Организация защиты персональных данных

Пассивные средства защиты, как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий. Преимущества применения пассивных средств заключаются в том, что они позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений.

Защита ПДн при осуществлении пользователями информационных систем голосового ввода данных в ИСПДн или их воспроизведении акустическими средствами ИСПДн обеспечивается путем звукоизоляции помещений, в которых устанавливаются аппаратные средства ИСПДн, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций помещений (стены, пол, потолок, окна, двери).

Звукоизоляция обеспечивается с помощью архитектурных и инженерных решений, применением специальных звукопоглощающих строительных и отделочных материалов, виброизолирующих опор, которыми разделяют друг от друга различные ограждающие конструкции. Для обеспечения требований по защите ПДн достаточным является повышение звукоизоляции на 10-15 дБ. Для снижения вероятности перехвата информации такого рода необходимо исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций помещений и выходящих из них инженерных коммуникаций. 
В случае технической невозможности использования пассивных средств защиты помещений, применяют активные меры защиты, заключающиеся в создании маскирующих акустических и вибрационных помех.

Средства акустической маскировки используется для защиты речевой информации от утечки по прямому акустическому каналу путем создания акустических шумов в местах возможного размещения средств подслушивания или нахождения посторонних лиц.

Средства виброакустической маскировки применяются для защиты информации от перехвата с помощью электронных стетоскопов, радиостетоскопов, а также лазерных акустических систем подслушивания.

С целью предотвращения утечки информации по телефонным каналам связи необходимо оконечные устройства телефонной связи, которые имеют прямой выход на городскую автоматическую телефонную станцию, оборудовать специальными средствами защиты информации, которые используют электроакустическое преобразование.

Для осуществления мероприятий по защите ПДн при их обработке в информационных системах от несанкционированного доступа (НСД) и неправомерных действий пользователей и нарушителей СЗПДн могут включать в себя следующие подсистемы:

• управления доступом;
• регистрации и учета;
• обеспечения целостности;
• антивирусной защиты;
• обеспечения безопасности межсетевого взаимодействия ИСПДн;
• анализа защищенности;
• обнаружения вторжений.

Подсистема управления доступом, регистрации и учета, как правило, реализуется с помощью программных средств блокирования НСД, сигнализации и регистрации. Это специальные, не входящие в ядро операционной системы программные и программно-аппаратные средства защиты самих операционных систем, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций), сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования ИСПДн).

Подсистема обеспечения целостности также реализуется преимущественно средствами самих операционных систем и СУБД. Работа данных средств основана на расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений, повторе передачи непринятых пакетов. 
Частота применения в российских компаниях в качестве операционной системы продуктов компании Microsoft вызвала необходимость использовать в качестве базовой платформы для построения решения подсистемы разграничения и контроля доступа к ресурсам информационной системы функционал Microsoft Windows Server 2003.

Эта сетевая операционная система наряду с необходимым для обеспечения безопасности ПДн набором технологических параметров обладает всеми необходимыми сертификатами на соответствие требованиям регулирующих органов. ФСТЭК России в Системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертифицировал:

• русскую версию Windows Server 2003 (Standard Edition и Enterprise Edition);
• русскую версию Windows Server 2003 R2 (Standard Edition и Enterprise Edition).

Компанией Microsoft также производится сертификация ежемесячно выходящих новых патчей к данным продуктам.

ФСБ России сертифицировала русскую версию серверной операционной системы Windows Server 2003 Enterprise Edition. Сертификат ФСБ удостоверяет, что продукт соответствует требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2. Таким образом, данная система может быть использована в качестве средства для защиты ПДн в ИСПДн.

Последней версией Windows Server является версия Windows Server 2008. Ожидается, что к дате выхода данной статьи сертификация данной ОС будет получена и в технических решениях для подсистемы управления доступом, регистрации и учета будет возможно применение Microsoft Windows Server 2008. 
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, обеспечивающей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты (подсистема антивирусной защиты). Такие средства способны обеспечивать:

• обнаружение и блокирование деструктивных вирусных воздействий на общесистемное и прикладное ПО, реализующее обработку ПДн, а также на сами ПДн;
• обнаружение и удаление «неизвестных» вирусов (т.е. вирусов, сигнатуры которых еще не внесены в антивирусные базы данных);
• обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

Подсистема антивирусной защиты должна строиться с учетом следующих факторов:

• наличия средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;
• возможности оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления программно-математических воздействий (ПВМ).

Для реализации подсистемы антивирусной защиты ПДн при их обработке в ИСПДн возможно использование антивирусных средств компании «Лаборатория Касперского».

Продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России. Данные сертификаты удостоверяют, что Антивирус Касперского 6.0 для Windows Servers соответствует требованиям к антивирусным средствам класса А1с, Антивирус Касперского 5.5 для Linux и FreeBSD Workstations и File Server соответствует требованиям к антивирусным средствам класса А2с и Kaspersky Administration Kit 6.0 соответствует требованиям к антивирусным средствам класса А3с. Указанные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.

