Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных +» (Дипломная работа)

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

Институт математики и компьютерных наук

Кафедра информационной безопасности

Допустить к защите в ГАК

Заведующий кафедрой

информационной безопасности,

д. т.н., профессор

“____” _________ 2010 г.

.

Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных +»

(Дипломная работа)

Научный руководитель:

старший преподаватель

_____________

Автор работы:

_____________

Тюмень – 2010

Введение. 2

Глава 1. Основные понятия в области безопасности информационных технологий. 4

1. 1. Что такое безопасность информационных технологий. 4

1. 2. Субъекты информационных отношений, их безопасность. 5

1. 3. Цель защиты автоматизированной системы и циркулирующей в ней информации. 9

1. 4. Виды мер и основные принципы обеспечения безопасности информационных технологий. 10

1. 5. Основные принципы построения системы защиты ресурсов автоматизированной системы. 12

Глава 2. Правовые основы обеспечения безопасности информационных технологий и персональных данных. 17

2. 1. Защищаемая информация. 18

2. 2. Персональные данные. 25

2. 3. Информация в ключевых системах информационной инфраструктуры. 35

2. 4. Сертификация средств защиты и аттестация объектов информатизации. 36

2. 4.1. Сертификация. 41

2.Аттестация. 43

2. 6. Специальные требования и рекомендации по технической защите конфиденциальной информации. 45




2. 7. Ответственность за нарушения в сфере защиты информации. 48

Глава 3. Подготовка информационной системы персональных данных +» к аттестации на соответствие закону «О персональных данных». 53

3. 1. Анализ информационной системы (ИС) компании. 53

3.1.1. Общее состояние процессов обработки ПДн в организации. 54

3.1.2. Анализ обработки ПДн в ИС. 55

3.1.3. Предлагаемые меры по устранению нарушений. 58

3. 2. Модернизация ИС. 61

3. 3. Нормативная документация по организации защиты ПДн. 64

3.3.1. Классификация информационных систем персональных данных Компании. 64

3.3.2. Модель угроз безопасности персональным данным при их обработке в информационных системах персональных данных Компании. 67

3.3.3. Разработка требований по обеспечению безопасности персональных данных при их обработке в ИСПДн Компании. 71

3. 4. Рекомендации и спецификация по закупке средств защиты. 72

Заключение. 76

Список литературы. 78

Приложение 1. Акт классификации ИСПДн "1С – Предприятие".

Приложение 2. Акт классификации ИСПДн "1С – Зарплата и кадры".

Приложение 3. Акт классификации ИСПДн "Система обработки анкет".

Приложение 4. Модель угроз ПДн при их обработке в ИСПДн "1С – Предприятие".

Приложение 5. Модель угроз ПДн при их обработке в ИСПДн "1С – Зарплата и кадры".

Приложение 6. Модель угроз ПДн при их обработке в ИСПДн "Система обработки анкет".

Приложение 7. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн "1С – Предприятие".




Приложение 8. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн "1С – Зарплата и кадры".

Приложение 9. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн "Система обработки анкет".

Приложение 10. Инструкция по учету лиц, допущенных к работе с ПДн в ИСПДн.

Приложение 11. Инструкция об организации антивирусной защиты.

Приложение 12. Инструкция об организации парольной защиты.

Введение.

Актуальность дипломной работы определяется большим интересом к тематике защиты персональных данных со стороны общественности, современной науки и не проработанность законодательной базы при решении проблем обеспечения информационной безопасности, а так же изменениями в законодательстве РФ. Подписанный 27 июля 2006 года ФЗ «О защите персональных данных» в сферу действия которого попадают все юридические и физические лица, в обработке у которых находятся персональные данные других граждан, обязывает каждую организацию принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Надежное обеспечение информационной безопасности критически важных объектов является одним из важнейших условий для успешного экономического и социально-политического развития российского общества, укрепления обороноспособности страны и безопасности государства. Решение этой проблемы во многом определяется защищенностью информационных ресурсов, телекоммуникационных систем и сетей критически важных объектов, создаваемых и используемых как государственными, так и негосударственными организациями, от угроз преступного или террористического характера в сфере компьютерной информации, деструктивного информационного воздействия со стороны других государств.




Цель дипломной работы заключается в модернизации и подготовки информационной системы персональных данных +» к аттестации на соответствие закону .

Для достижения поставленной цели были сформулированы следующие задачи:

·  Рассмотреть основные понятия в области безопасности информационных технологий.

·  Провести анализ законодательной базы в области обеспечения безопасности информационных технологий и персональных данных.

·  Провести анализ ресурсов участвующих в обработки ПДн в +».

·  Выявление уязвимых звеньев и возможных угроз безопасности ИСПДн.

·  Разработка нормативной документации по организации защиты ПДн.

·  Подготовить рекомендации по организации системы защиты и закупке средств защиты информации.

Практическая значимость работы определяется тем, что ее результаты позволяют подготовить ИС +» к аттестации на соответствие закону с минимальными временными и материальными затратами, а так же устранение фактов нарушения обработки персональных данных. На сегодняшний день законодательная база РФ предусматривает следующие виды ответственности за нарушения в области защиты персональных данных: административная, уголовная, гражданская, дисциплинарная. В свою очередь нарушения закона могут оказать значительные негативные последствия для ведения бизнеса компании.

Глава 1. Основные понятия в области безопасности информационных технологий.

Прежде всего, необходимо понять, что же такое безопасность информационных технологий, определить что (кого), от чего (от кого), почему (зачем) и как (в какой степени и какими средствами) надо защищать. Только получив четкие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспечения безопасности ИТ и переходить к обсуждению вопросов построения соответствующих систем защиты.




1. 1. Что такое безопасность информационных технологий.

Что же такое безопасность и безопасность ИТ в частности? Очень часто говорят, что безопасность это отсутствие опасностей. Это не совсем правильно, так как полностью устранить все возможные опасности нельзя. Безопасность - это защищенность от опасностей. Точнее, безопасность - это защищенность от возможного ущерба, наносимого при реализации этих опасностей (угроз).

Наносимый при осуществлении угроз ущерб может быть материальным, моральным или физическим. Наноситься этот ущерб может напрямую или косвенно. Субъектами нанесения ущерба, в конечном счете, всегда являются люди. Даже если пострадают материальные объекты или информационные ресурсы, ущерб (косвенный) в итоге будет причинен людям, каким-либо образом, связанным с этими объектами или заинтересованным в их сохранности и целостности. Самим этим объектам (ресурсам) - все равно. Они не живые, у них нет своих интересов. Но от них зависят люди, которым повреждения этих объектов (ресурсов) могут быть далеко небезразличны.

Реальность такова, что чем с большим числом объектов нас что-то связывает, тем в большей опасности для косвенного нанесения нам ущерба мы находимся[1].

Если мы заинтересованы в надлежащей работе АС, то косвенный ущерб нашим интересам может быть нанесен путем нарушения нормального функционирования этих систем или нарушения необходимых нам свойств отдельных компонентов и ресурсов АС. Причем, среди таких компонентов не только информация, но и ее носители (устройства хранения, обработки, передачи данных), а также процессы обработки и передачи информации.




Под автоматизированной системой обработки информации будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов:

• технических средств обработки и передачи данных (средств вычислительной техники и связи);

• методов и алгоритмов обработки данных в виде программного обеспечения;

• информации (массивов, наборов, баз данных) на различных носителях;

• обслуживающего персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Под информацией будем понимать сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (об их свойствах, характеристиках) в некоторой предметной области, необходимые для оптимизации принимаемых решений в процессе управления этими объектами.

Под обработкой информации в АС будем понимать любую совокупность операций (прием, накопление, хранение, преобразование, отображение, передача и т. п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Отметим некоторые, важные для нас свойства информации:

существование в виде данных (в кодированном виде).




Информация может существовать в различных формах в виде совокупностей некоторых кодовых знаков (символов, знаков, сигналов и т. п.) на носителях различных типов. Информация - это смысл (семантика), а данные - это код-носитель смысла (синтаксис). Информация существует в виде данных, то есть всегда закодирована;

неисчерпаемость ресурса (при копировании информации ничего не убывает);

потенциальная полезность при монопольном владении, позволяющая получить определенную выгоду в экономической, политической, военной или иной области (отсюда и смысл введения ограничений на распространение данной информации, то есть - тайны).

1. 2. Субъекты информационных отношений, их безопасность.

В дальнейшем под субъектами информационных отношений будем понимать:

государство (в целом или отдельные его ведомства, органы и организации);

• общественные или коммерческие организации (объединения) и предприятия (юридические лица);

• отдельных граждан (физические лица).

В процессе своей деятельности субъекты могут находиться друг с другом в разного рода отношениях, в том числе, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов - субъектами информационных отношений.

Различные субъекты по отношению к определенной информации могут (возможно, одновременно) выступать в качестве (в роли):

• источников (поставщиков) информации;




• потребителей (пользователей) информации;

• собственников, владельцев, обладателей, распорядителей информации и систем ее обработки;

• физических и юридических лиц, о которых собирается информация;

• участников процессов обработки и передачи информации и т. д.

Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам (услугам);

конфиденциальности (сохранения в тайне) определенной части информации;

• достоверности (полноты, точности, адекватности, целостности) информации и защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);

защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав интеллектуальной собственности, прав собственника информации);

разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т. д.

Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных свойств и возможностей, субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, морального или материального) посредством воздействия на критичную для него информацию, ее носители и процессы ее обработки либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений в той или иной степени (в зависимости от размеров ущерба, который им может быть нанесен) заинтересованы в обеспечении своей информационной безопасности.




Для обеспечения законных прав и удовлетворения, перечисленных выше интересов субъектов информационных отношений (т. е. обеспечения информационной безопасности субъектов) необходимо постоянно поддерживать (обеспечивать, защищать) следующие необходимые субъектам свойства информации и систем ее обработки:

доступность информации - такое свойство системы (средств и технологий обработки, инфраструктуры, в которой циркулирует информация), которое характеризует способность обеспечивать своевременный доступ субъектов к интересующей их информации и соответствующим автоматизированным службам всегда, когда в обращении к ним возникает необходимость (готовность к обслуживанию поступающих от субъектов запросов);

целостность информации - такое свойство информации, которое заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы адекватности отображения выходят далеко за рамки проблемы безопасности ИТ;

конфиденциальность информации - такую субъективно определяемую (приписываемую собственником) характеристику (свойство) информации, которая указывает на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (инфраструктуры) сохранять указанную информацию втайне от субъектов, не имеющих прав на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.




Поскольку в нашем случае (речь об информационной безопасности) ущерб субъектам информационных отношений может быть нанесен только опосредованно, через определенную информацию и ее носители, то закономерно возникает заинтересованность субъектов в защите этой информации, ее носителей, процессов и систем ее обработки.

