Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО "Арсенал+"

Чтобы минимизировать расходы для модернизации информационной системы, было решено использовать технические возможности существующей телекоммуникационной инфраструктуры компании.

Разделение ИС на несколько логических подсистем осуществляется на базе технологии виртуальных локальных компьютерных сетей (VLAN) для ИСПДн бухгалтерии и отдела кадров. ИСПД отдела маркетинга выделена из общей сети в автономное рабочее место. Выделение в отдельную сеть компьютеров бухгалтерии и отдела кадров осуществлено на базе технологии виртуальных локальных сетей, поскольку это не требует от компании дополнительных материальных затрат и заключается лишь в решении задачи переконфигурирования коммутационного оборудования. Также данная технология имеет следующий ряд преимуществ:

· VLAN позволяет изменять конфигурацию сети, объединять пользователей в отдельные рабочие группы, определять доступные сегменты для отдельно взятого порта.

· VLAN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от "лишнего" трафика.

· С помощью VLAN можно контролировать и эффективно подавлять широковещательные штормы, которые в больших сетях иногда останавливают работу целых сегментов.

· С помощью технологии VLAN обычно создаются рабочие группы. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN - это закрытая и логически определенная группа[4].

Итак, изначально информационная система выглядела следующим образом (Рис. 5):

Все недостатки данной организации были перечислены в предыдущей части этой главы. На данном этапе нам необходимо выделить компьютеры оператора ПДн и Сервер, на котором производится обработка ПДн, в отдельную сеть. Для этого необходимо на коммутаторе Cisco Catalist 3750 создать два новых VLAN'а, указав для них адрес и маску сети, а также адрес DHCP-сервера:

interface Vlan133

description FINANCE - имя

ip address 192.168.2.97 255.255.255.224 - адрес интерфейса

ip helper-address 192.168.100.35 - адрес DHCP-сервера

!

interface Vlan134

description PERSONAL

ip address 192.168.2.129 255.255.255.224

ip helper-address 192.168.100.35

Создание VLAN'а и задание имени (использование команд в общем виде):

sw(config)# vlan 100

sw(config-vlan)# name N_VLAN

Назначение порта коммутатора в VLAN:

sw(config)# interface fa1/0/1

sw(config-if)# switchport mode access

sw(config-if)# switchport access vlan 100

или диапазона портов:

sw(config)# interface range fa1/0/4 - 5

sw(config-if-range)# switchport mode access

sw(config-if-range)# switchport access vlan 100

Задание адреса в VLAN. Этот адрес будет маршрутом по умолчанию для компьютеров в N_VLAN:

sw(config)#interface N_VLAN

sw(config-if)#ip address 192.168.0.1 255.255.255.0

sw(config-if)#no shutdown

Таким образом, мы получили две отдельные сети для бухгалтерии и отдела кадров, одновременно с этим исключив из сети компьютер оператора ПДн отдела маркетинга (ИСПДн - «Система обработки анкет»). Теперь все персональные данные обрабатываются отдельно от общей сети, а схема информационной системы имеет следующий вид (Рис. 6):

Фильтрации сетевого трафика осуществляются при помощи списков контроля доступа (Access Control List -- ACL), установленных на том же коммутаторе Cisco Catalist 3750, где ранее мы создавали VLAN'ы. Списки контроля доступа определяют то, каким образом трафик обрабатывается при прохождении через сетевое устройство. Как правило, списки ACL реализуются в маршрутизаторах, однако новое аппаратное обеспечение позволяет коммутаторам второго и третьего уровней перед отправкой пакетов обращаться к этим спискам. Списки ACL позволяют пользователям настраивать любой коммутатор для управления трафиком на основании третьего или вышестоящих уровней эталонной модели OSI[5].

