РОССИЙСКАЯ ФЕДЕРАЦИЯ
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Институт математики и компьютерных наук
Кафедра информационной безопасности
Допустить к защите в ГАК
Заведующий кафедрой
информационной безопасности,
д. т.н., профессор
“____” _________ 2013 г.
РАЗРАБОТКА И ВНЕДРЕНИЕ КОМПЛЕКСА МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГКУЗ «ЯМАЛО-НЕНЕЦКОГО ОКРУЖНОГО СПЕЦИАЛИЗИРОВАННОГО ДОМА РЕБЕНКА»
(Выпускная квалификационная работа)
Научный руководитель к. т.н., доцент кафедры ИБ
__________
Автор работы:
__________
Тюмень – 2013
Содержание
Введение.......................................................................................................... 7
Сокращенные обозначения.......................................................................... 9
1. Нормативно-методическая база........................................................ 10
2.1. Пред проектное обследование информационных систем............. 18
2.2. Анализ организации безопасности ПДн....................................... 19
2.3. Анализ обрабатываемых ПДн....................................................... 21
2.5. Сведения об ИСПДн...................................................................... 33
2.6. Классификация ИСПДн................................................................. 35
2.7. План помещений............................................................................ 40
2.8. Частная модель угроз безопасности персональных данных........ 42
2.9. Выводы по пред проектному обследованию................................ 44
3. Разработка комплекта организационно-распорядительной документации для ИСПДн.......................................................................................................... 47
4. Техническое проектирование............................................................. 54
4.1. Техническое задание...................................................................... 54
4.1.2. Подсистема регистрация и учета..................................................... 60
4.1.3. Подсистема обеспечения целостности аппаратной, программной среды и обрабатываемых данных........................................................................... 60
4.1.4. Подсистема обеспечения безопасного межсетевого взаимодействия 61
4.2. Проектное решение.......................................................................... 62
4.3. Внедрение средств защиты информации...................................... 64
4.3.1. Подсистема управления доступом......................................... 65
4.3.2. Подсистема регистрации и учета........................................... 67
4.3.3. Подсистема обеспечения целостности................................... 67
4.3.4. Подсистема обеспечения безопасного межсетевого взаимодействия 69
4.3.5. Дополнительные меры защиты.............................................. 71
5. Аттестация информационных систем персональных данных....... 74
6. Заключение........................................................................................... 77
СПИСОК ЛИТЕРАТУРЫ............................................................................. 78
ПРИЛОЖЕНИЕ 1 "Акт обследования"
ПРИЛОЖЕНИЕ 2 "Приказ об организации работ по обеспечению безопасности персональных данных"
ПРИЛОЖЕНИЕ 3 "Положение об обработке персональных данных"
ПРИЛОЖЕНИЕ 4 "Инструкция по обработке запросов субъектов ПДн"
ПРИЛОЖЕНИЕ 5 "Приказ об утверждении конфиденциальной информации"
ПРИЛОЖЕНИЕ 6 "Перечень персональных данных"
ПРИЛОЖЕНИЕ 7 "Перечень оборудования"
ПРИЛОЖЕНИЕ 8 "Перечень информационных систем персональных данных"
ПРИЛОЖЕНИЕ 9 "Приказ о комиссии и Протокол заседания "
ПРИЛОЖЕНИЕ 10 "Акт классификации"
ПРИЛОЖЕНИЕ 11 "Перечень информационных ресурсов"
ПРИЛОЖЕНИЕ 12 "Матрица доступа"
ПРИЛОЖЕНИЕ 13 "Описание техпроцесса"
ПРИЛОЖЕНИЕ 14 "Приказ о контролируемой зоне"
ПРИЛОЖЕНИЕ 15 " Приказ о внутренней проверке "
ПРИЛОЖЕНИЕ 16 "Инструкция о режимах"
ПРИЛОЖЕНИЕ 17 "Требования по обеспечению безопасности ПДн"
ПРИЛОЖЕНИЕ 18 "Частная модель угроз"
ПРИЛОЖЕНИЕ 19 "Техническое задание на создание СЗПДн"
ПРИЛОЖЕНИЕ 20 "Проектное решение на создание СЗПДн"
ПРИЛОЖЕНИЕ 21 "План мероприятий по защите персональных данных"
ПРИЛОЖЕНИЕ 22 "Приказ о вводе в эксплуатацию"
ПРИЛОЖЕНИЕ 23 "Технический паспорт"
ПРИЛОЖЕНИЕ 24 "Программа и методика аттестационных испытаний"
ПРИЛОЖЕНИЕ 25 "Заключение по результатам испытаний"
ПРИЛОЖЕНИЕ 26 "Аттестат соответствия"
Аннотация
Дипломная работа Егоровой Ирины Сергеевны на тему «Разработка и внедрение комплекса мер по защите персональных данных в ГКУЗ «Ямало-Ненецкого окружного специализированного Дома ребенка».