Отсюда следует, что в качестве объектов, подлежащих защите с целью обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, любые ее носители (отдельные компоненты и АС в целом) и процессы ее обработки (передачи). Вместе с тем, говоря о защите АС, всегда следует помнить, что уязвимыми, в конечном счете, являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, под безопасностью АС или циркулирующей в ней информации, всегда следует понимать косвенное обеспечение безопасности соответствующих субъектов, участвующих в процессах автоматизированного информационного взаимодействия.

Термин «безопасность информации» нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения или утраты (нарушения целостности, фальсификации) или снижения степени доступности (блокирования) информации, а также незаконного ее тиражирования (неправомерного использования).

Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидным необходимость обеспечения защиты системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.




Под «безопасностью автоматизированной системы» (системы обработки информации, компьютерной системы) следует понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных, пользователей и персонала) от разного рода нежелательных для соответствующих субъектов воздействии. Надо отметить, что пользователи и персонал системы также являются заинтересованными в обеспечении безопасности субъектами (внутренними).

Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его свойств: конфиденциальности, целостности и доступности.

Конфиденциальность компонента (ресурса) АС заключается в том, что он доступен только тем субъектам (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента (ресурса) АС предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является одним из условий корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента (ресурса) АС означает, что имеющий соответствующие полномочия субъект может без особых проблем получить своевременный доступ к необходимому компоненту системы.

Кроме того, для защиты субъектов от нарушений и разграничения их ответственности необходимо обеспечивать следующие свойства информационной инфраструктуры:

• неотказуемость субъектов от выполненных критичных действий;

• защиту от неправомерного тиражирования открытой информации.




Также необходимо различать понятия «информационная безопасность» и «безопасность информации» которые до недавнего времени воспринимались как синонимы. Под информационной безопасностью понимается защищенность общества и личности от деструктивного информационного воздействия (пропаганды, агрессивной рекламы, низкопробных видов искусства и т. п.), а под безопасностью информации понимается состояние защищенности информации от угроз.

1. 3. Цель защиты автоматизированной системы и циркулирующей в ней информации.

При рассмотрении проблемы обеспечения компьютерной, информационной безопасности следует всегда исходить из того, что защита информации и самой системы ее обработки не является самоцелью.

Конечной целью обеспечения безопасности АС является защита всех категорий субъектов (как внешних, так и внутренних), прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на информацию и системы ее обработки и передачи. В качестве защищаемых объектов должны рассматриваться информация, все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом) и процессы обработки.

Целью защиты циркулирующей в АС информации является предотвращение разглашения (утечки), искажения (модификации), утраты, блокирования (снижения степени доступности) или незаконного тиражирования информации.

Обеспечение безопасности автоматизированной системы предполагает создание препятствий для любого несанкционированного вмешательства в процесс функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов АС: оборудования, программного обеспечения, данных (информации) и ее персонала[2].




В этом смысле защита информации от несанкционированного доступа (НСД) является только частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, а сам термин НСД было бы правильнее трактовать не как «несанкционированный доступ» (к информации), а шире, - как «несанкционированные (неправомерные) действия», наносящие ущерб субъектам информационных отношений[3].

1. 4. Виды мер и основные принципы обеспечения безопасности информационных технологий.

Целью рассмотрения данной темы является обзор видов известных мер противодействия угрозам безопасности АС (контрмер), а также основных принципов построения систем защиты информации.

Виды мер противодействия угрозам безопасности

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:

• правовые (законодательные);

• морально-этические;

• технологические;

• организационные (административные и процедурные);

• физические;

• технические (аппаратурные и программные).

Правовые (законодательные)

К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативные правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом АС.




Морально-этические

К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т. п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т. п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.

Технологические

К данному виду мер защиты относятся разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т. п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализация ответственных операции только при наличии разрешения от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщений в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т. п.




Организационные

Организационные меры защиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Меры физической защиты

Физические меры защиты основаны на применении разного рода механических, электро - или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т. п.).

Технические

Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

1. 5. Основные принципы построения системы защиты ресурсов автоматизированной системы.

Построение системы обеспечения безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными принципами: законность, системность, комплексность, непрерывность, своевременность, преемственность и непрерывность совершенствования, разумная достаточность, персональная ответственность, разделение функций, минимизация полномочий, взаимодействие и сотрудничество, гибкость системы защиты, открытость алгоритмов и механизмов защиты, простота применения средств защиты, научная обоснованность и техническая реализуемость, специализация и профессионализм, взаимодействие и координация и обязательность контроля[2].




Законность.

Предполагает осуществление защитных мероприятий и разработку системы безопасности информации в АС в соответствии с действующим законодательством в области информации, информационных технологий и защиты информации, других нормативных правовых актов, руководящих и нормативно-методических документов по безопасности информации, утвержденных органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.

Системность.

Системный подход к защите информации в АС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации в АС. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность.

Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами.




Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

Своевременность.

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Непрерывность защиты.

Защита информации - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс предполагающей принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.




Преемственность и совершенствование.

Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации и воздействия на компоненты АС, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Разделение функций.

Принцип Разделения функций, требует, чтобы ни один сотрудник организации не имел полномочии, позволяющих ему единолично осуществлять выполнение критичных операций. Все такие операции должны быть разделены на части, и их выполнение должно быть поручено различным сотрудникам. Кроме того, необходимо предпринимать специальные меры по недопущению сговора и разграничению ответственности между этими сотрудниками

Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат).

Предполагает соответствие уровня затрат на обеспечение безопасности информации (ценности информационных ресурсов) величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала. Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействии или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).




Персональная ответственность.

Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Минимизация полномочий.

Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

Взаимодействие и сотрудничество.

Предполагает создание благоприятной атмосферы в коллективах подразделений. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений обеспечения безопасности информации.

Гибкость системы защиты.

Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на уже работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.




Открытость алгоритмов и механизмов защиты.

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация о конкретной системе защиты должна быть общедоступна.

Простота применения средств защиты.

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т. д.).

Научная обоснованность и техническая реализуемость.

Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.

Специализация и профессионализм.

Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными сотрудниками (специалистами подразделений обеспечения безопасности информации).




Взаимодействие и координация.

Предполагают осуществление мер обеспечения безопасности информации при разработке и функционировании АС и ее системы защиты информации, на основе взаимодействия всех внутренних структурных подразделений организации, а также сторонних предприятий и организаций, имеющих авторизованный доступ к АС, специализированных предприятий и организаций в области защиты информации, привлекаемых для разработки системы защиты информации в АС, координации их усилий для достижения поставленных целей безопасности.

Обязательность контроля.

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

Глава 2. Правовые основы обеспечения безопасности информационных технологий и персональных данных.

Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к гарантированной защищенности принципиально важных данных, обеспечивающей:

• конституционные права и свободы граждан, предприятий и организаций в сфере информатизации;

• необходимый уровень безопасности информации, подлежащей защите;

• защищенность систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи данных).

Ключевым моментом политики государства в данной области является осознание необходимости защиты любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их обладателю (собственнику, владельцу, пользователю) или иному лицу.

В Концепции национальной безопасности Российской Федерации (Указ Президента Российской Федерации от 01.01.01 г. № 000), отражающей совокупность официально принятых взглядов на цели и государственную стратегию в области обеспечения безопасности личности, общества и государства от внешних и внутренних угроз политического, экономического, социального, военного, техногенного, экологического, информационного и иного характера с учетом имеющихся ресурсов и возможностей. Отмечено, что национальные интересы России в информационной сфере обуславливают необходимость сосредоточения усилий общества и государства на решении таких задач, как соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею, защита национальных духовных ценностей, пропаганда национального культурного наследия, норм морали и общественной нравственности, обеспечение права граждан на получение достоверной информации, развитие современных телекоммуникационных технологий. В то же время недопустимо использование информации для манипулированием массовым сознанием. Необходима защита государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации[18].

В Стратегии развития информационного общества в России (утверждена Советом безопасности Российской Федерации 25 июля 2007 г.) одной из целей развития информационного общества в Российской Федерации является противодействие проявлениям угроз безопасности национальным интересам России, связанным с злоупотреблением свободой выражения мнений и распространения идей, враждебным и преступным использованием информационно-коммуникационных технологий.

Для достижения целей развития информационного общества в России предполагается реализация следующих основных мероприятий:

• обеспечение, на основе объединения усилий государственных и негосударственных организаций, безопасности функционирования информационных и коммуникационных систем критически важных объектов инфраструктуры Российской Федерации, корпоративных и индивидуальных информационных систем, а также информационных и коммуникационных систем, используемых средствами массовой информации федерального уровня для информирования населения страны;

• обеспечение безопасности функционирования российских информационных и коммуникационных систем в составе глобальной информационной инфраструктуры, включая формирование системы международной информационной безопасности.

Развитие информационного общества в Российской Федерации базируется на принципах оптимизация рисков и угроз национальной безопасности России, связанных с враждебным и преступным использованием возможностей информационно-коммуникационных технологий, укрепление доверия и безопасности при их использовании.

В состав нормативных актов правового регулирования вопросов информатизации и защиты информации в Российской Федерации входят:

Конституция Российской Федерации и Гражданский Кодекс Российской Федерации;

• Международные договоры и соглашения;

• Законы Российской Федерации;

• Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы;

• Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Порядки, Распоряжения, Перечни и т. п.);

• Технические регламенты;

• Национальные стандарты (государственные) и стандарты организаций;

• Положения, Порядки, Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов.

2. 1. Защищаемая информация.

Согласно Доктрины информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации 09.09.2000 № Пр-1895) под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства[6].

В Конституции Российской Федерации, а также Декларации прав и свобод человека и гражданина Российской Федерации определено, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности.

Федеральный закон от 01.01.2001 «Об информации, информационных технологиях и о защите информации» предусматривает разделение информации на категории свободного и ограниченного доступа (право на тайну). В свою очередь информация ограниченного доступа подразделяется на информацию, отнесенную к государственной тайне и конфиденциальную[7].

Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации -1 «О государственной тайне». Условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение устанавливаются федеральными законами. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

В Федеральном законе от 01.01.2001 «Об информации, информационных технологиях и о защите информации» даны следующие определения:

1) информация - сведения (сообщения, данные) независимо от формы их представления;

2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

4) информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

6) доступ к информации - возможность получения информации и ее использование;

7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

8) предоставление информации действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

10) электронное сообщение - информация, переданная или полученная пользователем по информационно-телекоммуникационной сети;

11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных[7].

