical information infrastructure facilities. Advantages and disadvantages are highlighted for each approach.

 

Keywords: personal data, information protection, efficiency assessment, protection measures, information security.

  


Полная версия статьи PDF

Номер журнала Вестник науки №6 (87) том 2

  


Ссылка для цитирования:

Наборщиков В.Г. ОБЗОР ПОДХОДОВ К ПРОВЕДЕНИЮ ОЦЕНКИ ЭФФЕКТИВНОСТИ ПРИНИМАЕМЫХ МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ // Вестник науки №6 (87) том 2. С. 2681 - 2685. 2025 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/24213 (дата обращения: 09.07.2025 г.)


Альтернативная ссылка латинскими символами: vestnik-nauki.com/article/24213


Нашли грубую ошибку (плагиат, фальсифицированные данные или иные нарушения научно-издательской этики) ?
- напишите письмо в редакцию журнала: zhurnal@vestnik-nauki.com

Вестник науки © 2025.    16+



* В выпусках журнала могут упоминаться организации (Meta, Facebook, Instagram) в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25 июля 2002 года № 114-ФЗ 'О противодействии экстремистской деятельности' (далее - Федеральный закон 'О противодействии экстремистской деятельности'), или об организации, включенной в опубликованный единый федеральный список организаций, в том числе иностранных и международных организаций, признанных в соответствии с законодательством Российской Федерации террористическими, без указания на то, что соответствующее общественное объединение или иная организация ликвидированы или их деятельность запрещена.