Организационно-техническое обеспечение систем безопасности персональных данных

Организационно-техническое обеспечение систем безопасности персональных данных.

Оглавление

Введение

Необходимость обеспечения безопасности персональных данных в наше время объективная  реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый  дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту. Именно поэтому персональные данные нуждаются в самой серьезной защите.

Необходимость принятия мер по защите персональных данных  вызвана также возросшими техническими возможностями по копированию и распространению информации. Уровень информационных технологий достиг того предела, когда самозащита информационных прав уже не является эффективным средством против посягательств на частную жизнь. Современный человек уже физически не способен скрыться от всего многообразия явно или неявно применяемых в отношении него технических устройств сбора и технологий обработки данных о людях.

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.

Основные понятия

Информационные системы  персональных данных представляют собой  совокупность информационных и программно-аппаратных элементов, основными из которых являются:

• персональные данные, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
• информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке персональных данных;
• технические средства, осуществляющие обработку персональных данных, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации);
• программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и  т.п.);
• средства защиты информации;
• вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки персональных данных, но размещенные в помещениях, в которых расположены информационные системы персональных данных (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, проводной радиотрансляционной сети и приема программ радиовещания и телевидения, электрочасофикации, средства электронной оргтехники).

Для обеспечения безопасности персональных данных при их обработке  в информационной системе персональных данных осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных.

Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) персональных данных». Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором персональные данные находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Носители персональных данных могут содержать информацию, представленную в следующих видах:

• акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя системы персональных данных при осуществлении голосового ввода данных в информационную систему, либо воспроизведении акустическими средствами системы, а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;
• видовая информация, представленная в виде текста или изображений, и воспроизводимая при помощи различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав системы персональных данных;
• информация в виде электрических, электромагнитных, оптических сигналов, возникающих при обработке персональных данных;
• информация, обрабатываемая в системе персональных данных, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.

Мероприятия по защите персональных данных при обработке.

В соответствии с Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденным 15 февраля 2008 г., мероприятия по обеспечению безопасности персональных данных при обработке формулируются в зависимости от класса информационных систем с учетом возможного возникновения угроз безопасности в отношении персональных данных. Такие мероприятия включают в себя:

• определение угроз безопасности в отношении персональных данных при их обработке, формирование на их основе моделей угроз;
• разработку на основе таких моделей угроз системы защиты персональных данных, которая обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса системы;
• проверку готовности средств защиты информации к применению и составление заключений о возможности их эксплуатации;
• установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
• обучение лиц, которые будут эксплуатировать средства защиты информации, правилам работы с ними;
• контроль за применением средств защиты информации, учет эксплуатационной и технической документации к ним, носителей персональных данных;
• учет лиц, допущенных к работе с персональными данными в информационной системе;
• контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• проведение расследований и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; а также принятие мер по предотвращению возможных опасных последствий подобных нарушений;
• описание системы защиты персональных данных.

Мероприятия по техническому обеспечению безопасности персональных данных при их обработке включают:

• мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с персональными данными;
• мероприятия по закрытию утечки персональных данных по техническим каналам при их обработке в информационных системах;
• мероприятия по защите персональных данных от несанкционированного доступа и определению порядка выбора средств защиты персональных данных при их обработке.

Организационные меры обеспечение систем безопасности

Обеспечение безопасности персональных данных при их обработке должно предусматривать:

• оценку обстановки;
• обоснование требований по обеспечению безопасности персональных данных и формулирование задач их защиты;
• разработку замысла обеспечения безопасности персональных данных;
• выбор целесообразных способов (мер и средств) защиты персональных данных в соответствии с задачами и замыслом защиты;
• решение вопросов управления обеспечением безопасности персональных данных в динамике изменения обстановки и контроля эффективности защиты;
• обеспечение реализации принятого замысла защиты;
• планирование мероприятий по защите персональных данных;
• организацию и проведение работ по созданию системы защиты персональных данных  в рамках разработки (модернизации) информационной системы персональных данных, разработка и развертывание средств защиты, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации информационных систем;
• разработку документов, регламентирующих вопросы организации обеспечения безопасности персональных данных и эксплуатации средств защиты данных.

Средства защиты персональных данных от несанкционированного доступа.

Для осуществления мероприятий  по защите персональных данных при их обработке в информационных системах от несанкционированного доступа и неправомерных действий пользователей и нарушителей системы защиты данных могут включать в себя следующие подсистемы:

• управления доступом;
• регистрации и учета;
• обеспечения целостности;
• антивирусной защиты;
• обеспечения безопасности межсетевого взаимодействия системы;
• анализа защищенности;
• обнаружения вторжений.

Подсистема  управления доступом, регистрации и  учета, как правило, реализуется с помощью программных средств блокирования несанкционированного доступа, сигнализации и регистрации. Это специальные, не входящие в ядро операционной системы программные и программно-аппаратные средства защиты самих операционных систем, СУБД и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения несанкционированных действий пользователей или нарушителей. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики (тестирование файловой системы), регистрации (журналирование действий и операций), сигнализации (предупреждение об обнаружении фактов несанкционированных действий или нарушения штатного режима функционирования системы).

Подсистема  обеспечения целостности также реализуется преимущественно средствами самих операционных систем и СУБД. Работа данных средств основана на расчете контрольных сумм, уведомлении о сбое в передаче пакетов сообщений, повторе передачи непринятых пакетов. 
Сетевая операционная система Windows Server, начиная с версии  2003, наряду с необходимым для обеспечения безопасности персональных данных набором технологических параметров обладает всеми необходимыми сертификатами на соответствие требованиям регулирующих органов.

Для обеспечения безопасности персональных данных и программно-аппаратной среды системы, обеспечивающей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты. Такие средства способны обеспечивать:

• обнаружение и блокирование деструктивных вирусных воздействий на общесистемное и прикладное ПО, реализующее обработку персональных данных;
• обнаружение и удаление «неизвестных» вирусов (т.е. вирусов, сигнатуры которых еще не внесены в антивирусные базы данных);
• обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

Например, продукты компании «Лаборатория Касперского» сертифицированы Федеральной службой безопасности России.

Подсистема  анализа защищенности предназначена для осуществления контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяет оценить возможность проведения нарушителями атак на сетевое оборудование, контролирует безопасность программного обеспечения. С помощью таких средств (средства обнаружения уязвимостей) производится сканирование сети с целью исследования ее топологии, осуществления поиска незащищенных или несанкционированных сетевых подключений, проверки настроек межсетевых экранов и т.п. Данный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средств анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях. 
Средства обнаружения уязвимостей могут функционировать на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Применяя сканирующее ПО, можно составить карту доступных узлов системы персональных данных, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации несанкционированного доступа. По результатам сканирования системы вырабатываются рекомендации и меры, позволяющие устранить выявленные недостатки.