К примеру, если нам необходимо разрешить подключение из сети бухгалтерии к терминальному серверу обработки ПДн по протоколу RDP(порт 3389), то этому будет соответствовать следующее правило:

permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.1 eq 3389

или оператору ПДн необходимо осуществить подключение к SQL-серверу (порт 1433), то это будет разрешено следующим правилом:

permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.1 eq 1433

Для организации сетевой печати с терминального сервера обработки ПДн оператором ПДн на принтер, находящийся в той же сети, что и оператор, необходимо двойное правило, разрешающее отправлять пакеты к серверу по порту сетевой печати (9100), а также пропускать ответы принтера из сети по тому же порту:

permit tcp 192.168.2.96 0.0.0.31 host 192.168.100.58 eq 9100

permit tcp 192.168.2.96 0.0.0.31 eq 9100 host 192.168.100.58

После того как все разрешающие правила описаны, добавим правило, явно указывающее на побитовое уничтожение тех пакетов, которые не подпадают ни под одного из выше перечисленных условий:

deny ip any any log

3.3 Нормативная документация по организации защиты ПДн

3.3.1 Классификация информационных систем персональных данных Компании

Для составления акта классификации необходимо рассмотреть исходные данные об информационной системе персональных данных. Такими данными является категория обрабатываемых в информационной системе персональных данных (Х_пд):

· категория 1 - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

· категория 2 - ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;

· категория 3 - ПДн, позволяющие идентифицировать субъекта ПДн;

· категория 4 - обезличенные и (или) общедоступные ПДн.

А также к исходным данным относится объем обрабатываемых ПДн (количество субъектов ПДн, персональные данные которых обрабатываются в информационной системе - Х_нпд), который можно разделить на три части:

· менее 1000 субъектов ПДн или ПДн в пределах организации;

· от 1000 до 100000 субъектов ПДн или ПДн в отрасли экономики, органе государственной власти, проживающих в пределах муниципального образования;

· более 100000 субъектов ПДн или ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом .

По результатам полученных исходных данных ИСПДн присваивается один из четырех классов в соответствии с приведённой ниже таблицей 3.

Таблица 3.

Полученный класс ИСПДн характеризует степень негативных последствий для субъектов ПДн при нарушении заданных характеристик безопасности:

ь для ИСПДн 1 класса - значительные негативные последствия;

ь для ИСПДн 2 класса - негативные последствия;

ь для ИСПДн 3 класса - незначительные последствия;

ь для ИСПДн 4 класса - не приводит к негативным последствиям.

Стоит отметить, что акты классификации и класс ИСПДн может быть пересмотрен в следующих случаях:

ь по решению оператора на основе проведенных им анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;

ь по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в информационной системе.

В акте классификации также необходимо по заданным характеристикам безопасности ИСПДн определить тип ИС:

ь типовые информационные системы - ИСПДн, в которых требуется обеспечение только конфиденциальности ПДн;

ь специальные информационные системы - ИСПДН, в которых вне зависимости от необходимости обеспечения конфиденциальности ПДн требуется обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Далее определим ещё несколько параметров ИСПДн:

v Структурное построение ИСПДн:

Ш автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки ПДн, т.е. автоматизированные рабочие места;

Ш комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа, т.е. локальные информационные системы;

Ш комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа, т.е. распределенные информационные системы.

v Режимы обработки ПДн:

Ш однопользовательские;

Ш многопользовательские.

v Режимы разграничения прав доступа пользователей:

Ш информационные системы без разграничений прав доступа пользователей;

Ш информационные системы с разграничениями прав доступа пользователей.

Например, для ИСПДн «Система обработки анкет» компании «Арсенал+» соответствуют следующие характеристики:

· категория обрабатываемых в информационной системе персональных данных (Х_пд) - 3, ПДн, позволяющие идентифицировать субъекта ПДн;

· объем обрабатываемых ПДн (Х_нпд) - от 1000 до 100000 субъектов ПДн или ПДн в отрасли экономики, органе государственной власти, проживающих в пределах муниципального образования;

· специальные информационные системы;

· автономный комплекс технических и программных средств;

· однопользовательские;

Из всего выше приведённого можно сделать вывод, что данная ИСПДн имеет класс 3. А это значит, что степень негативных последствий для субъектов ПДн при нарушении заданных характеристик безопасности является незначительной.

На основании данной методики классификации были составлены следующие акты:

· Акт классификации информационной системы персональных данных: 1С-Предприятие (Приложение 1);

· Акт классификации информационной системы персональных данных: 1С- Зарплата и кадры (Приложение 2);

· Акт классификации информационной системы персональных данных: Система обработки анкет (Приложение 3).

