ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА Разработка системы защиты персональных данных на предприятии
advertisement
Федеральное агентство связи Федеральное государственное бюджетное образовательное учреждение высшего образования «Поволжский государственный университет телекоммуникаций и информатики» Факультет Телекоммуникаций и радиотехники Направление Информационная безопасность телекоммуникационных систем Кафедра Мультисервисных сетей и информационной безопасности ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА Разработка системы защиты персональных данных на предприятии Разработал С.Ю. Понитков Самара 2017 Введение Проект по защите персональных данных, предполагает необходимость внутри компании осознать важность защиты персональных данных, обосновать перед всеми заинтересованными лицами, проанализировать риски невыполнения требований закона, определить примерную стоимость и сроки реализации проекта, просчитать его возможное влияние на текущую деятельность компании и выбрать оптимальное решение. Закон о персональных данных работает, регуляторы полны решимости навести порядок в сфере защиты персональных данных, о чем свидетельствуют проведенные проверки за прошлый год и план проверок на текущий 2016 год, размещенный на сайте Роскомнадзора. Любой гражданин, чьи персональные данные обрабатывает предприятие, может посчитать, что его персональные данные обрабатываются с нарушением закона и обратиться в Роскомнадзор за защитой своих прав. Инициатива может исходить от клиентов, конкурентов, сотрудников и прочих. В случае, когда в компании отсутствует даже видимость работ по защите персональных данных на момент проверки, можно ожидать строгих санкций за неисполнение требований законодательства по персональным данным, основные из которых: привлечение компании или ее руководителя к административной ответственности; принудительное приостановление или прекращение обработки персональных данных в компании; приостановление действия или аннулирование лицензий на основной вид деятельности компании. В любом случае, независимо от степени санкций, отрицательный результат проверки подрывает репутацию компании и, как следствие, вызывает недоверие со стороны клиентов, партнеров, сотрудников, что неминуемо приводит к оттоку клиентов, вносит нервозность в работу коллектива. Проводить проверки соблюдения требований законодательства о защите персональных данных могут три органа: Роскомнадзор, ФСТЭК России и ФСБ России, при этом: Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства; ФСТЭК России (Федеральная служба по техническому и экспортному контролю) осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств; ФСБ России (Федеральная служба безопасности РФ) - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации. [1] В настоящее время формируется правоприменительная практика в части привлечения к ответственности за нарушение требований законодательства о защите персональных данных, но пока еще остается ряд нерешенных вопросов. В соответствии со статьей 24 Федерального закона от 27.07.2006 № 152ФЗ "О персональных данных, лица, виновные в нарушении требований данного закона, дисциплинарную несут и гражданскую, иную уголовную, предусмотренную административную, законодательством РФ ответственность. Чтобы определить конкретные виды штрафов необходимо обратиться к "первоисточникам" - кодексу об административных правонарушениях, уголовному и трудовому кодексам. В связи с чем, рассмотрим возможные меры ответственности. 1. Защита персональных данных: уголовная ответственность В соответствии с нормами российского законодательства к уголовной ответственности могут быть привлечены исключительно физические лица, совершившие преступление, посягающее на интересы личности, общества и государства. Можно говорить, что именно нормы УК РФ отражают "основную цель" Федерального закона "О персональных данных" - защиту интересов субъектов. В частности, предусмотрена ответственность за следующие виды нарушения: Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Отягчающим обстоятельством по данному виду нарушений признается данное правонарушение, совершенное с использованием своего служебного положения (ст. 137 УК РФ). За неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ). Уголовная ответственность за указанные выше виды нарушения возможна различная: штраф до 300 тыс. руб.; обязательные работы от 120 до 180 часов; исправительные работы до 1 года; лишение свободы до 4-х лет; лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет. Также к уголовной ответственности могут быть привлечены лица, оказывающие услуги по технической защите информации, не имеющие на это лицензии, либо осуществление деятельности с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам, организациям или государству, либо сопряжено с извлечением дохода в крупном размере (более 1 500 тыс. руб.). Речь идет об уголовной ответственности по статье 171 НК РФ. Отягчающим признаком по данной статье признается совершение преступления организованной группой лиц, либо сопряженное с извлечением дохода в особо крупном размере (более 6 000 тыс. руб.). По данной статье также может быть применена ответственность в виде штрафа в размере до 500 тыс. руб., лишение свободы на срок до 5 лет. [2] Таким образом, операторам персональных данных не стоит забывать, что оказать консультационные услуги по подготовке организационнораспорядительной документации может любая организация, имеющая соответствующих специалистов, а оказать услуги в части технической защиты