Статья опубликована в рамках: Научного журнала «Студенческий» № 13(57)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3
ОБЕСПЕЧЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ МОДЕЛИ COSO
ENSURING INTERNAL CONTROL OVER THE PROTECTION OF PERSONAL DATA USING THE COSO MODEL
Panchekhin Ivan Sergeevich
2 year master's student, Department of information security in international cooperation Federal State institution of higher education «Moscow state linguistic university»
Russia, Moscow
Аннотация. В статье рассматриваются актуальность и необходимость использования систем внутреннего контроля для обеспечения защиты персональных данных в организации. Использование модели COSO.
Abstract. The article discusses the relevance and necessity of using internal control systems to ensure the protection of personal data in the organization. Using the COSO model.
Ключевые слова: управление информационной безопасностью, защита персональных данных, анализ, информационные системы, COSO, затраты, информационная безопасность, бизнес-процессы.
Keywords: information security management, personal data, personal data protection, analysis, information systems, COSO, costs, information security, business processes.
COSO (The Committee of Sponsoring Organizations)— Комитет спонсорских организаций, который был учрежден в 1985 г. COSO был создан для изучения факторов, которые могут приводить к мошенничеству с финансовой отчетностью, а также для выработки рекомендаций для частных компаний и их независимых аудиторов.
Для системы защиты персональных данных огромную роль сыграла разработка Закона Сарбейнса — Оксли. Данный свод законов, созданный при поддержке COSO, предъявляет требования к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля. Кроме того, на данные компании возлагается обязанность по предоставлению информации об эффективности их систем и о реализовавшихся инцидентах. Помимо этого, в материалах COSO, отдельное внимание уделено процессу определения величины риска разглашения/утраты персональных данных в организации и возможности его принятия.
Задачей руководства является принятие решения об уровне неопределенности, который организация готова принимать и с ним работать. В связи с этим неопределенность, с одной стороны, синонимична понятию риск/опасность, но с другой стороны, она позволяет выйти из зоны комфорта в плане принятия решений и открыть новые возможности для развития и роста организации или уровня ее информационных систем защиты персональных данных, поэтому так важны решения, который менеджмент принимает в условиях неопределенности, грамотные, а иногда и авантюрные решения позволят открыть новые горизонты, увеличивая потенциал для роста стоимости компании, но и могут привести к потерям, утечке критичной информации/персональных данных.
Поэтому в организации так важно выстроить систему внутреннего контроля, дабы автоматизировать отдельные контроли уже выявленных уязвимостей. Мониторинг системы внутреннего контроля поможет для анализа и обеспечения постоянного процесса анализа и оценки рисков. Порядок работы с персональными данными также оценивается и подвержен постоянному мониторингу для поддержания уровня защиты, соответствующего стандартам.
Методология COSO предполагает, что система внутреннего контроля организации в части защиты персональных данных включает в себя следующие ключевые задачи, которые представлены в Таблице 1. «Описание основных компонент»:
Таблица 1
Описание основных компонент
Компонент |
Описание |
Основные элементы |
Контрольная среда |
Осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля организации в части обеспечения защиты ПДн, а также понимание значения такой системы для деятельности этой организации |
- надежность, честность и нравственность; - компетентность; - философия и стиль управления; - организационная структура; - распределение прав и обязанностей; |
Оценка риска |
Определение и оценка возможных рисков процесса защиты ПДн |
- изменения законодательства; - изменения условий хозяйствования; - оценка последствий. |
Информация и сети |
Обеспечивают понимание персоналом роли своего участия в процессе обеспечения защиты персональных данных |
- запись, обработка, обобщение и представление операций организаций; - распределение обязанностей; - обеспечение руководителей различных уровней информацией. |
Контрольные процедуры |
Обеспечивают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются |
- проверка выполнения распоряжения (отчеты); - обработка информации; - проверка наличия и состояния объектов; - распределение обязанностей. |
Мониторинг |
Наблюдение за функциональностью средств контроля и ее уровнем. Это процесс оценки эффективного функционирования системы внутреннего контроля во времени |
- непрерывный мониторинг; - периодический контроль; - аудит. |
Подходы к определению уровня риска и готовности организации его принимать. Стратегия ведения бизнеса относительно принятия более рискованных мер, с использованием риск-ориентированного подхода. Величина приемлемой степени риска в контексте защиты персональных данных должна в первую очередь учитывать тот факт, в должной ли мере обеспечено соответствие стандартам защиты критической информации и только после этого возможно принятие рисков. Хотя существуют организации, не заботящиеся в должной мере о соблюдении требований по защите персональных данных, риск издержек на административные взыскания от регуляторов и судебные издержки от субъектов персональных данных принят менеджментом организации.
Рисунок 1. Подходы к управлению риском
Как видно на рисунке 1 «Подходы к управлению риском», консервативный подход к ведению бизнеса (управлению рисками) минимизирует величину риска, пренебрегая его возможностью. В то время как агрессивный подход, допускает риск, с учетом его возможного положительного влияния на организацию.
Рисунок 2. Модель COSO
Подводя итог, стоит отметить, что существует прямая взаимосвязь между целями организации/целевыми показателями защищенности персональных данных и компонентами процесса менеджмента рисками организации, которые представляют из себя перечень шагов, необходимых для их достижения. Данная взаимосвязь иллюстрируется в материалах COSO трехмерной матрицей (кубом) (Рисунок 2. «Модель COSO»), включающим в себя внутреннюю среду организации, постановку целей по достижению целевого уровня системы защиты персональных данных, определение целей, оценке рисков и реагированию на них, включая мониторинг и анализ информации. Все эти аспекты помогут современным организациям осуществлять процесс управления рисками, выстроить адекватную систему внутреннего контроля и наладить работу с персональными данными.
Список литературы:
- Макеев Р.В. Постановка систем внутреннего контроля: от проверок отчетности к эффективности бизнеса. — М.: Вершина, 2008.
- Аверченков В.И., Рытов М.Ю., Кувыклин А.В., Гайнулин Т.Р. Методы и средства инженерно-технической защиты информации. – 2-е издание. Москва: Издательство «Флинта», 2011. -186 с.
- В. В. Андрианов С. Л. Зефиров В. Б. Голованов Н. А. Голдуев - Обеспечение информационной безопасности бизнеса 2-е издание, переработанное и дополненное, 2013. -186 с.
- http://www.iidf.ru (Фонд развития интернет инициатив, электронный общедоступный ресурс)
- http://www.coso.org (COSO - The Committee of Sponsoring Organizations of the Treadway Commission, электронный общедоступный ресурс )
- http://www.cfin.ru/finanalysis/risk/ (Корпоративный менеджмент, электронный общедоступный ресурс)
Оставить комментарий