3.3.2 Модель угроз безопасности персональным данным при их обработке в информационных системах персональных данных Компании

Для создания частной модели угроз для ИСПДн компании, за основу необходимо брать:

· Базовую модель угроз безопасности персональным данным при обработке в информационных системах персональных данных, утвержденной 15 февраля 2008г. заместителем директора ФСТЭК России;

· Методику определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденной 14 февраля 2008г. заместителем директора ФСТЭК России;

· ГОСТ Р 51275-2006 «Защита информации. Факторы, воздействующие на информацию. Общие положения».

В первую очередь необходимо определить перечень угроз, представляющих потенциальную опасность для персональных данных, обрабатываемых в ИСПДн. Перечень угроз составляется с использованием полученных исходных данных о ИСПДн из акта классификации и применения их к Базовой модели угроз безопасности. Конечной целью является список актуальных угроз выбранных из начального перечня угроз.

Первым параметром для выбора актуальных угроз является уровень исходной защищенности ИСПДн. Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных".

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, таких как:

Ш Территориальное размещение;

Ш Наличие соединения с сетями общего пользования;

Ш Встроенным (легальным) операциям с записями баз персональных данных;

Ш Разграничение доступа к персональным данным;

Ш Наличие соединений с другими базами ПДн иных ИСПДн;

Ш Уровень обобщения (обезличивания) ПДн;

Ш Объем ПДн, который предоставляется сторонним пользователям ИСПДн без предварительной обработки.

И так для каждого показателя определяем уровень защищенности (высокий, средний, низкий) в соответствии с таблицей «Показатели исходной защищенности ИСПДн» из "Методики определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных". Исходя из этих показателей определяется степень исходной защищенности, и каждой степени исходной защищенности ставится в соответствие числовой коэффициент , если:

· не менее 70% характеристик ИСПДн соответствуют уровню «высокий» - ИСПДн имеет высокий уровень исходной защищенности, =0;

· не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» - ИСПДн имеет средний уровень исходной защищенности, =5;

· не выполняются условия по пунктам 1 и 2 - ИСПДн имеет низкую степень исходной защищенности, =10.

Например, мы определили, что ИСПДн «1С-Предприятие» компании «Арсенал+» имеет следующие показатели уровня защищенности:

· высокий - 42,86%;

· средний - 28,57%;

· низкий - 28,57%.

Суммируем значения для уровня «высокий» и «средний». Более 70% характеристик соответствуют уровню не ниже среднего, следовательно, ИСПДн имеет средний уровень исходной защищенности, а числовой коэффициент равен 5.

Следующим пунктом в поиске актуальных угроз будет определение частоты (вероятности) реализации угрозы. Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя, и каждой угрозе ставится в соответствие числовой коэффициент :

маловероятно(=0) - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

низкая вероятность(=2) - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

средняя вероятность(=5) - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

высокая вероятность(=10) - объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности ПДн не приняты.

С учетом коэффициента реализуемости угрозы Y будет определяться по формуле соотношением .

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

ь если , то возможность реализации угрозы признается низкой;

ь если , то возможность реализации угрозы признается средней;

ь если , то возможность реализации угрозы признается высокой;

ь если , то возможность реализации угрозы признается очень высокой.

Далее необходимо оценить опасность каждой угрозы. При оценке опасности на основе опроса экспертов определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

ь низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

ь средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

ь высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Отнести угрозу к актуальной для данной ИСПДн из общего перечня можно использовав приведённую ниже таблицу 4 «Правила отнесения угрозы безопасности ПДн к актуальной».

Таблица 4 «Правила отнесения угрозы безопасности ПДн к актуальной».

Например, рассмотрим угрозу для ИСПДн «1С-Предприятие» и определим её актуальность для системы. Возьмём угрозу утечки видовой информации. Ранее мы уже рассчитали, что данная ИСПДн имеет уровень исходной защищенности средний, а числовой коэффициент =5. Далее определим частоту (вероятность) реализации угрозы (Значение коэффициента Y₂ ). Она будет иметь значение - маловероятно(0), поскольку в организации введён пропускной режим и ограничен доступ в помещение, где обрабатываются персональные данные. А также рабочие места организованы так, что нет возможности съёма информации по оптическому каналу. Теперь мы можем рассчитать коэффициент реализуемости угрозы по формуле

.