Согласно ст. 6 данного Федерального закона обладатель информации имеет право:

• разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

• использовать информацию, в том числе распространять ее, по своему усмотрению;

• передавать информацию другим лицам по договору или на ином установленном законом основании;

• защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

• осуществлять иные действия с информацией или разрешать осуществление таких действий.

При этом обладатель информации обязан.

• соблюдать права и законные интересы иных лиц;

• принимать меры по защите информации;

• ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Кроме того, обладатель информации, оператор информационной системы, в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

• предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

• своевременное обнаружение фактов несанкционированного доступа к информации;

• предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

• возможность незамедлительного восстановления информации,

модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

• постоянный контроль за обеспечением уровня защищенности информации.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

• соблюдение конфиденциальности информации ограниченного доступа;

• реализацию права на доступ к информации.

Требование о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности (ФСБ России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий. При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Следует также отметить, что согласно ст. 8 не может быть ограничен доступ к:

• нормативным правовым актам, затрагивающим права, свободы и

обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

• информации о состоянии окружающей среды;

• информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

• информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

• иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Например, ст. 5 Федерального закона от 01.01.2001 «О коммерческой тайне» гласит, что «режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:

• содержащихся в учредительных документах юридического лица,

документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

• содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

• о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

• о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционированиям производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

• о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

• о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

• о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

• об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

• о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

• о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

• обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Кроме того, постановлением Правительства РСФСР установлено, что коммерческую тайну предприятия и предпринимателя не могут составлять:

• учредительные документы и Устав;

• регистрационные удостоверения, лицензии, патенты;

• сведения по установленным формам отчетности о финансово-хозяйственной деятельности;

• документы о платежеспособности;

• сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;

• документы об уплате налогов и обязательных платежах;

• сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда;

• сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

Также, постановлением Правительства Российской Федерации установлено, что не могут быть отнесены к служебной информации ограниченного распространения:

• акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

• сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;

• описание структуры органа исполнительной власти, его функции, направлений и форм деятельности, а также его адрес;

• порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;

• решение по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;

• сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;

• документы, накапливаемые в открытых фондах библиотек и архивов,

информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.

Перечень сведений конфиденциального характера определен в Указе Президента Российской Федерации с изменениями :

• сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

• сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 01.01.01 г. «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации;

• служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

• сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);

• сведения, связанные с коммерческой деятельностью, доступ к которым

ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

• сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

2. 2. Персональные данные.

В Федеральном законе от 01.01.2001 «О персональных данных» даны следующие определения:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7)уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных пли наличия иного законного основания;

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности[9].

Меры по обеспечению безопасности персональных данных при их обработке:

1.Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительно власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения[9].

Кроме всего прочего оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающие требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных:

1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки;

2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных пли его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

Следует также отметить, что Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированой обработке персональных данных Федеральным законом от 01.01.2001 «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», в котором установлено следующее:

1) Российская Федерация заявляет, что не будет применять Конвенцию к персональным данным:

а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;

б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;

2) Российская Федерация заявляет, что... будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;

3) Российская Федерация заявляет, что... оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

Согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (утверждено постановлением Правительства Российской Федерации ) обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Также следует отметить, что согласно Указу Президента Российской Федерации «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» руководителям государственных органов предписано:

• обеспечить защиту персональных данных государственных гражданских служащих Российской Федерации, содержащихся в их личных делах, от неправомерного их использования пли утраты за счет средств государственных органов в порядке, установленном федеральными законами;

• определить лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих Российской Федерации в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы) установлены «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённым постановлением Правительства Российской Федерации .

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной и службой безопасности Российской Федерации в пределах их полномочий.

Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных: опасных последствий подобных нарушении;

к) описание системы защиты персональных данных.

Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушении и устранения этих причин.

Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных установлены постановлением Правительства Российской Федерации .

Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.

Настоящие требования не распространяются на отношения, возникающие при использовании:

а) оператором информационной системы персональных данных (далее - оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;

б) бумажных носителей для записи и хранения биометрических персональных данных.

Оператор утверждает порядок передачи материальных носителей уполномоченным лицам, а также обязан:

а) осуществлять учет количества экземпляров материальных носителей;

б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

Федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, согласно постановлению Правительства Российской , является Федеральная служба в сфере связи и массовых коммуникаций (Россвязькомнадзор).

Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных утверждены постановлением Правительства Российской Федерации .

Настоящие требования применяются при использовании материальных носителей на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.

Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее - материальный носитель).

Настоящие требования не распространяются на отношения, возникающие при использовании:

а) оператором информационной системы персональных данных (далее - оператор) материальных носителей доя организации функционирования информационной системы персональных данных, оператором которой он является;

б) бумажных носителей для записи и хранения биометрических персональных данных.

Порядок передачи материальных носителей уполномоченным лицам утверждает оператор. Оператор вправе установить не противоречащие требованиям законодательства Российской Федерации дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных этого оператора. Оператор обязан:

а) осуществлять учет количества экземпляров материальных носителей;

б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

Порядок проведения классификации информационных систем персональных данных утверждён совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России /86/20. Также следует отметить нормативные правовые акты и методические документы ФСТЭК России и ФСБ России:

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена Заместителем директора ФСТЭК России 14.02.2008);

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены Заместителем директора ФСТЭК России 15.02.2008);

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утверждены Заместителем директора ФСТЭК России 15.02.2008);

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена Заместителем директора ФСТЭК России 15.02.2008);

• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены руководством 8 Центра ФСБ России 21.02.2008 № 000/54-144);

• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены руководством 8 Центра ФСБ России 21.02.2008 № 000/6/6-622).

2. 3. Информация в ключевых системах информационной инфраструктуры.

В настоящее время федеральными органами исполнительной власти, наделенными полномочиями нормативно-правового регулирования вопросов обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации являются ФСТЭК России и ФСБ России.

22 сентября 2006 г. в Государственную Думу был внесен Законопроект (№ п/п: 1 Код: ) «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры», который был снят с рассмотрения 11.03.2008 в связи с отзывом субъектом права законодательной инициативы.

Тем не менее, ФСТЭК России были разработаны следующие нормативно-методические документы по обеспечению безопасности информации в ключевых системах информационной инфраструктуры:

• Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007);

• Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007);

• Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007).

Исходя из вышеизложенного, можно ввести простую и понятную классификацию тайн:

по собственнику (государственная, негосударственная и т. п.);

по владельцу (в своих или чужих руках - государственная, коммерческая, банковская, профессиональная, служебная, персональные данные как особый институт охраны неприкосновенности частного лица и т. п.);

по области применения, в которой извлекается выгода от монопольного владения (экономическая - коммерческая, политическая, военная и т. п.);

по степени важности - гриф.

Другие Федеральные законы и нормативные правовые акты Российской Федерации предусматривают:

лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;

сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;

аттестацию (аттестование) автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям по безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);

• возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;

• создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;

• определение прав и обязанностей субъектов в области защиты информации.

2. 4. Сертификация средств защиты и аттестация объектов информатизации.

Согласно Закону Российской Федерации «О государственной тайне» средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Кроме того, в соответствии с «Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» (постановление Совета Министров - Правительства Российской Федерации -51) информация, содержащая сведения, отнесенные к государственной или служебной тайне, должна обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств защиты, сертифицированных в установленном порядке. Для оценки готовности систем и средств информатизации и связи к обработке (передаче) информации, содержащей сведения, отнесенные к государственной или служебной тайне, проводится аттестование указанных систем и средств в реальных условиях эксплуатации на предмет соответствия принимаемых методов, мер и средств защиты требуемому уровню безопасности информации[8].

Также следует отметить, что согласно требованиям «Положения о лицензировании деятельности по технической защите конфиденциальной информации» (постановление Правительства Российской Федерации ) допускается использование автоматизированных систем, обрабатывающих конфиденциальною информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации. Не невыполнение данного требования является грубым нарушением лицензионных требований и условий. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

В соответствии с действующим законодательством Российской Федерации сертификация проводится в рамках систем сертификации средств защиты информации, созданных федеральными органами исполнительной власти, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными правовыми актами Российской Федерации.

В настоящем законодательстве предусмотрено создание систем сертификации пяти федеральных органов исполнительной власти:

    ФАПСИ - Система сертификации средств криптографической защиты информации (утверждена генеральным директором ФАПСИ 28 октября 1993 г., зарегистрирована Госстандартом России в Государственном реестре 15 ноября 1993 г. /Свидетельство № РОСС КО.0001.030001/) - в соответствии с Указом Президента Российской Федерации в связи с расформированием ФАПСИ соответствующие функции переданы Федеральной службе безопасности Российской Федерации; ФСТЭК России - Положение о сертификации средств защиты информации по требованиям безопасности информации (введено в действие приказом Председателя Гостехкомиссии России , зарегистрировано Госстандартом России в Государственном реестре 20 марта 1995 г. /Свидетельство № РОСС Ш0001.01БИОО/); ФСБ России - Положение о система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (утверждено приказом ФСБ России от 01.01.01 г. № 000, зарегистрировано в Минюсте России 27 декабря 1999 г. № 000); Минобороны России - Система сертификации средств защиты информации по требованиям безопасности информации (введено в действие приказом Министра обороны Российской федерации 1996 г. № 000, зарегистрировано Госстандартом России в Государственном реестре в 1996 г. /Свидетельство № РОСС К110001.01ГШОО/); СВР России - Положение о системе сертификации средств защиты информации по требованиям безопасности информации (утверждено директором СВР России 05.08.1998, зарегистрировано Госстандартом России в Государственном реестре 15 марта 1999 г. /Свидетельство № РОСС К1Г.0001.04СЗОО/).

Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования. Необходимой составляющей государственной системы обеспечения информационной безопасности являются национальные (государственные стандарты) и другие руководящие, нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами исполнительной власти в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.