Научный руководитель: к. т.н., доцент кафедры ИБ
Работа включает в себя 1030 (без диплома) страницы отчета в составе:
· введения;
· 5 глав;
· заключения;
· списка литературы;
· 26 приложений;
· 3 рисунков;
· 19 таблиц;
Объектом исследования является ИСПДн ГКУЗ «Ямало-Ненецкого окружного специализированного Дома ребенка».
Цель работы - Разработка СЗПДн
Для достижения цели был проведен ряд мероприятий, направленных на:
· изучение действующего законодательства Российской Федерации в области защиты персональных данных;
· обследование автоматизированных рабочих мест и общего состояния организации защиты информации в ИСПДн;
· проведение комплексного обследования состояния защищенности ИСПДн;
· разработку комплекта организационно-распорядительной документации;
· написание технического проекта на систему защиты персональных данных
· внедрение средств защиты информации в ИСПДн;
· проведение аттестации;
Результатом работы стало обеспечение защиты персональных данных во всех ИСПДн ГКУЗ «Ямало-Ненецкого окружного специализированного Дома ребенка» в полном соответствии всем современным требованиям российского законодательства в области обеспечения защиты персональных данных.
Введение
По законодательству Российской Федерации основным документом по обеспечению защиты персональных данных является ФЗ-152 от 01.01.2001 «О персональных данных», согласно которому любая организация-оператор должна защищать информацию о своих работниках и клиентах. В соответствии с требованиями законодательства необходимо проводить разработку комплекта организационно-распорядительной, технической и аттестационной документации, соответствующего нормативно-правовым актам Российской Федерации в области обеспечения защиты персональных данных.
В данной дипломной работе будет произведена разработка и внедрение комплекса мер по защите ПДн на примере государственного казенного учреждения здравоохранения «Ямало-Ненецкого окружного специализированного Дома ребенка» (далее ГКУЗ «ЯНОСДР»). ГКУЗ «ЯНОСДР» является оператором ПДн. Ранее организация заказывала работу по проведению аттестации информационной системы персональных данных (ИСПДн) и разработке документации. Но со временем организация расширила парк рабочих мест, и следовательно, потребовались повторные мероприятия по защите ПДн, которые будут осуществляться в соответствии в новым Приказом № 21.
Поэтому целью данной дипломной работы является разработка СЗПДн. Для реализации поставленной цели были выбраны следующие задачи:
1. Определить требования к организации защиты персональных данных в соответствии с нормативно-правовыми актами.
2. Обследование автоматизированных рабочих мест и общего состояния организации защиты информации в ИСПДн.
3. Комплексный анализ ИСПДн. Определить исходную защищенность учреждения.
4. Разработка комплекта организационно-распорядительной документации.
5. Привести документы и техническую защиту учреждения в соответствии с требованиями законодательства РФ в области защиты персональных данных.
6. Разработать систему защиты персональных данных.
7. Внедрение средств защиты информации.
8. Проведение аттестации.
