Разработка комплексной системы безопасности персональных данных в Отделе по делам молодежи города Кореновска

Для централизованной аутентификации пользователей в сети создается домен при использовании средств SAMBA и OpenLDAP - открытой реализации протокола LDAP.

Samba - программа, которая позволяет обращаться к сетевым дискам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части. Является свободным программным обеспечением, выпущена под лицензией GPL.

LDAP - это клиент-серверный сетевой протокол для доступа к службе каталогов. Изначально он использовался как надстройка над X.500, но он также может быть использован с автономными и прочими видами служб каталогов.

В качестве межсетевого экрана в МКУ «Молодежный центр» МО Кореновский район выбран ViPNet Office Firewall , который представлен версиями Linux. Он является сертифицированным ФСБ межсетевым экраном (по 3 классу) с пакетной фильтрацией, основной возможностью которого является регламентация доступа пользователей к различным сетевым ресурсам, контроль IP-трафика, проходящий через каждый сетевой интерфейс сервера.

Основной функцией ViPNet Office Firewall является пропуск или блокирование любых IP-пакетов, проходящих через каждый интерфейс сервера. Настройка ViPNet Office Firewall Linux заключается в выборе для каждого адаптера типового правила фильтрации (называемого режимом безопасности) и модификации его с помощью дополнительных фильтров для конкретных протоколов, адресов и портов. Кроме того, ViPNet Office Firewall поддерживает трансляцию сетевых адресов (NAT).

Администратор безопасности владеет информацией о том, кто пытается получить доступ к системе и пытается в настоящее время, а также может определить, перепутал ли сотрудник имя реального сервера и случайно попал на ловушку или действовал преднамеренно и в сети действительно есть нарушители, пытающиеся найти сервера или службы, работающие с данными, представляющими ценность для компании.

Основными функциями продукта являются:

-имитация реальных систем хранения данных;

-обнаружение и регистрация фактов НСД к данным, имитируемым системой;

-оповещение заинтересованных лиц о попытках НСД к этим данным;

-возможность восстановления модифицированной нарушителем системы к исходному состоянию;

-генерация отчетов о работе системы за определенные периоды времени;

-централизованное управление несколькими ловушками (сенсорами);

-авторизация и контроль доступа к управлению системой;

-механизм контроля работоспособности (диагностика);

-гибкая настройка правил реагирования на попытки НСД;

-генерация имитационных данных, которые выглядят как реальные;

-периодическая смена IP-адресов ловушек (сенсоров). [8].

Для повышения надежности защиты необходимо контролировать всю архитектуру сети, размещая зонды (компьютеры с NIDS) в каждом сегменте сети. Эти компьютеры необязательно должны быть серверами, система NIDS может быть установлена на обычной рабочей станции.

Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур.

Зонды 2,3,4 анализируют трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим и потому следует уделять большее внимание сообщениям зондов [8].

Заключение

В данной дипломной работе были рассмотрены все основные нормативные документы, регулирующие правовые отношения в области защиты персональных данных, приведены сведения о возможных угрозах безопасности информационной системы персональных данных, в том числе подробно приведена и рассмотрена характеристика угроз несанкционированного доступа. При рассмотрении всех допустимых угроз, особое внимание уделялось классификации нарушителей безопасности, поскольку они выполняют доминирующую роль в нарушении безопасности информационной системе.

Особое внимание уделено основным компонентам для построения защищенной информационной системы. В ходе работы были рассмотрены организация хранения персональных данных в базе данных, классификация программного и аппаратного обеспечения и основные средства защиты локальной сети, приведены организационные меры защиты. Так же была рассмотрена общая схема циркуляции персональных данных в информационной системе, что отображено в виде блок-схемы.

В работе были приведены меры по созданию защищенной локальной сети организации МКУ «Молодежный центр» МО Кореновский район, по которой в защищенных каналах циркулирует информация относящаяся к персональным данным, предложены программные и аппаратные средства защиты. В частности была предложена базовая политика безопасности для защиты от несанкционированного доступа к критически важным ресурсам. В ходе внедрения, вся информация остается защищенной и доступ к ней имеет только каждый специалист Молодежного центра, под личным паролем и контролем, а так же начальник отдела, так как он имеет доступ просматривать данные со своего компьютера, при этом не пользуясь компьютером специалистов.

Что касается затрат на защиту ЛВС и БД, то на сегодняшний день их наценка довольно велика. Если же говорить о том, сколько было затрачено средств на защиту информации в организации МКУ «Молодежный центр» МО Кореновский район, то бюджетом распоряжается Департамент молодежной политики Краснодарского края, поэтому точная информация о затраченных средствах остается неизвестной, но можно добавить лишь то, что затрат на данной организации никаких не весит, потому что Департамент все затраты берет на себя.

Список используемой литературы

1. Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

2. ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка).

3. Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости. Москва, 2009.

4. В.Ф. Шаньгин - Информационная безопасность компьютерных систем и сетей, Москва, ИД «ФОРУМ» - ИНФРА-М, 2008 г.

5. Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с. - ISBN 978-5-8041-0378-2.

6. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2-е изд.- 2004. - 544 с. ISBN 5-8291-0408-3.

7. Э. Мэйволд - Безопасность сетей [Электронный ресурс] - Режим доступа: <http://www.intuit.ru/department/security/netsec/11/1.html>.

8. Обнаружение сетевых атак [Электронный ресурс] - Режим доступа: http://www.osp.ru/pcworld/2003/06/165957/

9. Куприянов Д.В., Белоусова С.Н., Меликян А.В., Бессонова И.А., Кирсанов А.П.,Гиляревский Р.С., Кишкович Ю.П., Назаров С.В., Гудыно Л.П., Кириченко А.А., Исаев Д.В.,Кравченко Т.К., Егоров В.С., Пятибратов А.П.-Введение в програмные системы и их разработку-2012г.

10. Зинкевич В.П.,-Вычислительная техника и программирование: учебное пособие-2011 г.

Приложения

Приложение А

Классификация УБПДн, обрабатываемых в информационных системах персональных данных

Приложение Б

Место межсетевого экрана в сети

Приложение В

Пример proxy-сервера

Приложение Г

Конфигурация пользовательской VPN

Приложение Д

ЛВС повышенной защищенности

Размещено на Allbest.ru