информации - только лицензиат ФСТЭКа России. Перечень нарушений, предусматривающих ответственность за нарушение требований законодательства в сфере персональных данных КоАП РФ, более широк. И в соответствии с нормами административного законодательства субъектом правонарушения может быть юридическое лицо, лицо, осуществляющее предпринимательскую деятельность без образования юридического лица, а также должностное лицо, а также граждане. Перечень возможных нарушений в части исполнения оператором ПДн своих обязанностей приведен в приложение А.1. Несмотря на значительный перечень статей, по которым операторы ПДн, а также их должностные лица операторов могут быть привлечены к административной ответственности существующая статистика показывает несколько иную картину. Как правило, в результате проведенной проверки Роскомнадзора оператор ПДн получает предписание на устранение выявленных нарушений. Например, за 2011 таких предписаний было выдано более 500. Если же после проведения проверок оператор не устраняет выявленные нарушения, то специалистами Роскомнадзора предпринимаются следующие шаги: составление протоколов об административных правонарушениях, а в дальнейшем вынесение постановления о привлечении операторов к административной ответственности; направление материалов проверок в органы прокуратуры. Также административная ответственность может быть применена в отношении лиц, оказывающих услуги по технической защите информации, в частности за осуществление деятельности без лицензии либо с нарушением условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (ст. 13.12 и 19.20 КоАП РФ). 1.1 Защита персональных данных: ответственность за нарушения трудового законодательства Необходимо понимать, что деятельность оператора ПДн - это в первую очередь деятельность сотрудников организации в части работы с персональными данными. При проведении мер по защите персональных данных важно не только разработать организационно-распорядительные документы, установить систему средств защиты, но и ознакомить, а в ряде случаев и обучить сотрудников правилам работы с персональными данными. Ведь в случае не Древосовестной работы сотрудника с персональными данными пострадает сама организация. [3] Таким образом, необходимо, чтобы работники помнили, что в соответствии с ТК РФ разглашение персональных данных, а также нарушение норм, регулирующих получение, обработку и защиту персональных данных работников, может грозить работнику организации увольнением (ст. 81, 90 ТК). В частности, пункт в статьи 81 ТК РФ предусматривает, что трудовой договор может быть расторгнут в случае разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей. Также согласно статье 90 ТК РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. Также следует помнить два важных момента: Действующее законодательство в сфере защиты персональных данных сравнительно молодое и содержит массу нерешенных однозначно вопросов. Соответственно, представляется целесообразным в спорных ситуациях обращаться для решения вопросов в суд. Причем результат рассмотрения дела предсказать довольно сложно. Порядок проведения плановых проверок операторов ПДн определен нормами Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". С учетом, нормы, предусмотренной пунктом 8 статьи 9 данного закона, плановая проверка оператора ПДн может быть проведена не ранее истечения трех лет с момента регистрации юридического лица, индивидуального предпринимателя. Для организаций, созданных более трех лет назад, следует учитывать, что проверка может проводится не ранее, чем по истечению трех лет с момента проведения последней плановой проверки. Особые сроки проведения плановых проверок (два и более раз в три года) установлены в отношении юридических лиц, индивидуальных предпринимателей, осуществляющих виды деятельности в сфере здравоохранения, сфере образования, в социальной сфере. Перечень видов деятельности в этих отраслях, в отношении которых плановые проверки проводятся с установленной периодичностью, утверждены Постановлением Правительства РФ от 23.11.2009 № 944. 2. Основание для проведения работы Целью данной дипломной работы является проведение аудита ИСПДн и выработка рекомендаций по приведению ИСПДн в соответствие с законодательством РФ. Основные этапы работы: обследование информационной безопасности АС; сбор информации о структуре АС; сбор информации об организационной инфраструктуре безопасности на рабочих местах и наличии обязанностей по обеспечению информационной безопасности для сотрудников всех должностей; анализ документирования процессов обслуживания и администрирования АС; сбор информации об оборудовании сети; сбор информации о программном обеспечении АС; сбор информации о мерах антивирусной защиты, применяемых в АС; сбор информации о мерах разграничения доступа, применяемых в АС; сбор информации о документации в области защиты информации, принятой в АС; оценка уровня подготовки персонала к решению задач информационной безопасности АС; Определить цели, правовое основание, условия и принципы обработки ПДн; Определение угроз безопасности персональных данных; Анализ документов политики и стратегии информационной безопасности АС; Этапы и результаты выполнения работ по обеспечению безопасности ПДн представлены в таблице 1.1. Таблица 1.1 Этапы и результаты выполнения работ по защите ПДн № Этап Результат п.п. 1 Определить какие программные и Перечень технические средства используются в программных и технологических процессах, в рамках технических средств. которых обрабатываются сведения конфиденциального характера (в том числе ПДн). 