АРМ - автоматизированное рабочее место
АC - автоматизированная система
БД - база данных
ВТСС - вспомогательные технические средства и системы
ИСПДн - информационная система персональных данных
КЗ - контролируемая зона
НСД - несанкционированный доступ к информации
ОС - операционная система
ПДн - персональные данные
ПМВ - программно-математическое воздействие
ПЭМИН - побочные электромагнитные излучения и наводки
РД - руководящий документ
СЗИ - средство защиты информации
СЗПДн - система защиты персональных данных
ТЗ - техническое задание
ТКУИ - технические каналы утечки информации
УБПДн - угрозы безопасности персональных данных
ФСТЭК России - Федеральная служба по техническому и экспортному контролю.
1. Нормативно-методическая база
Федеральный закон Российской Федерации от 01.01.01г. N 160-ФЗ «О Ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Был принят Государственной Думой 25 ноября 2005 года и Одобрен Советом Федерации 7 декабря 2005 года.
Действие конвенции направлено на обеспечение прав и основных свобод физических лиц, в том числе права на неприкосновенность частной жизни, при автоматизированной обработке персональных данных независимо от национальности, места проживания и иных обстоятельств. Конвенция содержит нормы, регулирующие трансграничную передачу персональных данных.
Конвенцией определяются принципы сбора, обработки, хранения и использования информации личного характера, а также меры по защите лиц, к которым относится соответствующая информация, от ее незаконного использования. В соответствии с конвенцией возникло обязательство привести в соответствие область защиты прав субъектов персональных данных по европейским законам. Что бы соответствовать европейским стандартам в РФ был принят Федеральный закон от 01.01.2001 г. «О персональных данных».
Федеральный закон Российской Федерации от 01.01.01 г. N 152-ФЗ "О персональных данных" (в редакции N 261-ФЗ от 01.01.2001).
Федеральный закон «О персональных данных» вступил в действие 27 июля 2006г. с целью привести Российское законодательство в соответствие с Конвенцией «О защите физических лиц при автоматизированной обработке персональных данных», принятой Советом Европы в 1981г. (ETS № 000) и реализовать конституционные права на неприкосновенность частной жизни и свободу информации каждого гражданина России. Область действия Закона распространяется на физические и юридические лица, государственные органы всех уровней, занимающиеся управлением, накапливанием, учетом, передачей и обработкой персональных данных клиентов, сотрудников, партнеров и т. п.
Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
4) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 01.01.01 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации.
Любые действия (операции) связанные с персональными данными представляют обработку ПДн, которая включает в себя сбор данных, а также их классификацию, сбор и сохранность, корректировку (изменение, в том числе обновление), распространение (передачу), использование, нивелирование, ограничение использования ПДн, уничтожение.
По 152-ФЗ на операторов персональных данных возложен ряд обязательных требований. В соответствии с которыми оператор обязуется проводить организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним от нарушителей, заинтересованных в получении доступа к таким данным. Также, оператор в обязательном порядке должен уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять обработку персональных данных, непосредственно перед этапом обработки. Оператор до начала обработки персональных данных обязан получить согласие на обработку их персональных данных у субъектов персональных данных. Вместе с тем оператор обязуется предоставить все имеющиеся у него сведения о субъекте персональных данных, целях, условиях обработки персональных данных, способах защиты персональных данных, по просьбе субъекта.
Информационная система персональных данных представляет собой такую информационную систему, которая содержит всю совокупность персональных данных, содержащихся в информационной базе, технических средств, которые позволяют осуществлять обработку подобных персональных данных с использованием автоматизированных средств или без использования таковых, также совокупность информационных технологий.
Основным нормативно-правовым актом об обеспечении безопасности персональных данных является Постановление Правительства РФ от 1 ноября 2012г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Данное постановление отменило Постановление Правительства «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 01.01.01г. N 781.
В соответствии с новым постановлением, требования по защите персональных данных в ИСПДн зависят от четырех уровней защищенности ИСПДн (вместо четырех классов информационных систем персональных данных, классификация которых закреплена в Трехглавом приказе, который на данный момент не утратил силу) необходимость обеспечения которых зависит от того, угрозы какого из трех типов угроз актуальны, а также от категории обрабатываемых персональных данных.
