Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

Отнести угрозу к актуальной для  данной ИСПДн из общего перечня можно  использовав приведённую ниже таблицу 4 «Правила отнесения угрозы безопасности ПДн к актуальной».

Таблица 4 «Правила отнесения угрозы безопасности ПДн к актуальной».

Возможность реализации угрозы	Показатель  опасности угрозы
	Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

 

Например, рассмотрим угрозу для ИСПДн  «1С-Предприятие» и определим её актуальность для системы. Возьмём  угрозу утечки видовой информации. Ранее мы уже рассчитали, что данная ИСПДн имеет уровень исходной защищенности средний, а числовой коэффициент =5.  Далее определим частоту (вероятность) реализации угрозы (Значение коэффициента Y₂ ). Она будет иметь значение – маловероятно(0), поскольку в организации введён пропускной режим и ограничен доступ в помещение, где обрабатываются персональные данные. А также рабочие места организованы так, что нет возможности съёма информации по оптическому каналу. Теперь мы можем рассчитать коэффициент реализуемости угрозы по формуле . Получаем Y=0.25 и определяем, что Y лежит в промежутке между 0 и 0.3, а, значит, возможность реализации угрозы признается низкой. Далее экспертным путём оцениваем опасность угрозы как среднюю - реализация угрозы может привести к негативным последствиям для субъектов персональных данных. Исходя из возможности реализации угрозы (низкая) и показателя опасности угрозы (средняя) делаем вывод, что данная угроза является неактуально для ИСПДн «1С-Предприятие».

 

На основании данной методики разработки модели угроз были созданы следующие документы:

• Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «1С – Предприятие» (Приложение 4);
• Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «1С – Зарплата и кадры» (Приложение 5);
• Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «Система обработки анкет» (Приложение 6).

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа, и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

3.3.3. Разработка  требований по обеспечению безопасности персональных данных  при их обработке в ИСПДн Компании.

По результатам актов классификаций  ИСПДн и моделей угроз разработаны  требования по обеспечению безопасности на основании «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных при обработке в информационных системах персональных данных», утвержденных 15 февраля 2008г. заместителем директора ФСТЭК России, и «Частной модели угроз…», для следующих ИСПДн:

• «1С – Предприятие» (Приложение 7);
• «1С – Зарплата и кадры» (Приложение 8);
• «Система обработки анкет» (Приложение 9).

 

Так же в компании были разработаны  и внедрены следующие нормативные  документы, направленные на защиту персональных данных:

• Инструкция по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных в ООО «Арсенал+» (Приложение 10);
• Инструкция по организации антивирусной защиты (Приложение 11);
• Инструкция по организации парольной защиты  (Приложение 12);
• Положение об обработке персональных данных работников, которое устанавливает порядок обработки персональных данных работников, обеспечение защиты прав и свобод работников при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
• Приказ об организации работ по обеспечению безопасности ПДн.

3. 4. Рекомендации и спецификация по закупке средств защиты.

  В компании присутствуют только ИСПДн 3 класса, поэтому должны быть реализованы мероприятия по защите ПДн от несанкционированного доступа, в соответствии с методическими рекомендациями по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. При этом предъявляются требования к следующим подсистемам защиты ПДн от несанкционированного доступа:

подсистеме управления доступом;

подсистеме регистрации и учета;

подсистеме обеспечения целостности.

Соответствие предъявляемых к  ИСПДн требований классам защищенности автоматизированных систем от несанкционированного доступа приведено в таблице 5.

Таблица 5.

Класс ИСПДн		Подсистемы
		Управления доступом	Регистрации и учета	Обеспечения целостности
3	Однопользовательская	3Б	3Б	3Б
	Многопользовательская с равными  правами доступа	2Б	2Б	2Б
	Многопользовательская с разными  правами доступа	1Д	1Д	1Д

 

Исходя из приведенной таблицы  для ИСПДн бухгалтерии и отдела кадров, все подсистемы нуждаются  в защите средствами от НСД не ниже класса 1Д. А ИСПДн отдела маркетинга – 3Б.

Так же, если терминальный сервер обработки и хранения персональных данных для ИСПДн бухгалтерии и отдела кадров будет вынесен в отдельную подсеть, то сервера необходимо будет защищать межсетевым экраном (МЭ). Определить класс  МЭ можно в соответствии таблицей 6.

Таблица 6.

