ПРОГРАММА АУДИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ПУБЛИЧНЫХ ОБЛАКАХ, ИСПОЛЬЗУЕМЫХ ДЛЯ ИХ ОБРАБОТКИ

В результате исследования была разработана программа аудита информационной системы защиты персональных данных в публичных облаках. Она включает в себя следующие этапы:

1. Подготовка к аудиту, включающая определение целей, области аудита, критериев и методов аудита;
2. Оценка рисков безопасности информации в публичных облаках;
3. Анализ процессов обработки персональных данных в публичных облаках;
4. Анализ мер защиты информации в публичных облаках;
5. Оценка эффективности мер защиты информации в публичных облаках;
6. Подготовка отчета по результатам аудита.

1 Подготовка к аудиту, включающая определение целей, области аудита, критериев и методов аудита

Пункт о деятельности по аудиту является основным в ISO 19011. Действия по аудиту также можно назвать этапами процесса или действиями. Аудиторская деятельность представляет собой пошаговые методы подготовки, проведения, отчетности и последующих действий по аудиту. Прежде чем приступить к аудиту системы или процесса, необходимо определить объем и критерии аудита [1].

ISO 19011, пункт 6.2.2 описывает объем аудита как объем и границы аудита. Это объясняется:

1. физическим местоположением (например, адресом, участком, этажом, площадью);
2. организационными единицами (например, отделом или филиалом);
3. деятельностью и процессами (такими как маркетинг, распиловка, андеррайтинг, линейка продуктов) и охватываемый период времени.

Как бы выглядело описание сферы деятельности вашей организации? Это помогает аудитору подготовиться и сохраняет его сосредоточенность. В общем, аудиторы должны всегда оставаться в рамках. Оставаться в пределах объема является хорошей практикой и позволяет избежать обвинений аудитора в охоте на ведьм. Однако в каких случаях аудиторам допустимо отклоняться от согласованного объема? Когда есть наблюдения, которые могут привести к возможным травмам, незаконным действиям, неэтичным действиям.

Определение критериев аудита является частью шага «что необходимо проверить». Критерий аудита означает все, что аудитор может проверить. Аудитор может проводить аудит в соответствии с любыми правилами, процедурами, задачами, задачами, контрактами, законами, кодексами поведения, передовой практикой и так далее [2].

Определение целей, объема и критериев аудита является ключом к определению всех оставшихся шагов процесса аудита для планирования, выполнения, отчетности и последующих действий. Этот шаг обеспечивает основу для индивидуального аудита. Плохая работа здесь напрямую повлияет на эффективность и результативность аудита.

2 Оценка рисков безопасности информации в публичных облаках

Анализ мер защиты информации в публичных облаках в РФ проводится в соответствии с законодательством о защите персональных данных, включая Федеральный закон "О персональных данных" и Постановление Правительства РФ "О требованиях к защите персональных данных при их обработке в информационных системах персональных данных".

Шаг 1: Определение цели анализа. На этом этапе определяются цели и задачи анализа, какие меры защиты информации используются в публичном облаке и какие угрозы могут возникнуть при обработке персональных данных.

Шаг 2: Идентификация активов и уязвимостей. На этом этапе проводится анализ технологий, используемых в облаке, а также оцениваются уязвимости, которые могут быть использованы злоумышленниками для доступа к данным. Также проводится анализ технических средств защиты, используемых в облаке [3].

Шаг 3: Оценка соответствия требованиям законодательства. На этом этапе проводится анализ соответствия мер защиты информации требованиям законодательства о защите персональных данных, включая требования к согласованию обработки персональных данных с субъектами, правилам обработки персональных данных, а также требованиям к хранению и передаче персональных данных.

Шаг 4: Оценка вероятности возникновения угроз. На этом этапе проводится анализ возможных сценариев нарушения безопасности информации и определяются вероятности их возникновения, включая утечку данных в результате кибератаки, ошибки персонала или несанкционированный доступ [4].

Шаг 5: Оценка потенциальных последствий. На этом этапе оцениваются возможные последствия нарушения безопасности информации и потенциальный ущерб для клиентов и бизнес-процессов, включая финансовые потери, ущерб репутации и нарушение законодательства о защите персональных данных.

Шаг 6: Разработка мер по уменьшению рисков. На этом этапе разрабатываются меры по уменьшению рисков, связанных с обработкой информации в публичном облаке, включая использование шифрования данных, ограничение доступа к данным и регулярное обновление программного обеспечения.

Шаг 7: Оценка эффективности мер. На этом этапе оценивается эффективность принятых мер по уменьшению рисков безопасности информации в публичном облаке.

Шаг 8: Мониторинг и анализ. На последнем этапе происходит мониторинг безопасности информации в облаке и анализ эффективности принятых мер по ее защите. Если необходимо, проводится переоценка рисков и разработка дополнительных мер по уменьшению угроз [5].