К основным стандартам и руководящим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

v  в области защиты информации от несанкционированного доступа:

-  ГОСТ Р . Защита информации. Основные термины и определения;

-  ГОСТ Р . Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;

-  ГОСТ Р . Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;

v  Руководящие документы ФСТЭК России:

-  Защита от несанкционированного доступа к информации. Термины и определения;

-  Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;

-  Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации;

-  Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

-  Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники;

-  Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;

-  Защита информации. Специальные защитные знаки. Классификация и общие требования;

-  Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин автоматизированных кассовых систем и требования по защите информации;

-  Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей;

-  Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Часть 1, Часть 2, Часть 3);

-  и другие;

v  в области защиты информации от утечки по техническим каналам:

-  ГОСТ Р В. Противодействие иностранной технической разведке. Термины и определения;

-  ГОСТ Р . Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний;

-  ГОСТ . Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Общие технические требования»;

-  ГОСТ /ГОСТ . Совместимость технических средств электромагнитная. Оборудование для испытании. Камеры экранированные. Классы, основные параметры, технические требования и методы испытаний;

-  нормативно-методические документы ФСТЭК России:

-  Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К);

-  Методические рекомендации по технической защите информации, составляющей коммерческую тайну;

-  Временная методика оценки защищенности помещении от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам;

-  Временная методика оценки защищенности ОТСС, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации;

-  Временная методика оценки защищенности конфиденциальной информации, обрабатываемой ОТСС, от утечки за счет наводок на вспомогательные технические средства и системы и их компоненты;

-  Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований

-  и другие;

v  в области криптографического преобразования информации при ее хранении и передаче по каналам связи:

-  ГОСТ . Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

-  ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;

-  ГОСТ Р 34Функция хеширования;

v  документы ФСБ России:

-  Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику (ПШ-93);

-  Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005);

-  Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну;

Остановимся более детально на вопросах сертификации средств защиты. Следует отметить, что после передачи лицензирующих подразделений ФАПСИ в ведение ФСБ России основные принципы системы лицензирования и сертификации не изменились. Все ранее выданные ФАПСИ лицензии и сертификаты остались действительными на обозначенный в них срок.

2. 4.1. Сертификация.

Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных уполномоченными федеральными органами исполнительной власти в пределах их компетенции.

Сертификат соответствия - документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Знак соответствия - зарегистрированный в установленном порядке знак, которым по правилам, установленным в данной системе сертификации, подтверждается соответствие маркированной им продукции установленным требованиям.

Средства защиты информации (СЗИ) - технические, криптографические, программные и другие средства, предназначенные для защиты сведений конфиденциального характера, а также средства контроля эффективности защиты информации.

Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований. В соответствии с этим руководящим документом возможные показатели защищенности исчерпываются 7-ю классами. По классу защищенности можно судить о номенклатуре используемых механизмов защиты - наиболее защищенным является 1 класс. Выбор класса защищенности зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы. В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса (Рис. 1).

Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей.

Недекларированные возможности (НДВ) - функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации (Рис. 2).

Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Межсетевой экран - локальное (однокомпонентное) пли функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС (Рис. 3).

Отметим в заключение, что применение сертифицированных средств защиты информации является обязательным условием при рассмотрении в судебном порядке спорных вопросов, связанных с удостоверением подлинности электронных документов и идентификацией личности пользователей системы.

2.Аттестация.

При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям по безопасности информации. Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.

Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных уполномоченными федеральными органами исполнительной власти. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с определенным уровнем конфиденциальности и в указанный в «Аттестате соответствия» период времени. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучении и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации. Аттестация проводится уполномоченными органами по аттестации объектов информатизации, аккредитованными федеральными органами исполнительной власти. Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несет юридическую и финансовую ответственность за качество проведенных работ. Аттестация информационных систем может производиться в соответствии с Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», который вводит в рассмотрение 9 классов защищенности АС, объединенных в три группы (Рис. 4).

Основные признаки группировки в различные классы связаны с:

    наличием в АС информации различного уровня конфиденциальности; уровнем полномочий субъектов доступа АС на доступ к конфиденциальной информации; режимом обработки данных в АС (коллективный или индивидуальный).

Для каждого класса сформулирован определенный набор требований для подсистем:

    управления доступом; регистрации и учета; криптографической; обеспечения целостности.

Группа 1 классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А

Группа 2 классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А.

Группа 3 классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса: ЗБ и ЗА.

2. 6. Специальные требования и рекомендации по технической защите конфиденциальной информации.

«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утверждены приказом Гостехкомиссии России от 01.01.2001

№ 000. СТР-К является нормативно-методическим документом и устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну на территории Российской Федерации. Требования и рекомендации этого документа распространяются на защиту государственных информационных ресурсов некриптографическими методами (служебная тайна), направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.

При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т. д., требования настоящего документа носят рекомендательный характер.

Документ определяет следующие вопросы защиты конфиденциальной информации:

    организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации; состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации; требования и рекомендации по защите речевой информации при ведении переговоров, в том числе с использованием технических средств; требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств; порядок обеспечения защиты информации при эксплуатации объектов информатизации; особенности защиты информации при разработке и эксплуатации АС, использующих различные типы СВТ и информационные технологии; порядок обеспечения защиты информации при взаимодействии абонентов с Сетями. Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнито-оптической и иной основе.

Объектами защиты при этом являются:

    средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео - и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации; технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует); защищаемые помещения.

Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением средств защиты информации от утечки по техническим каналам, несанкционированного доступа, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе ее обработки, передачи и хранения, а также работоспособности технических средств.

При защите информации в локальных вычислительных сетях (ЛВС) конфиденциальная информация может обрабатываться только в ЛВС, расположенных в пределах контролируемой зоны.

Средства защиты информации от НСД должны использоваться во всех узлах ЛВС независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС и требуют постоянного квалифицированного контроля настроек СЗИ администратором безопасности информации. Класс защищенности ЛВС определяется в соответствии с требованиями действующих руководящих документов ФСТЭК России.

Для управления, контроля защищенности ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.

2. 7. Ответственность за нарушения в сфере защиты информации.

Выдержки из статей Уголовного кодекса Российской Федерации:

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение

вредоносных программ для ЭВМ

1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинившего существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

Большое значение для лиц, занимающихся защитой информации, явилось появление в 2002 году новой редакции «Кодекса РФ об административных правонарушениях», в котором предусмотрена административная ответственность за конкретные нарушения в сфере защиты информации. Ниже приведены выдержки из наиболее «актуальных» статей этого документа.

Выдержки из статей Кодекса об административных правонарушениях Российской Федерации:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации

о гражданах (персональных данных).

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Статья 13.12. Нарушение правил защиты информации

1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацию несертифицированных средств защиты информации или без таковой.

3. Нарушение условии, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятии и (или) оказанием услуг по защите информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.

4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией н несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскою деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

Статья 13.13. Незаконная деятельность в области защиты информации.

1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятии и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии, -

влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.

Статья 13.14. Разглашение информации с ограниченным доступом.

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса,-

влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей.

Выдержки из Федерального закона «О коммерческой тайне»:

Федеральный закон Российской Федерации от 01.01.01 г. «О коммерческой тайне» (с изменениями от 2 февраля, 18 декабря 2006 г.) принят Государственной Думой 9 июля 2004 г., одобрен Советом Федерации 15 июля 2004 г., подписан Президентом Российской Федерации 29 июля 2004 г., опубликован 5 августа 2004 г.

Статья 11. Охрана конфиденциальности информации

в рамках трудовых отношений

1. В целях охраны конфиденциальности информации работодатель обязан.

    ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты; ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение; создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.

3. В целях охраны конфиденциальности информации работник обязан.

    выполнять установленный работодателем режим коммерческой тайны; не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях; передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну. Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности. Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей.

Глава 3. Подготовка информационной системы персональных данных +» к аттестации на соответствие закону «О персональных данных».

3. 1. Анализ информационной системы (ИС) компании.

На данной стадии дипломной работы необходимо проанализировать информационные потоки, циркулирующие в ИС компании. При этом из всей совокупности обрабатываемой информации определяются информационные ресурсы, содержащие в себе персональные данные, а также технические средства, позволяющие осуществлять обработку ПДн. Техническими средствами будем называть средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео - и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах. По результатам анализа составляется перечень ИСПДн, подлежащих защите, утверждаемый руководителем.

Результатом анализа ИС должен быть некий список, содержащий факты получения/обработки/хранения информации с ПДн. По каждому инциденту необходимо дать следующие описания:

·  Цель получения ПДн;

·  Механизм получения ПДн;

·  Перечень получаемых ПДн;

·  Механизм обработки ПДн;

·  Место хранение ПДн в ИС;

·  Сотрудники, обрабатывающие ПДн;

·  Сотрудники, имеющие доступ к ПДн в ИС;

Далее осуществим анализ структуры информационной системы и определим:

·  перечень автоматизированных рабочих мест, обрабатывающих ПДн;

·  перечень серверного, коммутационного и сетевого оборудования;

·  используемое в ИСПДн общесистемное и прикладное программное обеспечение;

·  наличие и типы средств межсетевого экранирования в распределенных ИСПДн;

·  наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена.

3.1.1. Общее состояние процессов обработки ПДн в организации.

В результате проведённого анализа ИС было выявлено следующие факты обработки ПДн в ИС (Таблица 1):

Таблица 1.

п/п

Наименование

подразделения

ПДн

Место обработки/хранения ПДн

1

Отдел маркетинга

ФИО, паспортные данные,

дата рождения, сведения о

работе (должность, место

работы)

Анкета на получение дисконтной

карты, анкета участника

конференции (семинара)

2

Отдел по работе с

ключевыми клиентами

ФИО, паспортные данные

Сканированные копии паспортов

сотрудников

3

Отдел продажи ПО

ФИО, паспортные данные

Сканированные копии паспортов

сотрудников

4

Отдел бизнес-

интеграции

ФИО, паспортные данные,

дата рождения, сведения о

работе (должность, место

работы)

Таблицы в базах данных бизнес-приложения

5

Бухгалтерия

ФИО, паспортные данные,

дата рождения, сведения о

работе (должность, место

работы), сведения о

доходах

1С: Бухгалтерия

6

Отдел кадров

ФИО, паспортные данные,

дата рождения, сведения о

работе (должность, место

работы), сведения о

доходах

1С:Зарплата и Кадры, файловые

ресурсы

В итоге, ИСПДн существуют в том или ином виде в 6 подразделениях, неавтоматизированная обработка ПДн производится в 3 подразделениях.

Основные виды нарушений неавтоматизированной обработки персональных данных:

    отсутствие обособления ПД в формах анкет и бланков; отсутствие документированного уведомления лиц обрабатывающих ПДн об ответственности за их разглашение;
    анкеты и бланки не содержат указания цели обработки ПДн, явного согласия владельца ПДн на их обработку +» или его представителями; зачастую публичный доступ к документам содержащим ПДн; отсутствие процедуры транспортировки ПДн, исключающей их утерю.

Основные виды нарушений в информационных системах обработки ПДн (ИСПДн):

    зачастую публичный доступ к электронной копии ПДн (например, отсканированные копии паспортов) или к данным содержащим ПДн; отсутствие криптографической защиты мест хранения ПДн; отсутствие аудита доступа к ПДн в ИСПДн.

В целом же можно сказать, что нарушения в ИСПДн по факту обусловлены существующей архитектурой информационных систем общего назначения, в которых «попутно» ведется обработка персональных данных.

3.1.2. Анализ обработки ПДн в ИС.

Функционально, ИСПДн можно выделить в три категории:

1С – Зарплата и кадры, Бухгалтерия; База данных бизнес-приложения; Файловые ресурсы.