Класс ИСПДн		Класс межсетевого экрана
3	Распределенные ИСПДн	4
	ИСПДн, подключенные к сетям связи  общего пользования и (или) сетям  международного информационного обмена	2

 

В ИСПДн компании должны быть реализованы  мероприятия по антивирусной защите и защите от программно-математических воздействий (несанкционированных воздействий на ресурсы автоматизируемой информационной системы, осуществляемые с использованием вредоносных программ). При этом предъявляются требования к следующим подсистемам защиты ПДн от программно-математических воздействий:

подсистеме управления доступом;

подсистеме регистрации и учета;

подсистеме обеспечения целостности.

Подробно требования по антивирусной защите и защите от программно-математических воздействий изложены в разработанных требованиях по обеспечению безопасности (Приложение 7, 8, 9)

При реализации мероприятий по антивирусной защите и защите от программно-математических воздействий необходимо использовать сертифицированные средства антивирусной защиты. При этом на этапе ввода в эксплуатацию средств антивирусной защиты должны быть установлены настройки данных средств, обеспечивающие выполнение требований, предъявляемых к установленному классу ИСПДн[20].

Из представленных выше требований по защите персональных данных и соответствующих этим требованиям классов средств защиты информации (СЗИ) необходимо составить перечень СЗИ, возможных для внедрения в ИСПДн. Перечень СЗИ составлен на основе государственного реестра сертифицированных средств защиты информации.

Таблица 7. Перечень сертифицированных средств защиты от несанкционированного доступа.

№ п/п	Наименование средства защиты	Сведения о сертификации	Срок действия сертификата
1.	«Юникрос-Защита», класс защищенности 1Д	от 17.09.2007 № 1460	до 17.09.2010
2.	Программно-аппаратный комплекс СЗИ НСД «Аккорд АМДЗ», класс защищенности 1Д	от 13.08.2007 № 246/7	до 13.08.2010
3.	MICROSOFT® OFFICE ПРОФЕССИОНАЛЬНЫЙ 2007», класс защищенности 1Г	от 03.04.2008 № 1587	до 03.04.2011
4.	«MICROSOFT® OFFICE ПРОФЕССИОНАЛЬНЫЙ 2007» Service Pack 1, класс защищенности 1Г	от 03.12.2008 № 1587/1	до 03.12.2011
5.	ОЕМ_версия операционной системы «Microsoft Windows XP Professional», класс защищенности 1Г	от 04.07.2008 № 1608	до 04.07.2011
6.	ОЕМ_версия операционной системы «Microsoft Windows XP» Professional Service Paск 2, класс защищенности 1Г	от 04.08.2008 № 1657	до 04.08.2011
8.	Система защиты конфиденциальной информации «Secret Disk 4», класс защищенности 1Г	от 24.12.2008 № 1742	до 24.12.2011
9.	Операционная система  «Microsoft Windows 2003 Server Standard Edition», класс защищенности 1Г	от 04.10.2004 № 1017/2	до 04.10.2009
10.	Операционная система  «Microsoft Windows 2003 Server Enterprise Edition Release 2», класс защищенности 1Г	от 04.10.2006 № 1017/3	до 04.10.2009
11.	Операционная система  «Microsoft Windows 2003 Server Standard Edition» Service Pack 2, класс защищенности 1Г	от 05.08.2008 № 1017/4	до 05.08.2011
12.	Операционная система  «Microsoft Windows 2003 Server Standard Edition Release 2» Service Pack 2, класс защищенности 1Г	от 05.08.2008 № 1017/5	до 05.08.2011
13.	Операционная система  «Microsoft Windows 2003 Server Enterprise Edition Release 2» Service Pack 2, класс защищенности 1Г	от 05.08.2008 № 1017/7	до 05.08.2011
14.	ОЕМ_версия операционной системы «Microsoft Windows XP Professional» Service Pack 2, класс защищенности 1Г	от 05.08.2008 № 1019/2	до 05.08.2011
15.	ОЕМ_версия операционной системы «Microsoft Windows XP Embedded», класс защищенности 1Г	от 05.08.2008 № 1019/3	до 05.08.2011
16.	Операционная система  «Microsoft Windows 2003 Server Standard Edition», класс защищенности 1Г	от 04.10.2006 № 1017/2	до 04.10.2009
17.	Операционная система  «Microsoft Windows 2003 Server Enterprise Edition Release 2», класс защищенности 1Г	от 12.12.2006 № 1017/3	до 12.12.2009
18.	Операционная система  «Microsoft Windows 2003 Server Standard Edition» Service Pack 2, класс защищенности 1Г	от 05.08.2008 № 1017/4	до 05.08.2011
18.	Операционная система  «Microsoft Windows 2003 Server Standard Edition Release 2» Service Pack 2, класс защищенности 1Г	от 05.08.2008 № 1017/5	до 05.08.2011
19.	Операционная система  «Microsoft Windows 2003 Server Enterprise Edition» Service Pack 2, класс защищенности 1Г	от 05.08.2008 № 1017/6	до 05.08.2011
20.	Операционная система  «Microsoft Windows 2003 Server Enterprise Edition Release 2» Service Pack 2, класс защищенности 1Г	от 05.08.2008 № 1017/7	до 05.08.2011
22.	Офисный программный комплекс «Microsoft® Office, Профессиональный выпуск 2003», Service Pack 3, класс защищенности 1Г	от 07.08.2008 № 1019/2	до 07.08.2011
23.	Система управления базами данных «Microsoft SQL Server 2005 Standard Edition», класс защищенности 1Г	от 22.01.2007 № 1319	до 22.01.2010
24.	Система управления базами данных «Microsoft SQL Server 2005 Enterprise Edition», класс защищенности 1Г	от 22.01.2007 № 1319/1	до 22.01.2010
25.	Операционная система Microsoft Windows XP Professional  Service Pack 2, класс защищенности 1Г	от 03.12.2004 № 844/2	до 03.12.2010
26.	Операционная система Microsoft Windows XP Professional  Service Pack 3, класс защищенности 1Г	от 03.12.2004 № 844/3	до 03.12.2010
27.	Программно-аппаратный комплекс СЗИ  НСД «Аккорд АМДЗ», класс защищенности 1Б	от 13.08.2007 № 246/7	до 13.08.2010
28.	Система защиты информации от НСД  «Dallas Lock 6.0, класс защищенности 1В	от 21.06.2003 № 762	до 21.06.2009
29.	Система защиты информации от НСД  «Страж NT» версия 2.5, класс защищенности 1В	от 13.09.2006 № 1260	до 13.09.2009
30.	Персональный межсетевой экран  «ФПСУ-IP/Клиент», 5 класс защищенности	от 03.11.2006 № 1281	до 03.11.2009