2 Выявление автоматизированных Перечень ИСПДн. информационных систем, содержащих персональные данные. 3 Определить работников организации Список (должности), участвующих в работников имеющих технологических процессах, в рамках доступ которых обрабатываются все к ПДн, сведения утвержденных конфиденциального характера (в том приказом директора. числе ПДн). участия Определить указанных степень работников обработке в сведений конфиденциального характера 4 Определить цели, правовое основание, Цели условия и принципы обработки ПДн. персональных данных. 5 Определить состав обрабатываемых в организации ПДн и срок хранения сведений конфиденциального характера (в том числе ПДн) 2.1 Проблематика работы сетей организации обработки Сети организаций чаще всего не готовы к атакам, так как их протоколы, очень часто, не предусматривают использования процедур шифрования, аутентификации, разделения прав доступа и прочих механизмов обеспечения безопасности вычислительных сетей. [4] Подход к построению сетей изменился. Для того, чтобы успешно атаковать хакеру необходимо собрать предварительную информацию об атакуемой сети. Прежде всего, хакера будет интересовать состав и архитектура атакуемой сети, а также, точки подключения данной сети к сети интернет. Информацию о составе сети и архитектуре очень часто можно получить на сайте атакуемой компании или на сайте производителя оборудования АСУ в виде опубликованных пресс-релизов о внедрении. Кроме того, можно использовать техники социальной инженерии для сбора этой информации непосредственно у специалистов атакуемой компании через социальные сети, сайты трудоустройства, профильные форумы и пр. Поиск точек подключения к интернет осуществляется при помощи сканеров информационной безопасности или путем использования поисковика Shoudan. [5] После того, как была собрана предварительная информация об объекте атаки, необходимо выбрать инструменты, которые позволят эффективно атаковать. Поскольку эти сети далеко не всегда используют полный стек протоколов TCP/IP, скорее всего, придется искать специализированные сканеры или отладчики для протоколов. На следующем этапе, ищутся уязвимости ПО и оборудования имеющего выход в интернет, поиск происходит при помощи сканеров уязвимостей, по собранной информации определяется какими уязвимостями обладают узлы атакуемой сети, что позволяет выбрать конкретный метод атаки сети. На первом этапе целью хакера является получение прав доступа в атакуемую сеть, и лишь потом он будет пытаться получить доступ к сегменту сети. На втором этапе атаку сильно упросит отсутствие в специализированных сетях разделения прав доступа, отсутствие шифрования и аутентификации информации. Чаще всего, для полноценной эксплуатации уязвимостей промышленных сетей хакеру придется собрать информацию и детально разобраться с протоколом этой сети и уже после этого самостоятельно реализовать перехватчик запросов или вирус для промышленной сети. Такой подход требует высокой квалификации атакующего. Уязвимости можно разделить на несколько типов, классификация согласно стандарта NIST SP 800-115 приведена в таблицах в Приложении А. 3. Описание процесса деятельности ООО “Древо Групп” обладает постоянными квалифицированными строительными кадрами, численностью 3490 человек, необходимой технической базой машин, механизмов и оборудования, опытом работы в различных районах страны (Тюменская область, включая приполярные районы, север Урала, Краснодарский край, Самарская область). В состав Общества входят 13 структурных подразделений. [6] В структуре “Древо” находится собственная база строительной индустрии по выпуску стройматериалов. Это железобетонные и бетонные изделия, кирпич, металлические конструкции, керамзит и т.д. Для выполнения спецработ созданы специализированные участки. Для работы в ООО “Древо” используется совокупность серверов хранения и обработки информации и автоматизированных рабочих мест, объединенных в локальную вычислительную сеть. Также ИСПДн включает в себя персонал, осуществляющий обработку информации, и обслуживающий персонал. В ИСПДн предусмотрен многопользовательский режим работы. При этом пользователи обладают различными правами на доступ к ПДн, обрабатываемым в ИСПДн ООО “Древо”. В состав технических средств ИСПДн ООО “Древо” входит: серверное оборудование; рабочие станции пользователей ИСПДн; сетевое оборудование (активное и пассивное). Информация хранится на серверах ИСПДн в виде файлов. Пользователи ИСПДн получают доступ к информации с использованием механизмов сетевого доступа к файлам и папкам. Обработка информации осуществляется на типовых АРМ пользователей с использованием программ “1С:Зарплата и управление персоналом 8”. За каждым пользователем закрепляется выделенное АРМ, и работа пользователя на других АРМ запрещается. Ввод информации в ИСПДн осуществляется пользователями на своих АРМ с клавиатуры. Для вывода информации из ИСПДн используется лазерный принтер, установленный в помещении пользователя. 