3 Анализ процессов обработки персональных данных в публичных облаках

Анализ процессов обработки персональных данных в публичных облаках включает оценку того, как провайдер облачных услуг обрабатывает и защищает персональные данные пользователей [6]. Это может включать следующие шаги:

1. Изучение политик и процедур провайдера облачных услуг в отношении обработки персональных данных. Это может включать анализ политик конфиденциальности, пользовательского соглашения и других документов, связанных с обработкой персональных данных;

2. Оценка процессов сбора, хранения и передачи персональных данных в публичных облаках. Это может включать проверку механизмов шифрования, анонимизации и других мер защиты данных;

3. Анализ процессов контроля доступа к персональным данным в публичных облаках. Это может включать проверку механизмов аутентификации, авторизации и аудита доступа;

4. Оценка мер безопасности провайдера облачных услуг, связанных с обработкой персональных данных. Это может включать проверку мер защиты от угроз безопасности, таких как вредоносное ПО, фишинг-атаки и другие виды киберпреступности;

5. Анализ процедур управления рисками в отношении обработки персональных данных в публичных облаках. Это может включать проверку процедур резервного копирования данных, восстановления после сбоев и других мер по обеспечению непрерывности бизнеса [7];

6. Оценка соответствия провайдера облачных услуг требованиям законодательства в отношении защиты персональных данных. Это может включать проверку соответствия Общему регламенту о защите персональных данных (GDPR) или другим законодательным актам.

Проведение анализа процессов обработки персональных данных в публичных облаках может быть выполнено специалистами по информационной безопасности, используя различные инструменты и методы аудита. Результаты анализа могут быть использованы для определения рисков безопасности и разработки рекомендаций по улучшению процессов обработки персональных данных в публичных облаках [8].

4. Анализ мер защиты информации в публичных облаках

Для защиты информации от угроз провайдер облачных услуг применяет различные технические и организационные меры, которые включают:

1. Шифрование данных: для защиты персональных данных пользователей провайдер облачных услуг может использовать механизмы шифрования данных. Это позволяет защитить данные от несанкционированного доступа и утечек;
2. Анонимизация данных: Анонимизация данных позволяет скрыть личную информацию пользователя, что делает ее невозможной для идентификации. Это может быть полезным, когда пользователь не хочет раскрывать свою личную информацию;
3. Согласованность с законодательством: Провайдер облачных услуг должен следить за соответствием обработки персональных данных законодательству о защите персональных данных, чтобы предотвратить возможные нарушения;
4. Прозрачность в отношении обработки данных: Провайдер облачных услуг должен предоставлять пользователям информацию о том, как их данные используются. Это позволяет пользователям принимать более осознанные решения о предоставлении своих данных;
5. Ограничение доступа: Провайдер облачных услуг должен ограничить доступ к персональным данным только тем сотрудникам, которые имеют необходимость в их обработке;
6. Аудит процессов обработки данных: Регулярный аудит процессов обработки персональных данных помогает обнаружить и устранить возможные нарушения безопасности;
7. Защита от утечек: для защиты от утечек провайдер облачных услуг может использовать механизмы контроля доступа и политики безопасности;
8. Возможность удаления данных: Провайдер облачных услуг должен предоставить возможность удаления персональных данных пользователей при необходимости.

5. Оценка эффективности мер защиты информации в публичных облаках

Оценка эффективности мер защиты информации в публичных облаках может быть сложной задачей, поскольку она зависит от многих факторов, включая тип данных, тип приложений, методы шифрования и доступа, а также уровень требований к безопасности. Однако, провайдеры облачных услуг должны следить за тем, чтобы их меры защиты соответствовали самым высоким стандартам безопасности и отвечали требованиям законодательства.

Шифрование данных является одним из наиболее эффективных способов защиты информации в публичных облаках [9]. Хорошо спроектированная система шифрования может предотвратить несанкционированный доступ к данным и уменьшить риск утечки информации. Однако, провайдеры облачных услуг также должны следить за тем, чтобы процесс шифрования был прозрачным для пользователей и не замедлял производительность приложений.

Анонимизация данных также может быть полезной мерой защиты информации в публичных облаках. Это может помочь предотвратить идентификацию пользователей по их личной информации, что может быть особенно важным для организаций, которые обрабатывают чувствительные данные [7].

Ограничение доступа к персональным данным только тем сотрудникам, которые имеют необходимость в их обработке, также является важной мерой защиты информации. Это может помочь предотвратить случайные или злонамеренные утечки данных [10].

В целом, меры защиты информации, применяемые провайдерами облачных услуг, могут быть эффективными в предотвращении угроз безопасности. Однако, для обеспечения максимальной защиты, необходимо обеспечить соответствие мер безопасности требованиям законодательства и наилучшим практикам безопасности. Также следует регулярно аудитировать процессы обработки персональных данных и обновлять меры защиты в соответствии с изменяющейся угрозой безопасности.

6. Подготовка отчета по результатам аудита персональных данных в публичных облаках

Отчет по результатам аудита персональных данных в публичных облаках должен включать следующие разделы:

1. Введение. В этом разделе должны быть описаны цели и задачи аудита, а также область его проведения;
2. Описание публичных облаков, которые были проанализированы. В этом разделе нужно представить общую информацию о каждом из облаков, включая провайдера, тип услуги, уровень безопасности и т.д.;
3. Анализ мер защиты информации, применяемых в каждом из публичных облаков. В этом разделе должны быть описаны меры защиты, применяемые провайдерами облачных услуг, такие как шифрование данных, анонимизация данных, ограничение доступа и т.д. Каждая мера должна быть оценена на эффективность и соответствие требованиям законодательства и наилучшим практикам безопасности;
4. Анализ рисков безопасности данных. В этом разделе необходимо описать выявленные уязвимости и угрозы безопасности данных в каждом из публичных облаков, а также оценить их вероятность и возможные последствия;
5. Рекомендации по улучшению мер защиты информации. В этом разделе должны быть предложены конкретные меры по улучшению безопасности данных в каждом из публичных облаков на основе выявленных уязвимостей и угроз безопасности;
6. Заключение. В этом разделе нужно подвести итоги аудита и оценить эффективность мер защиты информации в публичных облаках.