 

Таблица 8. Перечень сертифицированных средств антивирусной защиты.

№ п/п

Наименование средства защиты

Сведения о сертификации

Срок действия сертификата

 

1.	«Антивирус Касперского 5.0 для Microsoft Exchange Server 2000/2003»	от 28.12.2006 № 1310	до 28.12.2009
2.	«Антивирус Касперского 6.0 для Windows Servers»	от 10.05.2007 № 1382	до 10.05.2010
3.	«Антивирус Касперского 6.0 для Windows Workstations»	от 11.05.2007 № 1384	до 11.05.2010

Заключение.

Результатом дипломной работы стала  модификация и максимальная подготовка информационной системы компании ООО «Арсенал+» к внедрению сертифицированных средств защиты информации, и последующим аттестационным испытаниям на соответствие закону 152-ФЗ «О персональных данных».

В процессе достижения поставленной цели были решены поставленные задачи. Обозначены необходимые теоретические аспекты в защиты конфиденциальной информации.  Рассмотрены основные понятия в области безопасности информационных технологий. Выделены основные меры и принципы организации защиты конфиденциально информации.

Проведён  анализ законодательной базы в области  обеспечения безопасности информационных технологий и персональных данных. Выделены основные взгляды, определения, требования, а так же мера ответственности, предъявляемые государством для  всех операторов персональных данных.

Проведён  анализ ресурсов участвующих в обработке  ПДн в ООО «Арсенал+». Результаты данного анализа показали, что организация действительно является оператором персональных данных не только своих сотрудников, но и третьих лиц. При этом допускаются нарушения, в соответствии с ФЗ-152 «О персональных данных» при обработке ПДн. Организация защиты данной ИС экономически нецелесообразна, поскольку существуют предпосылки к понижению класса системы путем модернизации самой ИС. Модернизация ИС была осуществлена с минимальными материальными затратами, при использовании технических возможностей существующей телекоммуникационной инфраструктуры компании.

В ходе выявления уязвимых звеньев и возможных угроз безопасности ИСПДн была разработана большая часть нормативной документации по организации защиты ПДн. Приведен перечень актуальных угроз, разработаны основные требования и методы по организации защиты ПДн для каждой из ИСПДн компании, в соответствии с методическими рекомендациями по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, предлагаемые Управлением Федеральной службы по техническому и экспортному контролю.