Обработка данных в 1С – Зарплата и кадры, Бухгалтерия.

Обработка данных первой категории ведется сотрудниками отдела кадров и бухгалтерии, объем ПДн порядка 400-500 записей, что позволяет квалифицировать их как ПДн третьего класса и уйти от использования оборудования РМ средствами защиты от ПЭМИН. Режим обработки ПДн – многопользовательский с разграничением прав доступа. РМ сотрудников, обрабатывающих ПДн, находятся в общей сети. Доступ к ПДн осуществляется через терминальный сервер. Сервер баз данных вынесен в отдельную подсеть и нуждается в защите межсетевым экраном не ниже 5 класса.

С точки зрения подзаконных актов и постановлений вышеупомянутая схема работы имеет несколько нарушений:

·  Компьютеры, на которых производится обработка ПДн включены в общую сеть Компании, но при этом обрабатываемые ПДн не защищены от перехвата на уровне рабочего места пользователя;

·  Доступ к данным имеется у всех сотрудников имеющих доступ в 1С:Зарплата и Кадры или 1С:Бухгалтерия, при этом не установлен нормативным документов перечень лиц обрабатывающих ПДн, и нет ознакомления указанных лиц о факте обработке ими ПДн;

·  Контроль резервных копий БД, содержащих в том числе ПДн, осуществляется без ведения соответствующих журналов, нет ознакомления технического персонала с фактом резервного копирования ими ПДн;

·  Данные хранятся на сервере в незашифрованном виде.

Обработка данных в Бизнес-приложении.

Обработка данных производится сотрудниками бухгалтерии, кассирами розничной сети, сотрудниками отдела маркетинга, сотрудниками сервисного центра. Режим обработки ПДн – многопользовательский с разграничением прав доступа. РМ сотрудников, обрабатывающих ПДн, находятся в общей сети. Доступ к ПДн осуществляется через терминальный сервер. Сервер баз данных вынесен в отдельную подсеть и нуждается в защите межсетевым экраном не ниже 4 класса.

На основании собранной информации о характере и объеме используемых персональных данных сформирована следующая аналитическая таблица оценки категории и класса обрабатываемых данных (Таблица 2):

Таблица 2.

п/п

Вид данных

Место хранения

Объем

Категория

Класс

1

ФИО, паспортные данные,

дата рождения, профессия,

адрес

БД RETAIL, таблица

DISCARDHOLDER

40000

3

3

2

ФИО, паспортные данные

БД RETAIL, таблица

CONTACTPERSON

2

2

3

ФИО, паспортные данные

БД RETAIL, таблица

EMPLTABLE

440

3

3

4

ФИО, паспортные данные

БД RETAIL, таблица

SERVICETABLE

7000

3

3

С точки зрения подзаконных актов и постановлений вышеупомянутая схема работы имеет несколько нарушений:

·  Компьютеры, на которых производится обработка ПДн, включены в общую сеть Компании, но при этом обрабатываемые ПДн не защищены от перехвата на уровне рабочего места пользователя;

·  Доступ к данным имеется у всех сотрудников имеющих доступ в ИС Бизнес-приложения, при этом не установлен нормативным документовм перечень лиц, обрабатывающих ПДн, и нет ознакомления указанных лиц с фактом обработки ими ПДн;

·  Второй класс ПДн подразумевает защиту РМ от ПЭМИН, на которых производится обработка ПДн, данная защита не установлена;

·  Контроль резервных копий БД, содержащих в том числе ПДн, осуществляется без ведения соответствующих журналов, нет ознакомления технического персонала с фактом резервного копирования ими ПДн;

·  Данные хранятся на сервере в незашифрованном виде.

Хранение ПДн на файловых ресурсах.

Обработка данных производится сотрудниками отдела кадров, а также рядом других лиц для выполнения рабочих обязанностей. Режим обработки ПДн – многопользовательский с разграничением прав доступа. РМ сотрудников, обрабатывающих ПДн, находятся в общей сети. Доступ к ПДн осуществляется непосредственно с рабочего места сотрудника.

С точки зрения подзаконных актов и постановлений вышеупомянутая схема работы имеет несколько нарушений:

·  Компьютеры, на которых производится обработка ПДн, включены в общую сеть Компании, но при этом обрабатываемые ПДн не защищены от перехвата на уровне рабочего места пользователя;

·  Доступ к данным имеется у всех сотрудников, имеющих доступ к ИС Компании, при этом не установлен нормативным документов перечень лиц, обрабатывающих ПДн, и нет ознакомления указанных лиц с фактом обработки ими ПДн;

·  Контроль резервных копий БД, содержащих в том числе ПДн, осуществляется без ведения соответствующих журналов, нет ознакомления технического персонала с фактом резервного копирования ими ПДн;

·  Сервер, на котором расположен указанный файловый ресурс, находится в общей сети;

·  Файлы, содержащие ПДн, находятся в незашифрованном состоянии, либо зашифрованы несоответствующим средством криптозащиты.

3.1.3. Предлагаемые меры по устранению нарушений.

Неавтоматизированная обработка ПДн.

Для устранения нарушений предлагаются следующие мероприятия:

a)  в анкетах, при оформлении дисконтной карты и предусматривающих не только статистическую обработку включить следующий пункт:

«Подписывая данную анкету, я даю согласие на обработку (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных) своих персональных данных (фамилия, имя, отчество, дата рождения, паспортные данные) оператором персональных данных +», и/или его представителям в целях оформления дисконтной карты»;

b)  разработать и утвердить следующие виды документов:

·  «Положение о защите персональных данных»;

·  «Положение о подразделении по защите информации»;

·  Должностные регламенты лиц, ответственных за защиту ПДн;

·  «План мероприятий по защите ПДн»;

·  «План внутренних проверок состояния защиты ПДн»;

·  «Приказ о назначении ответственных лиц по ПДн»;

·  «Список лиц, обрабатывающих ПДн»;

·  «Порядок хранения и обработки документов содержащих ПДн».

c)  Изменить трудовые договоры с сотрудниками, обрабатывающими ПДн – внести пункт об ответственности сотрудника за разглашение ПДн:

«В случае установленного нарушения норм, регулирующих получение, обработку и защиту персональных данных, работник несет дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами».

ИСПДн, где ведётся обработка данных в 1С – Зарплата и кадры, Бухгалтерия.

Для устранения нарушений предлагаются следующие мероприятия:

·  Вывести РМ, обрабатывающие ПДн, в отдельную сеть без выхода в Интернет, подсеть закрыть МСЭ 4 класса;

·  Рассмотреть вопрос о выносе на зашифрованный спец. средствами носитель баз данных;

·  Разработать и утвердить инструкцию по организации резервирования и восстановления программного обеспечения, баз персональных данных информационной системы персональных данных;

·  Установить формат журнала учета машинных носителей ПДн;

·  Осведомить сотрудников, обрабатывающих ПДн, об ответственности за разглашение ПДн.

Обработка данных в Бизнес-приложении.

Для устранения нарушений предлагаются следующие мероприятия:

·  Изменить порядок выписки расходно-кассовых ордеров при возврате денег клиентам или при выдаче на подотчет сотрудника – исключить хранение и обработку ПДн в БД, свести хранение имеющихся ПДн к хранению твердых копий. Данная мера позволит избежать криптозащиты всех каналов связи с розничной сетью, защиты от ПЭМИН в розничной сети, т. е. уйти при обработке данных документов из ПДн 2-го класса;

·  При выписке дисконтных карт исключить фиксацию паспортных данных, фиксация даты рождения и ФИО должна производиться отдельно установленным сотрудником во время пост-обработки присланных из розничной сети анкет. При этом производить обезличивание данных, что позволит: избежать их криптозащиты и избежать криптозащиты каналов связи Терминальный Сервер – Сервер БД. По сути – ПДн (ФИО и дата рождения) вносить в две разные таблицы, с использованием номера карты как ключевого поля;

·  Разработать и утвердить инструкцию по организации резервирования и восстановления программного обеспечения, баз персональных данных информационной системы персональных данных;

·  Установить формат журнала учета машинных носителей ПДн;

·  Ознакомить сотрудников, обрабатывающих ПДн, с ответственностью сотрудника за разглашение ПДн.

Хранение ПДн на файловых ресурсах.

Для устранения нарушений предлагаются следующие мероприятия:

·  В общем случае запретить хранение ПДн на файловых ресурсах, разработку приказов и пр. Обработку осуществлять на отдельных РМ, не подключенных к сети и защищенных специальным программным обеспечением (SecretDisk, SafeDisk, Аккорд);

·  В особых случаях выносить места обработки ПДн в отдельную подсеть без выхода в Интернет, подсеть закрыть МСЭ 4 класса;

·  Разработать и утвердить инструкцию по организации резервирования и восстановления программного обеспечения, баз персональных данных информационной системы персональных данных;

·  Установить формат журнала учета машинных носителей ПДн;

·  Ознакомить сотрудников, обрабатывающих ПДн, с ответственностью сотрудника за разглашение ПДн.

В итоге, вся ИС компании в совокупности имеет следующие характеристики:

·  Категория персональных данных - ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1, категория – 2;

·  Объем обрабатываемых персональных данных – более 1000, но не превышает категория – 2;

·  ИСПДн 2 класса - степень негативных последствий для субъектов ПДн при нарушении заданных характеристик безопасности характеризуется как негативные последствия.

·  Заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе – специальная.

·  Структура информационной системы - распределенная информационная система.

·  Многопользовательский режим обработки персональных данных.

·  Режим разграничения прав доступа пользователей информационной системы – с разграничением прав доступа.

·  местонахождение технических средств: в пределах Российской Федерации.

Основными выводами по данным результатам является то, что организация действительно является оператором персональных данных не только своих сотрудников, но и третьих лиц. При этом допускаются нарушения в соответствии ФЗ-152 «О персональных данных» при обработке ПДн. Так же стоит отметить, что защита данной ИС экономически нецелесообразна, поскольку существуют предпосылки к понижению класса системы. Понизить класс ИС можно следующими образами:

·  Разделить ИС на несколько логических подсистем, тем самым получив несколько юридически разных ИСПДн, и далее организовывать их защиту исходя из получившегося класса каждой ИСПДн.

·  Перейти на обезличивание в тех случаях, где это возможно.

·  Запретить обработку ПДн, в тех подразделениях, где нет острой необходимости в этом.

3. 2. Модернизация ИС.

Чтобы минимизировать расходы для модернизации информационной системы, было решено использовать технические возможности существующей телекоммуникационной инфраструктуры компании.