Все ИСПДн по категориям обрабатываемых данных делятся на:
ИСПДн-С - обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
ИСПДн-Б - обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
ИСПДн-И - обрабатывающие иные персональных данных.
Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников) – ИСПДн-О
Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.
Система защиты персональных данных обрабатываемых в информационных системах персональных данных должна включать в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных. Постановление определяет актуальные угрозы безопасности персональных данных представляющие собой совокупность факторов и условий, которые создают актуальную опасность несанкционированного доступа, также доступа случайного к персональным данным при их обработке в информационной системе, в результате которого персональные даннные могут быть уничтожены, изменены, блокированы, копированы, переданы злоумышленнику, или иные подобные неправомерные действия.
В постановлении приведены три типа актуальных угроз.
- 1 тип. Угрозы, связанные с наличием недокументированных (не декларированных) возможностей в системном программном обеспечении (операционная система)
- 2 тип. Угрозы, связанные с наличием недокументированных (не декларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
- 3 тип. Угрозы, не связанные с наличием недокументированных (не декларированных) возможностей
При этом в документе не дается указаний на способы выявления не декларированных возможностей программного обеспечения.
На основании указанных выше критериев определяется уровень защищенности ИСПДн.
Проецируя классификацию информационных систем персональных данных на уровни защищенности, получим таблицу:
Таблица 1. Классификация ИСПДн по уровням защищенности
Категория ПДн и количество | Актуальные угрозы первого типа | Актуальные угрозы второго типа | Актуальные угрозы третьего типа |
Специальные категории ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора | УЗ1 | УЗ1 | УЗ2 |
Специальные категории ПДн сотрудников оператора или специальные категории ПДн менее чем субъектов ПДн, не являющихся сотрудниками оператора | УЗ1 | УЗ2 | УЗ3 |
Биометрические ПДн | УЗ1 | УЗ2 | УЗ3 |
Иные категории ПДн более чем субъектов ПДн, не являющихся сотрудниками оператора | УЗ1 | УЗ2 | УЗ3 |
Иные категории ПДн данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора | УЗ1 | УЗ3 | УЗ4 |
Общедоступные ПДн более чем субъектов ПДн, не являющихся сотрудниками оператора | УЗ2 | УЗ2 | УЗ4 |
Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем субъектов ПДн, не являющихся сотрудниками оператора | УЗ2 | УЗ3 | УЗ4 |
Но, с принятием нового постановления № 000 остались в «подвешенном» состоянии документы, такие как:
Приказ №58 ФСТЭК России о методах и способах защиты информации в ИСПДн (заменен приказом №21);
Методика определения актуальных угроз безопасности персональных данных;
Методические рекомендации по обеспечению безопасности ПДн с помощью крипто средств;
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств
Но, так как сами акты не отменены, ими все еще можно руководствоваться, так альтернативы им пока еще нет.
Приказ ФСТЭК России от 01.01.01г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» №21. Был зарегистрирован в Минюсте РФ 14 мая 2013 г. и вступил в силу 2 июня 2013 г.
Новый приказ отменяет Приказ ФСТЭК России от 5 февраля 2012г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» №58
В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Настоящий документ предназначен для выбора операторами информационных систем и (или) уполномоченными лицами организационных и технических мер по обеспечению безопасности персональных данных и их реализации в системе защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012г. № 000 в соответствии с установленным уровнем защищенности персональных данных.
Выбранные и реализованные в системе защиты персональных данных организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах должны обеспечивать нейтрализацию актуальных угроз безопасности персональных данных, определенных в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
Для проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством Российской Федерации могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах применяются средства защиты информации, прошедшие в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
Оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах для нейтрализации актуальных угроз безопасности персональных данных осуществляется оператором (уполномоченным лицом) в
Ходе проводимого им контроля за выполнением Требований к защите при их обработке в иных информационных системах персональных данных утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. № 000.
По решению оператора (уполномоченного лица) оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах может осуществляться в рамках аттестации информационной системы.
Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий.
2. Обследование автоматизированных рабочих мест и общего состояния организации защиты информации в ИСПДн
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