3.1 Сведения об использованных нормативно-технических документах Диплом разработан на основе следующих нормативных правовых актов и стандартов Российской Федерации: Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Постановление Правительства № 781 - Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных". Приказ федеральной службы по техническому и экспортному контролю от 5 февраля 2010 года № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных». Документы ФСБ - «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года). Регламент ФСБ - Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173). Регламент Роскомнадзора Административный - регламент проведения проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 630 от 01.12.2009 года). Документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждена Заместителем Директора ФСТЭК 15 февраля 2008 года). Документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждена Заместителем Директора ФСТЭК 15 февраля 2008 года). Постановление Правительства № 687 - Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ. Федеральный закон от 19.12.2005 г. №160-ФЗ «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных». Постановление правительства Российской Федерации от 06.07.2008г. № 512 об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Приказ Федерального агентства правительственной связи и информации при президенте Российской Федерации от 13.06.2001г. №152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передаче по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». Приложение к приказу ФСТЭК России от 5 февраля 2010 г. № 58 «Положение о методах и способах защиты информации в информационных системах персональных данных». Нормативно-методический документ ФСТЭК РФ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». Руководящий документ: Защита от несанкционированного доступа к информации. Концепция автоматизированных защиты систем средств от вычислительной техники и несанкционированного доступа к информации. Руководящий документ: Классификация автоматизированных систем и требования по защите информации. Руководящий документ: Показатели защищенности от несанкционированного доступа к информации. Руководящий документ: Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Руководящий документ: Показатель защищенности от несанкционированного доступа к информации. Руководящий документ: Защита информации. Специальные защитные знаки. Классификация и общие требования. Руководящий документ: Средства защиты Информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых системах и требования по защите информации. 4. Обследование ИСПДн Первым этапом в разработке системы информационной безопасности ИСПДн является, обследование используемой ИСПДн в ООО “Древо”, и ее оценка в соответствии с требованиям РФ о защите ПДн. Общие сведения: здание оборудовано пожарно-охранной сигнализацией. Внешний периметр и все коридоры здания оснащены системой видеонаблюдения. В здании введен круглосуточный контроль доступа в контролируемую зону, который осуществляется ведомственной охраной Локально-вычислительная сеть предприятия предназначена для обеспечения информационного потока внутри организации. В сеть входят автоматизированные рабочие места работников в количестве 130 штук, на 10 из которых обрабатываются персональные данные. Соединение конечных станций (АРМ пользователей) к локальной компьютерной сети предприятия осуществляется за счет коммутаторов Cisco Catalyst серии 2960 и HP ProCurve Switch 2510-48. В состав сети входит группа серверов в количестве 12 шт. Развернуто оборудование ip телефонии посредством ip-cisco связи. Доступ к сети Internet организуется на основе сервера подключенного к глобальной сети Internet, работающих под управлением операционной системы Microsoft windows 2003 server, с установленным программным комплексом Kerio control. [6] Аппаратное обеспечение предприятия, можно просмотреть в таблице 4.1 Таблица 4.1 Аппаратное обеспечение предприятия Коммутаторы Количество Расположени е Cisco Catalyst серии 2960 7 серверная HP ProCurve Switch 2510-48 1 серверная Серверное оборудование Количество Расположени е Intel(R) Xeon(R) CPU 3210 @ 3 серверная @ 1 серверная 2.40GHz/2Gb RAM/3HDDx60Gb Intel(R) Xeon(R) CPU 5620 2.40GHz/24Gb RAM/5HDDx400Gb Серверное оборудование Количество Расположени е Intel(R) Xeon(R) CPU 5530 @ 1 серверная @ 1 серверная @ 3 серверная @ 1 серверная @ 1 серверная 2.40GHz/3Gb RAM/3HDDx60Gb Intel(R) Xeon(R) CPU 3220 2.40GHz/2Gb RAM/3HDDx40Gb Intel(R) Xeon(R) CPU 5420 2.50GHz/4Gb RAM/4HDDx120Gb Intel(R) Xeon(R) CPU 5410 2.33GHz/4Gb RAM/5HDDx120Gb Intel(R) Xeon(R) CPU 5440 2.80GHz/10Gb RAM/4HDDx120Gb Персональные компьютеры Количество Расположени е Pentium G840 @ 2.80GHz/4Gb 40 серверная @ 2.40Ghz/2Gb 40 серверная Ram/1HDDx500Gb Pentium IV Ram/1HDDx160Gb Core 2 duo E6400 @2.13Ghz/4Gb 60 серверная Ram/1HDDx500Gb Общий план помещения объекта (рис.) с расположением ОТСС и ВТСС до начала работ по приведению ИСПДн в соответствие к требованиям по защите ПДн приведен на рисунке 1. Вход в помещение серверной оборудовано стеклянной дверью, закрывающаяся на замок. Системы видеонаблюдения расположены в коридоре. Рис. 4.1 – Общий план помещения серверной до выполнения рекомендаций – Сервер. – Камера видеонаблюдения. – Пожарно-охранная сигнализация. – Рабочее место администратора сети. – Помещение в которой расположены сервер, на которых обрабатываются и хранятся ПДн. 4.1 Логическая организация сети до выполнения рекомендаций Логическая организация сети представляет собой клиент-серверное соединение, при котором все ПДн обрабатываются и хранятся на серверах, подключенных к общей сети. Выход в интернет осуществляется с любого компьютера через сервер, подключенный к интернет провайдеру «Эртелеком». Аппаратные средства защиты от НСД при доступе в интернет отсутствуют. Средствами защиты информации в информационной системе являются сертифицированный антивирус Dr.Web Security Suite со встроенной системой обнаружения вторжений, а также установлен