Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

Поскольку в нашем случае (речь об информационной безопасности) ущерб  субъектам информационных отношений  может быть нанесен только опосредованно, через определенную информацию и  ее носители, то закономерно возникает  заинтересованность субъектов в  защите этой информации, ее носителей, процессов и систем ее обработки.

Отсюда следует, что в качестве объектов, подлежащих защите с целью обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, любые ее носители (отдельные компоненты и АС в целом) и процессы ее обработки (передачи). Вместе с тем, говоря о защите АС, всегда следует помнить, что уязвимыми, в конечном счете, являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, под безопасностью АС или циркулирующей в ней информации, всегда следует понимать косвенное обеспечение безопасности соответствующих субъектов, участвующих в процессах автоматизированного информационного взаимодействия.

Термин «безопасность информации» нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения или утраты (нарушения целостности, фальсификации) или снижения степени доступности (блокирования) информации, а также незаконного ее тиражирования (неправомерного использования).

Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидным необходимость обеспечения защиты системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.

Под «безопасностью автоматизированной системы» (системы обработки информации, компьютерной системы) следует понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных, пользователей и персонала) от разного рода нежелательных для соответствующих субъектов воздействии. Надо отметить, что пользователи и персонал системы также являются заинтересованными в обеспечении безопасности субъектами (внутренними).

Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его свойств: конфиденциальности, целостности  и доступности.

Конфиденциальность  компонента (ресурса) АС заключается в том, что он доступен только тем субъектам (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента (ресурса) АС предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является одним из условий корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента (ресурса) АС означает, что имеющий соответствующие полномочия субъект может без особых проблем получить своевременный доступ к необходимому компоненту системы.

Кроме того, для защиты субъектов  от нарушений и разграничения  их ответственности необходимо обеспечивать следующие свойства информационной инфраструктуры:

•     неотказуемость субъектов от выполненных критичных действий;

•     защиту от неправомерного тиражирования открытой информации.

Также необходимо различать понятия «информационная безопасность» и «безопасность информации» которые до недавнего времени воспринимались как синонимы. Под информационной безопасностью понимается защищенность общества и личности от деструктивного информационного воздействия (пропаганды, агрессивной рекламы, низкопробных видов искусства и т.п.), а под безопасностью информации понимается состояние защищенности информации от угроз.

1. 3. Цель защиты автоматизированной системы и циркулирующей в ней информации.

При рассмотрении проблемы обеспечения  компьютерной, информационной безопасности следует всегда исходить из того, что  защита информации и самой системы ее  обработки не является самоцелью.

Конечной целью  обеспечения безопасности АС является защита всех категорий субъектов (как внешних, так и внутренних), прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на информацию и системы ее обработки и передачи. В качестве защищаемых объектов должны рассматриваться информация, все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом) и процессы обработки.

Целью защиты циркулирующей в АС информации является предотвращение разглашения (утечки), искажения (модификации), утраты, блокирования (снижения степени доступности) или незаконного тиражирования информации.

Обеспечение безопасности автоматизированной системы предполагает создание препятствий  для любого несанкционированного вмешательства  в процесс функционирования, а  также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов АС: оборудования, программного обеспечения, данных (информации) и ее персонала[2].

В этом смысле защита информации от несанкционированного доступа (НСД) является только частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, а сам термин НСД было бы правильнее трактовать не как «несанкционированный доступ» (к информации), а шире, - как «несанкционированные (неправомерные) действия», наносящие ущерб субъектам информационных отношений[3].

1. 4. Виды мер и основные принципы обеспечения безопасности информационных технологий.

Целью рассмотрения данной темы является обзор видов известных мер  противодействия угрозам безопасности АС (контрмер), а также основных принципов построения систем защиты информации.

Виды мер противодействия угрозам  безопасности

По способам осуществления все  меры защиты информации, ее носителей  и систем ее обработки подразделяются на:

• правовые (законодательные);

• морально-этические;

• технологические;

• организационные (административные и процедурные);

• физические;

• технические (аппаратурные и программные).

Правовые (законодательные)

К правовым мерам защиты относятся  действующие в стране законы, указы и другие нормативные правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом АС.

Морально-этические

К морально-этическим мерам защиты относятся нормы поведения, которые  традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.

Технологические

К данному виду мер защиты относятся  разного рода технологические решения  и приемы, основанные обычно на использовании  некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализация ответственных операции только при наличии разрешения от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщений в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.

Организационные

Организационные меры защиты - это  меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки  данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Меры физической защиты

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях  проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.).

Технические

Технические меры защиты основаны на использовании различных электронных  устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе  с другими средствами) функции  защиты.

1. 5. Основные принципы построения системы защиты ресурсов автоматизированной системы.

Построение системы обеспечения  безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными  принципами: законность, системность, комплексность, непрерывность, своевременность, преемственность и непрерывность совершенствования, разумная достаточность, персональная ответственность, разделение функций, минимизация полномочий, взаимодействие и сотрудничество, гибкость системы защиты, открытость алгоритмов и механизмов защиты, простота применения средств защиты, научная обоснованность и техническая реализуемость, специализация и профессионализм, взаимодействие и координация и обязательность контроля[2].

Законность.

Предполагает осуществление защитных мероприятий и разработку системы безопасности информации в АС в соответствии с действующим законодательством в области информации, информационных технологий и защиты информации, других нормативных правовых актов, руководящих и нормативно-методических документов по безопасности информации, утвержденных органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.

Системность.

Системный подход к защите информации в АС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации в АС. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность.

Комплексное использование методов  и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами.

Одним из наиболее укрепленных рубежей  призваны быть средства защиты, реализованные  на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

Своевременность.

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.