Разделение ИС на несколько логических подсистем осуществляется на базе технологии виртуальных локальных компьютерных сетей (VLAN) для ИСПДн бухгалтерии и отдела кадров. ИСПД отдела маркетинга выделена из общей сети в автономное рабочее место.

Выделение в отдельную сеть компьютеров бухгалтерии и отдела кадров осуществлено на базе технологии виртуальных локальных сетей, поскольку это не требует от компании дополнительных материальных затрат и заключается лишь в решении задачи переконфигурирования коммутационного оборудования. Также данная технология имеет следующий ряд преимуществ:

·  VLAN позволяет изменять конфигурацию сети, объединять пользователей в отдельные рабочие группы, определять доступные сегменты для отдельно взятого порта.

·  VLAN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от "лишнего" трафика.

·  С помощью VLAN можно контролировать и эффективно подавлять широковещательные штормы, которые в больших сетях иногда останавливают работу целых сегментов.

·  С помощью технологии VLAN обычно создаются рабочие группы. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN – это закрытая и логически определенная группа[4].

Итак, изначально информационная система выглядела следующим образом (Рис. 5):

Все недостатки данной организации были перечислены в предыдущей части этой главы. На данном этапе нам необходимо выделить компьютеры оператора ПДн и Сервер, на котором производится обработка ПДн, в отдельную сеть. Для этого необходимо на коммутаторе Cisco Catalist 3750 создать два новых VLAN'а, указав для них адрес и маску сети, а также адрес DHCP-сервера:

interface Vlan133

description FINANCE - имя

ip address 192.168.2224 - адрес интерфейса

ip helper-address 192.168.100.35 - адрес DHCP-сервера

!

interface Vlan134

description PERSONAL

ip address 192.168.2.224

ip helper-address 192.168.100.35

Создание VLAN'а и задание имени (использование команд в общем виде):

sw(config)# vlan 100

sw(config-vlan)# name N_VLAN

Назначение порта коммутатора в VLAN:

sw(config)# interface fa1/0/1

sw(config-if)# switchport mode access

sw(config-if)# switchport access vlan 100

или диапазона портов:

sw(config)# interface range fa1/0/4 - 5

sw(config-if-range)# switchport mode access

sw(config-if-range)# switchport access vlan 100

Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в N_VLAN:

sw(config)#interface N_VLAN

sw(config-if)#ip address 192.168.0

sw(config-if)#no shutdown

Таким образом, мы получили две отдельные сети для бухгалтерии и отдела кадров, одновременно с этим исключив из сети компьютер оператора ПДн отдела маркетинга (ИСПДн – «Система обработки анкет»). Теперь все персональные данные обрабатываются отдельно от общей сети, а схема информационной системы имеет следующий вид (Рис. 6):

Фильтрации сетевого трафика осуществляются при помощи списков контроля доступа (Access Control List — ACL), установленных на том же коммутаторе Cisco Catalist 3750, где ранее мы создавали VLAN'ы. Списки контроля доступа определяют то, каким образом трафик обрабатывается при прохождении через сетевое устройство. Как правило, списки ACL реализуются в маршрутизаторах, однако новое аппаратное обеспечение позволяет коммутаторам второго и третьего уровней перед отправкой пакетов обращаться к этим спискам. Списки ACL позволяют пользователям настраивать любой коммутатор для управления трафиком на основании третьего или вышестоящих уровней эталонной модели OSI[5].

К примеру, если нам необходимо разрешить подключение из сети бухгалтерии к терминальному серверу обработки ПДн по протоколу RDP(порт 3389), то этому будет соответствовать следующее правило:

permit tcp 192.168.2host 192.168.2.1 eq 3389

или оператору ПДн необходимо осуществить подключение к SQL-серверу (порт 1433), то это будет разрешено следующим правилом:

permit tcp 192.168.2host 192.168.2.1 eq 1433

Для организации сетевой печати с терминального сервера обработки ПДн оператором ПДн на принтер, находящийся в той же сети, что и оператор, необходимо двойное правило, разрешающее отправлять пакеты к серверу по порту сетевой печати (9100), а также пропускать ответы принтера из сети по тому же порту:

permit tcp 192.168.2host 192.168.100.58 eq 9100

permit tcp 192.168.2eq 9100 host 192.168.100.58

После того как все разрешающие правила описаны, добавим правило, явно указывающее на побитовое уничтожение тех пакетов, которые не подпадают ни под одного из выше перечисленных условий:

deny ip any any log

3. 3. Нормативная документация по организации защиты ПДн.

3.3.1. Классификация информационных систем персональных данных Компании.

Для составления акта классификации необходимо рассмотреть исходные данные об информационной системе персональных данных. Такими данными является категория обрабатываемых в информационной системе персональных данных (Хпд):

·  категория 1 – ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

·  категория 2 – ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;

·  категория 3 – ПДн, позволяющие идентифицировать субъекта ПДн;

·  категория 4 – обезличенные и (или) общедоступные ПДн.

А также к исходным данным относится объем обрабатываемых ПДн (количество субъектов ПДн, персональные данные которых обрабатываются в информационной системе - Хнпд), который можно разделить на три части:

·  менее 1000 субъектов ПДн или ПДн в пределах организации;

·  от 1000 до 100000 субъектов ПДн или ПДн в отрасли экономики, органе государственной власти, проживающих в пределах муниципального образования;

·  более 100000 субъектов ПДн или ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом.

По результатам полученных исходных данных ИСПДн присваивается один из четырех классов в соответствии с приведённой ниже таблицей 3.

Таблица 3.

Категория обрабатываемых

ПДн

Объем обрабатываемых ПДн

менее 1000 субъектов ПДн или ПДн в пределах организации

от 1000 до 100000 субъектов ПДн или ПДн в отрасли экономики, органе государственной власти, проживающих в пределах муниципального образования

более 100000 субъектов ПДн или ПДн в пределах субъекта Российской Федерации или российской Федерации в целом

категория 4

класс 4

класс 4

класс 4

категория 3

класс 3

класс 3

класс 2

категория 2

класс 3

класс 2

класс 1

категория 1

класс 1

класс 1

класс 1

Полученный класс ИСПДн характеризует степень негативных последствий для субъектов ПДн при нарушении заданных характеристик безопасности:

ü  для ИСПДн 1 класса – значительные негативные последствия;

ü  для ИСПДн 2 класса – негативные последствия;

ü  для ИСПДн 3 класса – незначительные последствия;

ü  для ИСПДн 4 класса – не приводит к негативным последствиям.

Стоит отметить, что акты классификации и класс ИСПДн может быть пересмотрен в следующих случаях:

ü  по решению оператора на основе проведенных им анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;

ü  по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в информационной системе.

В акте классификации также необходимо по заданным характеристикам безопасности ИСПДн определить тип ИС:

ü  типовые информационные системы – ИСПДн, в которых требуется обеспечение только конфиденциальности ПДн;

ü  специальные информационные системы – ИСПДН, в которых вне зависимости от необходимости обеспечения конфиденциальности ПДн требуется обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Далее определим ещё несколько параметров ИСПДн:

v  Структурное построение ИСПДн:

Ø  автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки ПДн, т. е. автоматизированные рабочие места;

Ø  комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа, т. е. локальные информационные системы;

Ø  комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа, т. е. распределенные информационные системы.

v  Режимы обработки ПДн:

Ø  однопользовательские;

Ø  многопользовательские.

v  Режимы разграничения прав доступа пользователей:

Ø  информационные системы без разграничений прав доступа пользователей;

Ø  информационные системы с разграничениями прав доступа пользователей.

Например, для ИСПДн «Система обработки анкет» компании «Арсенал+» соответствуют следующие характеристики:

·  категория обрабатываемых в информационной системе персональных данных (Хпд) – 3, ПДн, позволяющие идентифицировать субъекта ПДн;

·  объем обрабатываемых ПДн (Хнпд) - от 1000 до 100000 субъектов ПДн или ПДн в отрасли экономики, органе государственной власти, проживающих в пределах муниципального образования;

·  специальные информационные системы;

·  автономный комплекс технических и программных средств;

·  однопользовательские;

Из всего выше приведённого можно сделать вывод, что данная ИСПДн имеет класс 3. А это значит, что степень негативных последствий для субъектов ПДн при нарушении заданных характеристик безопасности является незначительной.

На основании данной методики классификации были составлены следующие акты:

·  Акт классификации информационной системы персональных данных: 1С-Предприятие (Приложение 1);

·  Акт классификации информационной системы персональных данных: 1С- Зарплата и кадры (Приложение 2);

·  Акт классификации информационной системы персональных данных: Система обработки анкет (Приложение 3).

3.3.2. Модель угроз безопасности персональным данным при их обработке в информационных системах персональных данных Компании.

Для создания частной модели угроз для ИСПДн компании, за основу необходимо брать:

·  Базовую модель угроз безопасности персональным данным при обработке в информационных системах персональных данных, утвержденной 15 февраля 2008г. заместителем директора ФСТЭК России;

·  Методику определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденной 14 февраля 2008г. заместителем директора ФСТЭК России;

·  ГОСТ Р «Защита информации. Факторы, воздействующие на информацию. Общие положения».

В первую очередь необходимо определить перечень угроз, представляющих потенциальную опасность для персональных данных, обрабатываемых в ИСПДн. Перечень угроз составляется с использованием полученных исходных данных о ИСПДн из акта классификации и применения их к Базовой модели угроз безопасности. Конечной целью является список актуальных угроз выбранных из начального перечня угроз.

Первым параметром для выбора актуальных угроз является уровень исходной защищенности ИСПДн. Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных".

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, таких как:

Ø  Территориальное размещение;

Ø  Наличие соединения с сетями общего пользования;

Ø  Встроенным (легальным) операциям с записями баз персональных данных;

Ø  Разграничение доступа к персональным данным;

Ø  Наличие соединений с другими базами ПДн иных ИСПДн;

Ø  Уровень обобщения (обезличивания) ПДн;

Ø  Объем ПДн, который предоставляется сторонним пользователям ИСПДн без предварительной обработки.

И так для каждого показателя определяем уровень защищенности (высокий, средний, низкий) в соответствии с таблицей «Показатели исходной защищенности ИСПДн» из "Методики определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных". Исходя из этих показателей определяется степень исходной защищенности, и каждой степени исходной защищенности ставится в соответствие числовой коэффициент , если:

·  не менее 70% характеристик ИСПДн соответствуют уровню «высокий» - ИСПДн имеет высокий уровень исходной защищенности, =0;

·  не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» - ИСПДн имеет средний уровень исходной защищенности, =5;

·  не выполняются условия по пунктам 1 и 2 - ИСПДн имеет низкую степень исходной защищенности, =10.

Например, мы определили, что ИСПДн «1С-Предприятие» компании «Арсенал+» имеет следующие показатели уровня защищенности:

·  высокий - 42,86%;

·  средний - 28,57%;

·  низкий - 28,57%.