программный комплекс по обеспечению безопасности и мониторингу сети Kerio Control 7.3.1. Логическая организация сети до выполнения рекомендаций представлена на рис. 4.2 Рис.4.2 – Локально вычислительная сеть организации до выполнения рекомендаций - Сервер. – Компьютер пользователя. – Антивирус Dr.Web. – Комплексная система безопасности и мониторинг сети Kerio control. – Компьютеры подключенных к общей сети и имеющие доступ к ПДн. – Компьютеры подключенные к общей сети и не имеющие доступ к ПДн. – Ip телефония с подключенными компьютерами в общую сеть, не имеющих доступ к ПДн. – Компьютеры администраторов сети, имеющих доступ к ПДн. 5. Объекты и субъекты защиты Исходя из характерных особенностей объекта информатизации, применяемых средств и систем, технологии обработки информации, определим следующий перечень объектов и субъектов защиты: 1. Объекты защиты: персональные данные; защищаемое помещение; локальная вычислительная сеть (сетевое программное обеспечение, активное и пассивное сетевое оборудование, кабельная система); серверная (сервера, серверное системное и прикладное программное обеспечение, средства хранения информации, средства ввода и вывода информации); съёмные технические носители информации; информация на бумажных носителях; служебные АРМ (администраторов безопасности, ЛВС, СУБД); АРМ пользователя. 2. Субъекты защиты: работники «ООО Древо», пользователи информационных ресурсов; обслуживающий персонал (администраторы АС, ЛВС, Администратор безопасности СКЗИ); работники безопасности. подразделений информационной и собственной 5.1 Модель вероятного нарушителя информационной безопасности Описание возможных нарушителей По признаку принадлежности к ИСПДн все нарушители делятся на две группы: 1. Внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн. [7] 2. Внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн. Таблица 5.1 Категории нарушителей Тип нарушителя Категория нарушителя Внутренний нарушитель Администраторы ИСПДн. 1 Пользователи ИСПДн. 2 Сотрудники, имеющие санкционированный доступ в 3 служебных целях в помещения, в которых размещаются ресурсы ИСПДн, но не имеющие права доступа к ресурсам. Обслуживающий персонал (охрана, работники 4 инженерно-технических служб и т.д.). Уполномоченный персонал разработчиков ИСПДн, 5 который на договорной основе имеет право на техническое обслуживание компонентов ИСПДн. Внешний нарушитель и модификацию Бывшие сотрудники – администраторы или 6 пользователи ИСПДн. Посторонние лица, пытающиеся получить доступ к 7 ПДн в инициативном порядке. 5.2 Внутренний нарушитель Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий. [8] Исходя из особенностей функционирования ИСПДн, допущенные к ней физические лица, имеют разные полномочия на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться: администраторы ИСПДн (категория I); пользователи ИСПДн (категория II); сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются ресурсы ИСПДн, но не имеющие права доступа к ресурсам (категория III); обслуживающий персонал (охрана, работники инженерно- технических служб и т.д.) (категория IV); уполномоченный персонал разработчиков ИСПДн, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ИСПДн (категория V). На лиц I категории возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями. [9] Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности. Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть, как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников). Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием. На лиц II категории возложены задачи по использованию программноаппаратных средств и баз данных ИСПДн. Пользователи потенциально могут реализовывать угрозы ИБ используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них полномочиями. К лицам категорий I и II ввиду их исключительной роли в ИСПДн должен применяться комплекс особых организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Предполагается, что в число лиц категорий I и II будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей. Предполагается, что лица категорий III-V относятся к вероятным нарушителям. Предполагается, нарушителей маловероятна контролирующих мер. что возможность ввиду принятых сговора внутренних организационных и 5.3 Внешний нарушитель В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны. [10] Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки. К внешним нарушителям могут относиться: бывшие сотрудники – администраторы или пользователи ИСПДн (категория VI); посторонние лица, пытающиеся получить доступ к ПДн в инициативном порядке (категория VII). Лица категории VI хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности. Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть, как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников). Лица категории VII могут быть знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, но не знакомы с применяемыми принципами и концепциями безопасности на объекте ИСПДн. Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников). Лица категорий VI и VII потенциально могут реализовывать угрозы ИБ, используя возможности по несанкционированному доступу к защищаемой информации по каналам связи, обрабатываемой и хранимой в ИСПДн ТБ. Предполагается, что лица категорий VI и VII относятся к вероятным нарушителям. 