Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

С точки зрения подзаконных актов  и постановлений вышеупомянутая схема работы имеет несколько  нарушений:

• Компьютеры, на которых производится обработка ПДн, включены в общую сеть Компании, но при этом обрабатываемые ПДн не защищены от перехвата на уровне рабочего места пользователя;
• Доступ к данным имеется у всех сотрудников, имеющих доступ к ИС Компании, при этом не установлен нормативным документов перечень лиц, обрабатывающих ПДн, и нет ознакомления указанных лиц с фактом обработки ими ПДн;
• Контроль резервных копий БД, содержащих в том числе ПДн, осуществляется без ведения соответствующих журналов, нет ознакомления технического персонала с фактом резервного копирования ими ПДн;
• Сервер, на котором расположен указанный файловый ресурс, находится в общей сети;
• Файлы, содержащие ПДн, находятся в незашифрованном состоянии, либо зашифрованы несоответствующим средством криптозащиты.

3.1.3. Предлагаемые меры по устранению нарушений.

Неавтоматизированная  обработка ПДн.

Для устранения нарушений предлагаются следующие мероприятия:

1. в анкетах, при оформлении дисконтной карты и предусматривающих не только статистическую обработку включить следующий пункт:

«Подписывая данную анкету, я даю согласие на обработку (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных) своих персональных данных (фамилия, имя, отчество, дата рождения, паспортные данные) оператором персональных данных ООО «Арсенал+», и/или его представителям в целях оформления дисконтной карты»;

 

2. разработать и утвердить следующие виды документов:

• «Положение о защите персональных данных»;
• «Положение о подразделении по защите информации»;
• Должностные регламенты лиц, ответственных за защиту ПДн;
• «План мероприятий по защите ПДн»;
• «План внутренних проверок состояния защиты ПДн»;
• «Приказ о назначении ответственных лиц по ПДн»;
• «Список лиц, обрабатывающих ПДн»;
• «Порядок хранения и обработки документов содержащих ПДн».

 

3. Изменить трудовые договоры с сотрудниками, обрабатывающими ПДн – внести пункт об ответственности сотрудника за разглашение ПДн:

«В случае установленного нарушения норм, регулирующих получение, обработку и защиту персональных данных, работник несет дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами».

ИСПДн, где ведётся обработка  данных в 1С – Зарплата и кадры, Бухгалтерия.

Для устранения нарушений предлагаются следующие мероприятия:

• Вывести РМ, обрабатывающие ПДн, в отдельную сеть без выхода в Интернет, подсеть закрыть МСЭ 4 класса;
• Рассмотреть вопрос о выносе на зашифрованный спец. средствами носитель баз данных;
• Разработать и утвердить инструкцию по организации резервирования и восстановления программного обеспечения, баз персональных данных информационной системы персональных данных;
• Установить формат журнала учета машинных носителей ПДн;
• Осведомить сотрудников, обрабатывающих ПДн, об ответственности за разглашение ПДн.

 

Обработка данных в Бизнес-приложении.

Для устранения нарушений предлагаются следующие мероприятия:

• Изменить порядок выписки расходно-кассовых ордеров при возврате денег клиентам или при выдаче на подотчет сотрудника – исключить хранение и обработку ПДн в БД, свести хранение имеющихся ПДн к хранению твердых копий. Данная мера позволит избежать криптозащиты всех каналов связи с розничной сетью, защиты от ПЭМИН в розничной сети, т.е. уйти при обработке данных документов из ПДн 2-го класса;
• При выписке дисконтных карт исключить фиксацию паспортных данных, фиксация даты рождения и ФИО должна производиться отдельно установленным сотрудником во время пост-обработки присланных из розничной сети анкет. При этом производить обезличивание данных, что позволит: избежать их криптозащиты и избежать криптозащиты каналов связи Терминальный Сервер – Сервер БД. По сути – ПДн (ФИО и дата рождения) вносить в две разные таблицы, с использованием номера карты как ключевого поля;
• Разработать и утвердить инструкцию по организации резервирования и восстановления программного обеспечения, баз персональных данных информационной системы персональных данных;
• Установить формат журнала учета машинных носителей ПДн;
• Ознакомить сотрудников, обрабатывающих ПДн, с ответственностью сотрудника за разглашение ПДн.

 

Хранение ПДн на файловых ресурсах.

Для устранения нарушений предлагаются следующие мероприятия:

• В общем случае запретить хранение ПДн на файловых ресурсах, разработку приказов и пр. Обработку осуществлять на отдельных РМ, не подключенных к сети и защищенных специальным программным обеспечением (SecretDisk, SafeDisk, Аккорд);
• В особых случаях выносить места обработки ПДн в отдельную подсеть без выхода в Интернет, подсеть закрыть МСЭ 4 класса;
• Разработать и утвердить инструкцию по организации резервирования и восстановления программного обеспечения, баз персональных данных информационной системы персональных данных;
• Установить формат журнала учета машинных носителей ПДн;
• Ознакомить сотрудников, обрабатывающих ПДн, с ответственностью сотрудника за разглашение ПДн.

 

В итоге, вся ИС компании в совокупности имеет следующие характеристики:

• Категория персональных данных - ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1, категория – 2;
• Объем обрабатываемых персональных данных – более 1000, но не превышает 100000, категория – 2;
• ИСПДн 2 класса - степень негативных последствий для субъектов ПДн при нарушении заданных характеристик безопасности характеризуется как негативные последствия.
• Заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе – специальная.
• Структура информационной системы - распределенная информационная система.
• Многопользовательский режим обработки персональных данных.
• Режим разграничения прав доступа пользователей информационной системы – с разграничением прав доступа.
• местонахождение технических средств: в пределах Российской Федерации.