Суммируем значения для уровня «высокий» и «средний». Более 70% характеристик соответствуют уровню не ниже среднего, следовательно, ИСПДн имеет средний уровень исходной защищенности, а числовой коэффициент равен 5.

Следующим пунктом в поиске актуальных угроз будет определение частоты (вероятности) реализации угрозы. Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя, и каждой угрозе ставится в соответствие числовой коэффициент :

маловероятно(=0) – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

низкая вероятность(=2) – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

средняя вероятность(=5) - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

высокая вероятность(=10) - объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности ПДн не приняты.

С учетом коэффициента реализуемости угрозы Y будет определяться по формуле соотношением .

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

ü  если , то возможность реализации угрозы признается низкой;

ü  если , то возможность реализации угрозы признается средней;

ü  если , то возможность реализации угрозы признается высокой;

ü  если , то возможность реализации угрозы признается очень высокой.

Далее необходимо оценить опасность каждой угрозы. При оценке опасности на основе опроса экспертов определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

ü  низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

ü  средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

ü  высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Отнести угрозу к актуальной для данной ИСПДн из общего перечня можно использовав приведённую ниже таблицу 4 «Правила отнесения угрозы безопасности ПДн к актуальной».

Таблица 4 «Правила отнесения угрозы безопасности ПДн к актуальной».

Возможность реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

Например, рассмотрим угрозу для ИСПДн «1С-Предприятие» и определим её актуальность для системы. Возьмём угрозу утечки видовой информации. Ранее мы уже рассчитали, что данная ИСПДн имеет уровень исходной защищенности средний, а числовой коэффициент =5. Далее определим частоту (вероятность) реализации угрозы (Значение коэффициента Y2 ). Она будет иметь значение – маловероятно(0), поскольку в организации введён пропускной режим и ограничен доступ в помещение, где обрабатываются персональные данные. А также рабочие места организованы так, что нет возможности съёма информации по оптическому каналу. Теперь мы можем рассчитать коэффициент реализуемости угрозы по формуле . Получаем Y=0.25 и определяем, что Y лежит в промежутке между 0 и 0.3, а, значит, возможность реализации угрозы признается низкой. Далее экспертным путём оцениваем опасность угрозы как среднюю - реализация угрозы может привести к негативным последствиям для субъектов персональных данных. Исходя из возможности реализации угрозы (низкая) и показателя опасности угрозы (средняя) делаем вывод, что данная угроза является неактуально для ИСПДн «1С-Предприятие».

На основании данной методики разработки модели угроз были созданы следующие документы:

·  Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «1С – Предприятие» (Приложение 4);

·  Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «1С – Зарплата и кадры» (Приложение 5);

·  Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «Система обработки анкет» (Приложение 6).

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа, и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

3.3.3. Разработка требований по обеспечению безопасности персональных данных при их обработке в ИСПДн Компании.

По результатам актов классификаций ИСПДн и моделей угроз разработаны требования по обеспечению безопасности на основании «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных при обработке в информационных системах персональных данных», утвержденных 15 февраля 2008г. заместителем директора ФСТЭК России, и «Частной модели угроз…», для следующих ИСПДн:

·  «1С – Предприятие» (Приложение 7);

·  «1С – Зарплата и кадры» (Приложение 8);

·  «Система обработки анкет» (Приложение 9).

Так же в компании были разработаны и внедрены следующие нормативные документы, направленные на защиту персональных данных:

·  Инструкция по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных в +» (Приложение 10);

·  Инструкция по организации антивирусной защиты (Приложение 11);

·  Инструкция по организации парольной защиты (Приложение 12);

·  Положение об обработке персональных данных работников, которое устанавливает порядок обработки персональных данных работников, обеспечение защиты прав и свобод работников при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

·  Приказ об организации работ по обеспечению безопасности ПДн.

3. 4. Рекомендации и спецификация по закупке средств защиты.

В компании присутствуют только ИСПДн 3 класса, поэтому должны быть реализованы мероприятия по защите ПДн от несанкционированного доступа, в соответствии с методическими рекомендациями по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. При этом предъявляются требования к следующим подсистемам защиты ПДн от несанкционированного доступа:

подсистеме управления доступом;

подсистеме регистрации и учета;

подсистеме обеспечения целостности.

Соответствие предъявляемых к ИСПДн требований классам защищенности автоматизированных систем от несанкционированного доступа приведено в таблице 5.

Таблица 5.

Класс ИСПДн

Подсистемы

Управления доступом

Регистрации и учета

Обеспечения целостности

3

Однопользовательская

Многопользовательская с равными правами доступа

Многопользовательская с разными правами доступа

Исходя из приведенной таблицы для ИСПДн бухгалтерии и отдела кадров, все подсистемы нуждаются в защите средствами от НСД не ниже класса 1Д. А ИСПДн отдела маркетинга – 3Б.

Так же, если терминальный сервер обработки и хранения персональных данных для ИСПДн бухгалтерии и отдела кадров будет вынесен в отдельную подсеть, то сервера необходимо будет защищать межсетевым экраном (МЭ). Определить класс МЭ можно в соответствии таблицей 6.

Таблица 6.

Класс ИСПДн

Класс межсетевого экрана

3

Распределенные ИСПДн

4

ИСПДн, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена

2

В ИСПДн компании должны быть реализованы мероприятия по антивирусной защите и защите от программно-математических воздействий (несанкционированных воздействий на ресурсы автоматизируемой информационной системы, осуществляемые с использованием вредоносных программ). При этом предъявляются требования к следующим подсистемам защиты ПДн от программно-математических воздействий:

подсистеме управления доступом;

подсистеме регистрации и учета;

подсистеме обеспечения целостности.

Подробно требования по антивирусной защите и защите от программно-математических воздействий изложены в разработанных требованиях по обеспечению безопасности (Приложение 7, 8, 9)

При реализации мероприятий по антивирусной защите и защите от программно-математических воздействий необходимо использовать сертифицированные средства антивирусной защиты. При этом на этапе ввода в эксплуатацию средств антивирусной защиты должны быть установлены настройки данных средств, обеспечивающие выполнение требований, предъявляемых к установленному классу ИСПДн[20].

Из представленных выше требований по защите персональных данных и соответствующих этим требованиям классов средств защиты информации (СЗИ) необходимо составить перечень СЗИ, возможных для внедрения в ИСПДн. Перечень СЗИ составлен на основе государственного реестра сертифицированных средств защиты информации.

Таблица 7. Перечень сертифицированных средств защиты от несанкционированного доступа.

№ п/п

Наименование средства защиты

Сведения о сертификации

Срок действия сертификата

1.

«Юникрос-Защита», класс защищенности 1Д

до 17.09.2010

2.

Программно-аппаратный комплекс СЗИ НСД «Аккорд АМДЗ», класс защищенности 1Д

от 01.01.2001 № 246/7

до 13.08.2010

3.

MICROSOFT® OFFICE ПРОФЕССИОНАЛЬНЫЙ 2007», класс защищенности 1Г

до 03.04.2011

4.

«MICROSOFT® OFFICE ПРОФЕССИОНАЛЬНЫЙ 2007» Service Pack 1, класс защищенности 1Г

от 01.01.2001 № 1587/1

до 03.12.2011

5.

ОЕМ_версия операционной системы «Microsoft Windows XP Professional», класс защищенности 1Г

от 01.01.2001 № 1608

до 04.07.2011

6.

ОЕМ_версия операционной системы «Microsoft Windows XP» Professional Service Paск 2, класс защищенности 1Г

от 01.01.2001 № 1657

до 04.08.2011

8.

Система защиты конфиденциальной информации «Secret Disk 4», класс защищенности 1Г

от 01.01.2001 № 1742

до 24.12.2011

9.

Операционная система «Microsoft Windows 2003 Server Standard Edition», класс защищенности 1Г

от 01.01.2001 № 1017/2

до 04.10.2009

10.

Операционная система «Microsoft Windows 2003 Server Enterprise Edition Release 2», класс защищенности 1Г

от 01.01.2001 № 1017/3

до 04.10.2009

11.

Операционная система «Microsoft Windows 2003 Server Standard Edition» Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 1017/4

до 05.08.2011

12.

Операционная система «Microsoft Windows 2003 Server Standard Edition Release 2» Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 1017/5

до 05.08.2011

13.

Операционная система «Microsoft Windows 2003 Server Enterprise Edition Release 2» Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 1017/7

до 05.08.2011

14.

ОЕМ_версия операционной системы «Microsoft Windows XP Professional» Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 1019/2

до 05.08.2011

15.

ОЕМ_версия операционной системы «Microsoft Windows XP Embedded», класс защищенности 1Г

от 01.01.2001 № 1019/3

до 05.08.2011

16.

Операционная система «Microsoft Windows 2003 Server Standard Edition», класс защищенности 1Г

от 01.01.2001 № 1017/2

до 04.10.2009

17.

Операционная система «Microsoft Windows 2003 Server Enterprise Edition Release 2», класс защищенности 1Г

от 01.01.2001 № 1017/3

до 12.12.2009

18.

Операционная система «Microsoft Windows 2003 Server Standard Edition» Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 1017/4

до 05.08.2011

18.

Операционная система «Microsoft Windows 2003 Server Standard Edition Release 2» Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 1017/5

до 05.08.2011

19.

Операционная система «Microsoft Windows 2003 Server Enterprise Edition» Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 1017/6

до 05.08.2011

20.

Операционная система «Microsoft Windows 2003 Server Enterprise Edition Release 2» Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 1017/7

до 05.08.2011

22.

Офисный программный комплекс «Microsoft® Office, Профессиональный выпуск 2003», Service Pack 3, класс защищенности 1Г

от 01.01.2001 № 1019/2

до 07.08.2011

23.

Система управления базами данных «Microsoft SQL Server 2005 Standard Edition», класс защищенности 1Г

от 01.01.2001 № 1319

до 22.01.2010

24.

Система управления базами данных «Microsoft SQL Server 2005 Enterprise Edition», класс защищенности 1Г

от 01.01.2001 № 1319/1

до 22.01.2010

25.

Операционная система Microsoft Windows XP Professional Service Pack 2, класс защищенности 1Г

от 01.01.2001 № 844/2

до 03.12.2010

26.

Операционная система Microsoft Windows XP Professional Service Pack 3, класс защищенности 1Г

от 01.01.2001 № 844/3

до 03.12.2010

27.

Программно-аппаратный комплекс СЗИ НСД «Аккорд АМДЗ», класс защищенности 1Б

от 01.01.2001 № 246/7

до 13.08.2010

28.

Система защиты информации от НСД «Dallas Lock 6.0, класс защищенности 1В

от 01.01.2001 № 762

до 21.06.2009

29.