5.4 Предположения об имеющейся у нарушителя информации об объектах реализации угроз В качестве основных уровней знаний нарушителей об АС можно выделить следующие: информации о назначения и общих характеристиках ИСПДн; информация, полученная из эксплуатационной документации; информация, дополняющая эксплуатационную информацию об ИСПДн (например, сведения из проектной документации ИСПДн). В частности, нарушитель может иметь: данные об организации работы, структуре и используемых технических, программных и программно-технических средствах ИСПДн; сведения об информационных ресурсах ИСПДн: порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков; данные об уязвимостях, включая данные о недокументированных (недекларированных) возможностях технических, программных программно-технических средств ИСПДн; данные о реализованных в СЗИ принципах и алгоритмах; исходные тексты программного обеспечения ИСПДн; сведения о возможных каналах реализации угроз; информацию о способах реализации угроз. и Предполагается, что лица категорий III – VII не владеют парольной и аутентифицирующей информацией, используемой в АС. Предполагается, что лица категорий V – VI обладают чувствительной информацией об ИСПДн и функционально ориентированных АС, включая информацию об уязвимостях технических и программных средств ИСПДн. Организационными мерами предполагается исключить доступ лиц категории V к техническим и программным средствам ИСПДн в момент обработки с использованием этих средств защищаемой информации. Предполагается полностью исключить доступ лиц категорий VI – VII к техническим и программным средствам ИСПДн. Таким образом, наиболее информированными об АС являются лица категорий V – VI. Степень информированности нарушителя зависит от многих факторов, включая реализованные конкретные организационные меры и компетенцию нарушителей. Поэтому объективно оценить объем знаний вероятного нарушителя в общем случае практически невозможно. В связи с изложенным, с целью создания необходимых условий безопасности персональных данных предполагается, что вероятные нарушители обладают всей информацией, необходимой для подготовки и реализации угроз, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация. 5.5 Предположения об имеющихся у нарушителя средствах реализации угроз Предполагается, что нарушитель имеет: - аппаратные компоненты СЗПДн и СФ СЗПДн; - доступные в свободной продаже технические средства и программное обеспечение. Предполагается что содержание и объем персональных данных, находящихся в ИСПДн не достаточны для мотивации применения нарушителем специально разработанных технических средства и программного обеспечения. Внутренний нарушитель может использовать штатные средства. Состав имеющихся у нарушителя средств, которые он может использовать для реализации угроз ИБ, а также возможности по их применению зависят от многих факторов, включая реализованные на объекте ИСПДн конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Поэтому объективно оценить состав имеющихся у нарушителя средств реализации угроз в общем случае практически невозможно. Поэтому, для определения актуальных угроз и создания СЗПДн предполагается, что вероятный нарушитель имеет все необходимые для реализации угроз средства, доступные в свободной продаже, возможности которых не превосходят возможности аналогичных средств реализации угроз на информацию, содержащую сведения, составляющие государственную тайну, и технические и программные средства, обрабатывающие эту информацию. Вместе с тем предполагается, что нарушитель не имеет: средств перехвата в технических каналах утечки; средств воздействия через сигнальные цепи (информационные и управляющие интерфейсы СВТ); средств воздействия на источники и через цепи питания; средств воздействия через цепи заземления; средств активного воздействия на технические средства (средств облучения). Предполагается, что наиболее совершенными средствами реализации угроз обладают лица категории V-VII. 5.6 Описание объектов и целей реализации угроз информационной безопасности Основными информационными ресурсами, обрабатываемыми в ИСПДн являются следующие: 1. Целевой информацией являются персональные данные сотрудников. 2. Технологическая информация: защищаемая управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.); защищаемая технологическая информация средств доступа к системам управления ИСПДн (аутентификационная информация и др.); информационные ресурсы ИСПДн на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами ИСПДн (программное обеспечение, конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.) или средств доступа к этим системам управления (аутентификационная информация и др.); информация о СЗПДн, их структуре, принципах и технических решениях защиты; информационные ресурсы ИСПДн (базы данных и файлы), содержащие информацию о информационно- телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах. 3. Программное обеспечение: программные информационные ресурсы ИСПДн, содержащие общее и специальное программное обеспечение, резервные копии общесистемного программного обеспечения, инструментальные средства и утилиты систем управления ресурсами ИСПДн, чувствительные по отношению к случайным и несанкционированным воздействиям, программное обеспечение средств защиты. Предполагается, что не являются объектами реализации угроз: технические каналы утечки информации; сигнальные цепи (информационные и управляющие интерфейсы СВТ); источники и цепи электропитания; цепи заземления. Целью реализации угроз является нарушение определенных для объекта реализации угроз характеристик безопасности (таких как, конфиденциальность, целостность, доступность) или создание условий для нарушения характеристик безопасности объекта реализации угроз. 