 

Основными выводами по данным результатам  является то, что организация действительно  является оператором персональных данных не только своих сотрудников, но и  третьих лиц. При этом допускаются  нарушения в соответствии ФЗ-152 «О персональных данных» при обработке ПДн. Так же стоит отметить, что защита данной ИС экономически нецелесообразна, поскольку существуют предпосылки к понижению класса системы. Понизить класс ИС можно следующими образами:

• Разделить ИС на несколько логических подсистем, тем самым получив несколько юридически разных ИСПДн, и далее организовывать их защиту исходя из получившегося класса каждой ИСПДн.
• Перейти на обезличивание в тех случаях, где это возможно.
• Запретить обработку ПДн, в тех подразделениях, где нет острой необходимости в этом.

3. 2. Модернизация ИС.

Чтобы минимизировать расходы для  модернизации информационной системы, было решено использовать технические  возможности существующей телекоммуникационной инфраструктуры компании.

Разделение ИС на несколько логических подсистем осуществляется на базе технологии виртуальных локальных компьютерных сетей (VLAN) для ИСПДн бухгалтерии и отдела кадров. ИСПД отдела маркетинга выделена из общей сети в автономное рабочее место.

Выделение в отдельную сеть компьютеров  бухгалтерии и отдела кадров  осуществлено на базе технологии виртуальных локальных сетей, поскольку это не требует от компании дополнительных материальных затрат и заключается лишь в решении задачи переконфигурирования коммутационного оборудования. Также данная технология имеет следующий ряд преимуществ:

• VLAN позволяет изменять конфигурацию сети, объединять пользователей в отдельные рабочие группы, определять доступные сегменты для отдельно взятого порта.
• VLAN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от "лишнего" трафика.
• С помощью VLAN можно контролировать и эффективно подавлять широковещательные штормы, которые в больших сетях иногда останавливают работу целых сегментов.
• С помощью технологии VLAN обычно создаются рабочие группы. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN – это закрытая и логически определенная группа[4].

Итак, изначально информационная система  выглядела следующим образом (Рис. 5):

 

Все недостатки данной организации  были перечислены в предыдущей части  этой главы. На данном этапе нам необходимо выделить компьютеры оператора ПДн  и  Сервер, на котором производится обработка ПДн, в отдельную сеть. Для этого необходимо на коммутаторе Cisco Catalist 3750 создать два новых VLAN'а, указав для них адрес и маску сети, а также адрес DHCP-сервера:

interface Vlan133

description FINANCE - имя

ip address 192.168.2.97 255.255.255.224 - адрес интерфейса

ip helper-address 192.168.100.35 - адрес DHCP-сервера

!

interface Vlan134

description PERSONAL

ip address 192.168.2.129 255.255.255.224

 ip helper-address 192.168.100.35

 

Создание VLAN'а и задание имени (использование команд в общем  виде):

sw(config)# vlan 100

sw(config-vlan)# name N_VLAN

 

 

Назначение порта коммутатора  в VLAN:

sw(config)# interface fa1/0/1

sw(config-if)# switchport mode access

sw(config-if)# switchport access vlan 100

или диапазона портов:

sw(config)# interface range fa1/0/4 - 5

sw(config-if-range)# switchport mode access

sw(config-if-range)# switchport access vlan 100

 

Задание адреса в VLAN. Этот адрес будет  маршрутом по умолчанию для компьютеров  в N_VLAN:

sw(config)#interface N_VLAN

sw(config-if)#ip address 192.168.0.1 255.255.255.0

sw(config-if)#no shutdown

 

Таким образом, мы получили две отдельные сети для  бухгалтерии и отдела кадров, одновременно с этим исключив из сети компьютер  оператора ПДн отдела маркетинга (ИСПДн – «Система обработки анкет»). Теперь все персональные данные обрабатываются отдельно от общей сети, а схема информационной системы имеет следующий вид (Рис. 6):

Фильтрации  сетевого трафика осуществляются при  помощи списков контроля доступа (Access Control List — ACL), установленных на том же коммутаторе Cisco Catalist 3750, где ранее мы создавали VLAN'ы.   Списки контроля доступа определяют то, каким образом трафик обрабатывается при прохождении через сетевое устройство. Как правило, списки ACL реализуются в маршрутизаторах, однако новое аппаратное обеспечение позволяет коммутаторам второго и третьего уровней перед отправкой пакетов обращаться к этим спискам. Списки ACL позволяют пользователям настраивать любой коммутатор для  управления трафиком на основании третьего или вышестоящих уровней эталонной модели OSI[5].

К примеру, если нам необходимо разрешить подключение  из сети бухгалтерии к терминальному  серверу обработки ПДн по протоколу RDP(порт 3389), то этому будет соответствовать следующее правило:

permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.1 eq 3389

 

или оператору  ПДн необходимо осуществить подключение  к SQL-серверу (порт 1433), то это будет  разрешено следующим правилом:

permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.1 eq 1433

   Для организации сетевой печати с терминального сервера обработки ПДн оператором ПДн на принтер, находящийся в той же сети, что и оператор, необходимо двойное правило, разрешающее отправлять пакеты к серверу по порту сетевой печати (9100), а также пропускать ответы принтера из сети по тому же порту:

 permit tcp 192.168.2.96 0.0.0.31 host 192.168.100.58 eq 9100