Кроме того, продукты Антивирус Касперского 6.0 для Windows Servers, Антивирус Касперского 6.0 для Windows Workstation и Kaspersky Administration Kit 6.0 соответствуют требованиям руководящего документа ФСТЭК – по 3 уровню контроля и требованиям технических условий. 
Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии(подсистема обеспечения безопасности межсетевого взаимодействия ИСПДн) применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами (МЭ). Межсетевой экран устанавливается между защищаемой внутренней и внешней сетями. МЭ входит в состав защищаемой сети. За счет соответствующих настроек задаются правила, которые позволяют ограничивать доступ пользователей из внутренней сети во внешнюю и наоборот.

Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 3 и 4 классов рекомендуется использовать МЭ не ниже пятого уровня защищенности, в ИСПДн 2 класса – МЭ не ниже четвертого уровня защищенности, в ИСПДн 1 класса – МЭ не ниже третьего уровня защищенности.

Подсистема анализа защищенности предназначена для осуществления контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяет оценить возможность проведения нарушителями атак на сетевое оборудование, контролирует безопасность программного обеспечения. С помощью таких средств (средства обнаружения уязвимостей) производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т.п. Данный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях. 
Средства обнаружения уязвимостей могут функционировать на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Применяя сканирующее ПО, можно составить карту доступных узлов ИСПДн, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации НСД. По результатам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки.

В качестве средства, применяемого в подсистеме анализа защищенности, специалисты различных компаний  часто используют Xspider компании Positive Technologies. Сетевой сканер Xspider сертифицирован ФСТЭК России (сертификат соответствия № 1323от 23 января 2007 г., действителен до 23 января 2010 г.) и Министерством Обороны (сертификат соответствия № 354). Xspider  – сетевой сканер безопасности, построенный на базе интеллектуального сканирующего ядра, которое обеспечивает максимально полное и надежное определение уязвимостей на системном и прикладном уровне. XSpider работает под управлением Microsoft Windows, он проверяет все возможные уязвимости независимо от программной и аппаратной платформы узлов, работает с уязвимостями на разном уровне – от системного до прикладного. В частности, XSpider включает мощный и глубокий анализатор защищенности WEB-серверов и WEB-приложений. Xspider поддерживает различные способы сканирования, в том числе и удаленное, при гарантии доступности сетевого сегмента.

В настоящее время компания Positive Technologies проводит работы по сертификации на отсутствие НДВ и соответствие ТУ системы оценки защищенности и контроля соответствия техническим политикам MaxPatrol. 
В отличие от сканера безопасности, который оценивает только внешние уязвимости, MaxPatrol проводит внутренний аудит информационных ресурсов.

Применение системы MaxPatrol позволяет:

• Оценивать защищенность информационных систем. MaxPatrol выявляет бреши в защите автоматизированных систем (АС), формирует задание на их устранение, отслеживает эффективность и своевременность устранения найденных уязвимостей. 
• Отслеживать текущее состояние информационных ресурсов. MaxPatrol проводит инвентаризацию защищаемых ресурсов и позволяет своевременно обнаруживать изменения в АС, в частности, в настройках сетевого оборудования, правах пользователей на рабочих станциях, таблицах БД, мандантах ERP-систем.
• Контролировать соответствие АС техническим политикам. MaxPatrol формирует технические стандарты с использованием имеющейся в системе Базы Знаний, включающей комплексные стандарты для сетевого оборудование Cisco/Nortel/Huawei, платформ Windows/Linux/Solaris/, СУБД Microsoft SQL/Oracle, сетевых приложений, Web-служб, почтовых систем, ERP-приложений. MaxPatrol автоматически проводит инспекции на предмет соответствия АС сформированным техническим политикам безопасности.
• Измерять эффективность процессов ИБ в организации. На основе постоянно собираемой информации система формирует метрики безопасности (KPI), по которым оценивается эффективность процессов обеспечения ИБ. Существуют десятки различных метрик: от технических (например, процент рабочих станций, не удовлетворяющих антивирусной политике) до высокоуровневых (процент выполнения филиалом требований по безопасности в сравнении с другими филиалами на протяжении определенного времени). Метрики рассчитываются на основе реальных количественных данных, собранных модулями оценки защищенности, инвентаризации, контроля соответствия.

В данный момент ведется сертификация системы MaxPatrol.

Выявление угроз НСД при межсетевом взаимодействии производится с помощью систем обнаружения вторжений (подсистема обнаружения вторжений). Такие системы строятся с учетом особенностей реализации атак и этапов их развития. Они основаны на следующих методах обнаружения атак: сигнатурные методы, методы выявления аномалий, комбинированные методы с использованием обоих названных методов.