5.7 Описание каналов реализации угроз информационной безопасности Возможными каналами реализации угроз информационной безопасности могут быть, каналы доступа, образованные с использованием специально разработанных технических средств и программного обеспечения. Предполагается, что не являются каналами реализации угроз: технические каналы утечки; сигнальные цепи; источники и цепи электропитания; цепи заземления; каналы активного воздействия на технические средства с помощью облучения. 6. Основные способы реализации угроз информационной безопасности При определении информационной основных безопасности способов ресурсов реализации ИСПДн, угроз учитывались необходимость обеспечения информационной безопасности на всех этапах жизненного цикла ИСПДн, компонентов, условий функционирования ИСПДн, а также предположения о вероятных нарушителях. Возможны следующие способы реализации угроз информационной безопасности ИСПДн: несанкционированный доступ к защищаемой информации с использованием штатных средств ИСПДн и недостатков механизмов разграничения доступа; негативные воздействия на программно-технические компоненты ИСПДн вследствие внедрения компьютерных вирусов и другого вредоносного программного обеспечения; маскировка под администратора ИСПДн, уполномоченного на необходимый нарушителю вид доступа с использованием штатных средств, предоставляемых ИСПДн; осуществление прямого хищения (утраты) элементов ИСПДн, носителей информации и производственных отходов (распечаток, списанных носителей); компрометация технологической (аутентификационной) информации путем визуального несанкционированного просмотра и подбора с использованием штатных средств, предоставляемых ИСПДн; методы социальной инженерии для получения сведений об ИСПДн, способствующих созданию благоприятных условий для применения других методов; использование оставленных без присмотра незаблокированных средств администрирования ИСПДн и АРМ; сбои и отказы программно-технических компонентов ИСПДн; внесение неисправностей, уничтожение технических и программнотехнических компонентов ИСПДн путем непосредственного физического воздействия; осуществление несанкционированного доступа к информации при ее передаче. 6.1 Определение уровня исходной защищенности ИСПДн Под уровнем исходной защищенности понимается обобщенный показатель как показано в таблице, зависящий от технических и эксплуатационных характеристик ИСПДн. Таблица 6.1 Уровень исходной защищенности ИСПДн характеристики ИСПДн Уровень 1. По территориальному размещению: Низкий й й Средни Высоки защищенности - + - 2. По наличию соединения с сетями общего - - + - + корпоративная охватывающая распределенная многие подразделения ИСПДн, одной организации. пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования. 3. По встроенным (легальным) операциям с записями баз персональных данных: модификация, передача. 4. По разграничению доступа к персональным - + - + - + - данным: ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн. 5. По наличию соединений с другими базами ПДн иных ИСПДн: ИСПДн, в которой используется несколько баз ПДн, принадлежащих организации - владельцу данной ИСПДн. 7. По объему ПДн, которые предоставляются сторонним пользователям предварительной ИСПДн обработки: предоставляющая часть ПДн. без ИСПДн, В соответствии с Таблицей, Y1=10 и ИСПДн имеет низкую степень исходной защищенности, так как не выполняются условия по пунктам: ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу). ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности. 6.2 Вероятность реализации УБПДн Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для ИСПДн в складывающихся условиях обстановки. Числовой коэффициент (Y2) для оценки вероятности возникновения угрозы определяется по 4 вербальным градациям этого показателя: маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (Y2 = 0); низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y2 = 2); средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y2 = 5); высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y2 = 10). При обработке персональных данных в ИСПДн можно выделить следующие угрозы: 6.3 Рекомендации по приведению в соответствие ИСПДн требованиям к классам защищенности ПДн Ввиду исключительной роли в ИСПДн лиц категорий I и II в число этих лиц должны включаться только доверенные лица, к которым применен комплекс организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Лица категорий III-VII относятся к вероятным нарушителям. Среди лиц категорий III-VII наиболее опасными вероятными нарушителями являются лица категорий V-VI (уполномоченный персонал разработчиков ИСПДн, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ИСПДн, бывшие сотрудники). На основании проведенного анализа можно сделать вывод. Были выявлены следующие актуальные угрозы: кража носителей информации; кража ключей и атрибутов доступа; несанкционированное отключение средств защиты; вывод из строя узлов ПЭВМ, каналов связи; действия вредоносных программ (вирусов); установка ПО не связанного с обязанностей; утрата ключей и атрибутов доступа; исполнением служебных непреднамеренная модификация (уничтожение) информации сотрудниками; выход из строя аппаратно-программных средств; угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации; перехват в пределах контролируемой зоны внутренними нарушителями; перехват в пределах контролируемой зоны внешними нарушителями; перехват за переделами с контролируемой зоны; угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др; угрозы