Получаем Y=0.25 и определяем, что Y лежит в промежутке между 0 и 0.3, а, значит, возможность реализации угрозы признается низкой. Далее экспертным путём оцениваем опасность угрозы как среднюю - реализация угрозы может привести к негативным последствиям для субъектов персональных данных. Исходя из возможности реализации угрозы (низкая) и показателя опасности угрозы (средняя) делаем вывод, что данная угроза является неактуально для ИСПДн «1С-Предприятие».

На основании данной методики разработки модели угроз были созданы следующие документы:

· Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «1С - Предприятие» (Приложение 4);

· Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «1С - Зарплата и кадры» (Приложение 5);

· Модель угроз безопасности персональным данным при их обработке в информационной системе персональных данных «Система обработки анкет» (Приложение 6).

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа, и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

3.3.3 Разработка требований по обеспечению безопасности персональных данных при их обработке в ИСПДн Компании

По результатам актов классификаций ИСПДн и моделей угроз разработаны требования по обеспечению безопасности на основании «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных при обработке в информационных системах персональных данных», утвержденных 15 февраля 2008г. заместителем директора ФСТЭК России, и «Частной модели угроз…», для следующих ИСПДн:

· «1С - Предприятие» (Приложение 7);

· «1С - Зарплата и кадры» (Приложение 8);

· «Система обработки анкет» (Приложение 9).

Так же в компании были разработаны и внедрены следующие нормативные документы, направленные на защиту персональных данных:

· Инструкция по учету лиц, допущенных к работе с персональными данными в информационных системах персональных данных в ООО «Арсенал+» (Приложение 10);

· Инструкция по организации антивирусной защиты (Приложение 11);

· Инструкция по организации парольной защиты (Приложение 12);

· Положение об обработке персональных данных работников, которое устанавливает порядок обработки персональных данных работников, обеспечение защиты прав и свобод работников при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

· Приказ об организации работ по обеспечению безопасности ПДн.

3.4 Рекомендации и спецификация по закупке средств защиты

В компании присутствуют только ИСПДн 3 класса, поэтому должны быть реализованы мероприятия по защите ПДн от несанкционированного доступа, в соответствии с методическими рекомендациями по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. При этом предъявляются требования к следующим подсистемам защиты ПДн от несанкционированного доступа:

подсистеме управления доступом;

подсистеме регистрации и учета;

подсистеме обеспечения целостности.

Соответствие предъявляемых к ИСПДн требований классам защищенности автоматизированных систем от несанкционированного доступа приведено в таблице 5.

Таблица 5.

Исходя из приведенной таблицы для ИСПДн бухгалтерии и отдела кадров, все подсистемы нуждаются в защите средствами от НСД не ниже класса 1Д. А ИСПДн отдела маркетинга - 3Б.

Так же, если терминальный сервер обработки и хранения персональных данных для ИСПДн бухгалтерии и отдела кадров будет вынесен в отдельную подсеть, то сервера необходимо будет защищать межсетевым экраном (МЭ). Определить класс МЭ можно в соответствии таблицей 6.

Таблица 6.

В ИСПДн компании должны быть реализованы мероприятия по антивирусной защите и защите от программно-математических воздействий (несанкционированных воздействий на ресурсы автоматизируемой информационной системы, осуществляемые с использованием вредоносных программ). При этом предъявляются требования к следующим подсистемам защиты ПДн от программно-математических воздействий:

подсистеме управления доступом;

подсистеме регистрации и учета;

подсистеме обеспечения целостности.

Подробно требования по антивирусной защите и защите от программно-математических воздействий изложены в разработанных требованиях по обеспечению безопасности (Приложение 7, 8, 9)

При реализации мероприятий по антивирусной защите и защите от программно-математических воздействий необходимо использовать сертифицированные средства антивирусной защиты. При этом на этапе ввода в эксплуатацию средств антивирусной защиты должны быть установлены настройки данных средств, обеспечивающие выполнение требований, предъявляемых к установленному классу ИСПДн[20].

Из представленных выше требований по защите персональных данных и соответствующих этим требованиям классов средств защиты информации (СЗИ) необходимо составить перечень СЗИ, возможных для внедрения в ИСПДн. Перечень СЗИ составлен на основе государственного реестра сертифицированных средств защиты информации.