Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

Непрерывность защиты.

Защита информации - не разовое  мероприятие и не простая совокупность проведенных мероприятий и установленных  средств защиты, а непрерывный целенаправленный процесс предполагающей принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Преемственность и совершенствование.

Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации и воздействия на компоненты АС, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Разделение функций.

Принцип Разделения функций, требует, чтобы ни один сотрудник организации  не имел полномочии, позволяющих ему  единолично осуществлять выполнение критичных операций. Все такие операции должны быть разделены на части, и их выполнение должно быть поручено различным сотрудникам. Кроме того, необходимо предпринимать специальные меры по недопущению сговора и разграничению ответственности между этими сотрудниками

Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат).

Предполагает соответствие уровня затрат на обеспечение безопасности информации (ценности информационных ресурсов) величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала. Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействии или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

 

 

Персональная ответственность.

Предполагает возложение ответственности  за обеспечение безопасности информации и системы ее обработки на каждого  сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Минимизация полномочий.

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

Взаимодействие и сотрудничество.

Предполагает создание благоприятной  атмосферы в коллективах подразделений. В такой обстановке сотрудники должны осознанно соблюдать установленные  правила и оказывать содействие в деятельности подразделений обеспечения  безопасности информации.

Гибкость системы защиты.

Принятые меры и установленные  средства защиты, особенно в начальный  период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный  уровень защиты. Для обеспечения  возможности варьирования уровнем  защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на уже работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Открытость алгоритмов и механизмов защиты.

Суть принципа открытости алгоритмов и механизмов защиты состоит в  том, что защита не должна обеспечиваться только за счет секретности структурной  организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация о конкретной системе защиты должна быть общедоступна.

Простота применения средств защиты.

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Научная обоснованность и техническая реализуемость.

Информационные технологии, технические  и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.

Специализация и профессионализм.

Предполагает привлечение к  разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными сотрудниками (специалистами подразделений обеспечения безопасности информации).

Взаимодействие и координация.

Предполагают осуществление мер  обеспечения безопасности информации при разработке и функционировании АС и ее системы защиты информации, на основе взаимодействия всех внутренних структурных подразделений организации, а также сторонних предприятий и организаций, имеющих авторизованный доступ к АС, специализированных предприятий и организаций в области защиты информации, привлекаемых для разработки системы защиты информации в АС, координации их усилий для достижения поставленных целей безопасности.

Обязательность контроля.

Предполагает обязательность и  своевременность выявления и  пресечения попыток нарушения установленных  правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

Глава 2. Правовые основы обеспечения безопасности информационных технологий и персональных данных.

Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к гарантированной защищенности принципиально важных данных, обеспечивающей:

•  конституционные права и свободы граждан, предприятий и организаций в сфере информатизации;

•     необходимый уровень  безопасности информации, подлежащей защите;

•  защищенность систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи данных).

Ключевым моментом политики государства  в данной области является осознание  необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их обладателю (собственнику, владельцу, пользователю) или иному лицу.

В Концепции национальной безопасности Российской Федерации (Указ Президента Российской Федерации от 17 декабря 1997 г. № 1300), отражающей совокупность официально принятых взглядов на цели и государственную стратегию в области обеспечения безопасности личности, общества и государства от внешних и внутренних угроз политического, экономического, социального, военного, техногенного, экологического, информационного и иного характера с учетом имеющихся ресурсов и возможностей. Отмечено, что национальные интересы России в информационной сфере обуславливают необходимость сосредоточения усилий общества и государства на решении таких задач, как соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею, защита национальных духовных ценностей, пропаганда национального культурного наследия, норм морали и общественной нравственности, обеспечение права граждан на получение достоверной информации, развитие современных телекоммуникационных технологий. В то же время недопустимо использование информации для манипулированием массовым сознанием. Необходима защита государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации[18].

В Стратегии развития информационного общества в России (утверждена Советом безопасности Российской Федерации 25 июля 2007 г.) одной из целей развития информационного общества в Российской Федерации является противодействие проявлениям угроз безопасности национальным интересам России, связанным с злоупотреблением свободой выражения мнений и распространения идей, враждебным и преступным использованием информационно-коммуникационных технологий.

Для достижения целей развития информационного  общества в России предполагается реализация следующих основных мероприятий:

• обеспечение, на основе объединения усилий государственных и негосударственных организаций, безопасности функционирования информационных и коммуникационных систем критически важных объектов инфраструктуры Российской Федерации, корпоративных и индивидуальных информационных систем, а также информационных и коммуникационных систем, используемых средствами массовой информации федерального уровня для информирования населения страны;

• обеспечение безопасности функционирования российских информационных и коммуникационных систем в составе глобальной информационной инфраструктуры, включая формирование системы международной информационной безопасности.

Развитие информационного общества в Российской Федерации базируется на принципах оптимизация рисков и угроз национальной безопасности России, связанных с враждебным и преступным использованием возможностей информационно-коммуникационных технологий, укрепление доверия и безопасности при их использовании.

В состав нормативных актов правового регулирования вопросов информатизации и защиты информации в Российской Федерации входят:

•   Конституция Российской Федерации и Гражданский Кодекс Российской Федерации;

•   Международные договоры и соглашения;

•   Законы Российской Федерации;

•   Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы;

• Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Порядки, Распоряжения, Перечни и т.п.);

•    Технические регламенты;

•    Национальные стандарты (государственные) и стандарты организаций;

•    Положения, Порядки, Руководящие  документы и другие нормативные  и методические документы уполномоченных государственных органов.

2. 1. Защищаемая информация.

Согласно Доктрины информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 09.09.2000 № Пр-1895) под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства[6].

В Конституции Российской Федерации, а также Декларации прав и свобод человека и гражданина Российской Федерации  определено, что каждый имеет право  свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности.

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» предусматривает разделение информации на категории свободного и ограниченного доступа (право на тайну). В свою очередь информация ограниченного доступа подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную[7].