Система защиты информации от НСД «Страж NT» версия 2.5, класс защищенности 1В

от 01.01.2001 № 1260

до 13.09.2009

30.

Персональный межсетевой экран «ФПСУ-IP/Клиент», 5 класс защищенности

до 03.11.2009

Таблица 8. Перечень сертифицированных средств антивирусной защиты.

№ п/п

Наименование средства защиты

Сведения о сертификации

Срок действия сертификата

1.

«Антивирус Касперского 5.0 для Microsoft Exchange Server 2000/2003»

до 28.12.2009

2.

«Антивирус Касперского 6.0 для Windows Servers»

до 10.05.2010

3.

«Антивирус Касперского 6.0 для Windows Workstations»

до 11.05.2010

Заключение.

Результатом дипломной работы стала модификация и максимальная подготовка информационной системы компании +» к внедрению сертифицированных средств защиты информации, и последующим аттестационным испытаниям на соответствие закону 152-ФЗ «О персональных данных».

В процессе достижения поставленной цели были решены поставленные задачи. Обозначены необходимые теоретические аспекты в защиты конфиденциальной информации. Рассмотрены основные понятия в области безопасности информационных технологий. Выделены основные меры и принципы организации защиты конфиденциально информации.

Проведён анализ законодательной базы в области обеспечения безопасности информационных технологий и персональных данных. Выделены основные взгляды, определения, требования, а так же мера ответственности, предъявляемые государством для всех операторов персональных данных.

Проведён анализ ресурсов участвующих в обработке ПДн в +». Результаты данного анализа показали, что организация действительно является оператором персональных данных не только своих сотрудников, но и третьих лиц. При этом допускаются нарушения, в соответствии с ФЗ-152 «О персональных данных» при обработке ПДн. Организация защиты данной ИС экономически нецелесообразна, поскольку существуют предпосылки к понижению класса системы путем модернизации самой ИС. Модернизация ИС была осуществлена с минимальными материальными затратами, при использовании технических возможностей существующей телекоммуникационной инфраструктуры компании.

В ходе выявления уязвимых звеньев и возможных угроз безопасности ИСПДн была разработана большая часть нормативной документации по организации защиты ПДн. Приведен перечень актуальных угроз, разработаны основные требования и методы по организации защиты ПДн для каждой из ИСПДн компании, в соответствии с методическими рекомендациями по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, предлагаемые Управлением Федеральной службы по техническому и экспортному контролю.

Исходя из подготовленной и утвержденной руководством компании нормативной документации, были разработаны рекомендации и спецификация по закупке средств защиты информации.

Приведённый в данном дипломном проекте анализ законодательной базы в сфере организации защиты персональных данных, анализ существующей информационной системы, способы её модернизации и реорганизации, методика разработки нормативно-организационной документации для защиты ПДн на предприятии, могут рассматриваться как универсальный алгоритм. Данный алгоритм можно применять к любым предприятиям и организациям, которые осуществляют защиту ПДн, и имеют схожие технические и эксплуатационные характеристики в своих информационных системах.

Список литературы.

1.  Домарев информационных технологий. Методология создания систем защиты, 2001.

2.  , Ивашко безопасности информационных систем.-М.: Горячая линия –Телеком, 2000.

3.  Скот Бармен. Разработка правил информационной безопасности. Вильямс, 2002

4.  Официальное руководство по подготовке к сертификационным экзаменам CCENT/CCNA ICND1.:М . Д. Вильямс», 2009.

5.  Официальное руководство по подготовке к сертификационным экзаменам CCENT/CCNA ICND2.:М . Д. Вильямс», 2009.

6.  Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895;

7.  Федеральный закон от 01.01.01 г. «Об информации, информационных технологиях и о защите и информации»;

8.  Федеральный закон от 8 августа 2001 г. «О лицензировании отдельных видов деятельности»;

9.  Федеральный закон «О персональных данных» от 01.01.01 года № 152‑ФЗ;

10.  Конституция Российской Федерации от 01.01.01 г.;

11.  Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 01.01.01 г. № 000;

12.  Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденное постановлением Совета Министров Правительства от 15.09.93г. N 912-51;

13.  Постановление Правительства Российской Федерации от 01.01.01 г. № 000 «О лицензировании деятельности по технической защите конфиденциальной информации»;

14.  Постановление Правительства Российской Федерации от 01.01.01г. № 000 «О сертификации средств защиты информации»;

15.  Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 01.01.01 г. № 000;

16.  Указ Президента Российской Федерации от 6 марта 1997 г. № 000 «Об утверждении Перечня сведений конфиденциального характера»;

17.  Указ Президента Российской Федерации «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997 года № 000;

18.  Концепция национальной безопасности в РФ, утвержденная Указом Президента РФ от 01.01.01 г. № 000;

19.  Официальный сайт Федеральной службы по техническому и экспортному контролю, www. *****.

20.  Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Управление Федеральной службы по техническому и экспортному контролю по Уральскому федеральному округу, 2009

21.  Порядок проведения классификации информационных систем персональных данных, утвержденный совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 01.01.2001

22.  Базовая модель угроз безопасности персональным данным при обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России;

23.  Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;

24.  Основные мероприятия по организации и техническому обеспечению безопасности персональных данных при обработке в информационных системах персональных данных», утвержденных 15 февраля 2008 г. заместителем директора ФСТЭК России.

25.  Безопасность сетей. Полное руководство./ Р. Брегг, М. Родс-Оусли, К. Страссберг; пер. с англ. – М.: Издательство «ЭКОМ», 2006.



Подпишитесь на рассылку:

Информационная безопасность


Основные темы



Проекты по теме:

Основные порталы, построенные редакторами

Домашний очаг

ДомДачаСадоводствоДетиАктивность ребенкаИгрыКрасотаЖенщины(Беременность)СемьяХобби
Здоровье: • АнатомияБолезниВредные привычкиДиагностикаНародная медицинаПервая помощьПитаниеФармацевтика
История: СССРИстория РоссииРоссийская Империя
Окружающий мир: Животный мирДомашние животныеНасекомыеРастенияПриродаКатаклизмыКосмосКлиматСтихийные бедствия

Справочная информация

ДокументыЗаконыИзвещенияУтверждения документовДоговораЗапросы предложенийТехнические заданияПланы развитияДокументоведениеАналитикаМероприятияКонкурсыИтогиАдминистрации городовПриказыКонтрактыВыполнение работПротоколы рассмотрения заявокАукционыПроектыПротоколыБюджетные организации
МуниципалитетыРайоныОбразованияПрограммы
Отчеты: • по упоминаниямДокументная базаЦенные бумаги
Положения: • Финансовые документы
Постановления: • Рубрикатор по темамФинансыгорода Российской Федерациирегионыпо точным датам
Регламенты
Термины: • Научная терминологияФинансоваяЭкономическая
Время: • Даты2015 год2016 год
Документы в финансовой сферев инвестиционнойФинансовые документы - программы

Техника

АвиацияАвтоВычислительная техникаОборудование(Электрооборудование)РадиоТехнологии(Аудио-видео)(Компьютеры)

Общество

БезопасностьГражданские права и свободыИскусство(Музыка)Культура(Этика)Мировые именаПолитика(Геополитика)(Идеологические конфликты)ВластьЗаговоры и переворотыГражданская позицияМиграцияРелигии и верования(Конфессии)ХристианствоМифологияРазвлеченияМасс МедиаСпорт (Боевые искусства)ТранспортТуризм
Войны и конфликты: АрмияВоенная техникаЗвания и награды

Образование и наука

Наука: Контрольные работыНаучно-технический прогрессПедагогикаРабочие программыФакультетыМетодические рекомендацииШколаПрофессиональное образованиеМотивация учащихся
Предметы: БиологияГеографияГеологияИсторияЛитератураЛитературные жанрыЛитературные героиМатематикаМедицинаМузыкаПравоЖилищное правоЗемельное правоУголовное правоКодексыПсихология (Логика) • Русский языкСоциологияФизикаФилологияФилософияХимияЮриспруденция

Мир

Регионы: АзияАмерикаАфрикаЕвропаПрибалтикаЕвропейская политикаОкеанияГорода мира
Россия: • МоскваКавказ
Регионы РоссииПрограммы регионовЭкономика

Бизнес и финансы

Бизнес: • БанкиБогатство и благосостояниеКоррупция(Преступность)МаркетингМенеджментИнвестицииЦенные бумаги: • УправлениеОткрытые акционерные обществаПроектыДокументыЦенные бумаги - контрольЦенные бумаги - оценкиОблигацииДолгиВалютаНедвижимость(Аренда)ПрофессииРаботаТорговляУслугиФинансыСтрахованиеБюджетФинансовые услугиКредитыКомпанииГосударственные предприятияЭкономикаМакроэкономикаМикроэкономикаНалогиАудит
Промышленность: • МеталлургияНефтьСельское хозяйствоЭнергетика
СтроительствоАрхитектураИнтерьерПолы и перекрытияПроцесс строительстваСтроительные материалыТеплоизоляцияЭкстерьерОрганизация и управление производством

Каталог авторов (частные аккаунты)

Авто

АвтосервисАвтозапчастиТовары для автоАвтотехцентрыАвтоаксессуарыавтозапчасти для иномарокКузовной ремонтАвторемонт и техобслуживаниеРемонт ходовой части автомобиляАвтохимиямаслатехцентрыРемонт бензиновых двигателейремонт автоэлектрикиремонт АКППШиномонтаж

Бизнес

Автоматизация бизнес-процессовИнтернет-магазиныСтроительствоТелефонная связьОптовые компании

Досуг

ДосугРазвлеченияТворчествоОбщественное питаниеРестораныБарыКафеКофейниНочные клубыЛитература

Технологии

Автоматизация производственных процессовИнтернетИнтернет-провайдерыСвязьИнформационные технологииIT-компанииWEB-студииПродвижение web-сайтовПродажа программного обеспеченияКоммутационное оборудованиеIP-телефония

Инфраструктура

ГородВластьАдминистрации районовСудыКоммунальные услугиПодростковые клубыОбщественные организацииГородские информационные сайты

Наука

ПедагогикаОбразованиеШколыОбучениеУчителя

Товары

Торговые компанииТоргово-сервисные компанииМобильные телефоныАксессуары к мобильным телефонамНавигационное оборудование

Услуги

Бытовые услугиТелекоммуникационные компанииДоставка готовых блюдОрганизация и проведение праздниковРемонт мобильных устройствАтелье швейныеХимчистки одеждыСервисные центрыФотоуслугиПраздничные агентства

Блокирование содержания является нарушением Правил пользования сайтом. Администрация сайта оставляет за собой право отклонять в доступе к содержанию в случае выявления блокировок.