удаленного запуска приложений; угрозы выявления паролей по сети. Для снижения УБПДн мною рекомендуется осуществить следующие мероприятия: Разработать следующие инструкции: администратора безопасности ИСПДн; пользователя по обеспечению безопасности при обработке персональных данных; инструкция ответственному за обеспечение персональных данных; по проведению антивирусного контроля в ИСПДн; по организации парольной защиты ИСПДн. Ввести в эксплуатацию: приказ о назначении администратора безопасности; безопасности приказ о назначении ответственного за обеспечение безопасности персональных данных; акт категорирования ИСПДн; перечень защищаемых ресурсов на объекте информатизации; описание технологического процесса обработки информации в ИСПДн; состав программного обеспечения, установленного в ИСПДн; список лиц, имеющих доступ в помещения, в которых расположена ИСПДн; список сотрудников, допущенных к техническому обслуживанию ИСПДн; технический паспорт ИСПДн; разрешительная система доступа к информационным (программным) ресурсам ИСПДн; журнал учета фактов НСД; журнал проверок на наличие компьютерных вирусов; журнал смены паролей в ИСПДн; приказ о вводе в эксплуатацию ИСПДн. 3. Установка СЗИ от НСД. 4. Установка противопожарной металлической двери в серверную. 5. Установка системы контроля и управления доступом в серверную. 6.4 Рекомендуемая логическая организация сети На основании проведенного анализа, в соответствии со 2 классом защищенности ИСПДн, для снижения актуальных угроз, мною рекомендована следующая организация сети, представленная на рисунке 5. Я рекомендую, разграничить, используемую сеть организации на 2 виртуальные сети, с помощью коммутаторов Cisco. Когда сеть разбита на VLAN, упрощается задача применения политик и правил безопасности. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики разрешающие или запрещающие доступ из VLAN в VLAN. Также следует создать 2 корневых домена, для более эффективного разделения и ограничения доступа по сети, в одном домене будут находиться пользователя не имеющие доступ к ПДн, а во втором домене пользователи имеющие доступ к ПДн. На основе проведенного анализа СЗИ от НСД мною были выбраны следующие средства защиты: 1. Использовать средство защиты информации Secret Net 6 (версия 6.5, автономный, вариант К) (Сертификат ФСТЭК № 2227 до 3.12.2013 соответствует руководящим документам по 4-му уровню контроля на отсутствие НДВ и 5-му классу защищенности по СВТ. Может использоваться в автоматизированных системах до класса 1Г включительно и в ИСПДн до 1 класса включительно). 2. Аппаратный сертифицированный межсетевой экран Cisco ASA 5510 Appliance with DC power, SW, HA, 4GE+1FE, DES (изделие имеет сертификат ФСТЭК №1264 до 13.03 2015г.). 3. Для серверов входящих в сеть, в которой обрабатываются ПДн, использовать аппаратно-программное средство защиты от несанкционированного доступа «Соболь». Также следует использовать, но не обязательно, распределенный межсетевой экран высокого класса защиты с централизованным управлением TrustAccess, для защиты серверов и рабочих станций локальной сети от несанкционированного доступа, разграничения информационным системам предприятия. сетевого доступа к Заключение В процессе достижения поставленной цели были решены все поставленные передо мной задачи. При анализе нормативных документов по защите персональных данных были исследованы документы ФСТЭК, при этом были составлены конкретные требованиями по защите ПДн и определены типы СЗИ, выполняющие данные требования. Полученные данные стали основой для предложенного проекта по технической защите ИСПДн. Проведено обследование ИСПДн. Предложены конкретные варианты создания комплексной системы защиты. Результатом дипломной работы стал законченный проект системы обеспечения защиты персональных данных. Так же начато внедрение предложенных мер по обеспечению безопасности. законодательство сервер автоматизированный безопасность Список использованных источников 1. Баймакова, И.А. Обеспечение защиты персональных данных [Текст] / И.А. Баймакова, А.В. Новиков – М.: 1С-Паблишинг, 2010. 270 с. 2. Белов Е.Б., Лось В.П. Основы информационной безопасности. М.: Горячая Линия-Телеком, 2006. 544 с. 3. Галатенко В.А. [Текст] Стандарты информационной безопасности. М.: Интернет-университет информационных технологий, 2008. 264 с. 4. Петров М.И.[Текст] Постатейный комментарий к Федеральному закону "О персональных данных". М.: Юстицинформ, 2007. 160 с. 5. Семкин С.Н., Беляков Э.В [Текст] Основы организационного обеспечения информационной безопасности объектов информатизации. М.: Гелиос АРВ, 2005. 192 с. 6. Тихомирова Л. [Текст] Защита персональных данных работника. Учебнопрактическое пособие. М.: Издание Тихомирова М. Ю., 2008. 58 с. 7. «СТР-К (Россия). Специальные требования и рекомендации по технической защите конфиденциальной информации» 8. Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденное постановлением Совета Министров Правительства от 15.09.93г. N 912-51» 9. Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» 10. Постановление Правительства Российской Федерации от 17 ноября 2007. N 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 11. Постановление Правительства Российской Федерации от 15 сентября 2008. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 12. Приказ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» 13. Приказ Россвязькомнадзора №08 от 17.07.2008 «Об утверждении образца формы уведомления об обработке персональных данных» 14. Приказ ФСТЭК от 5 февраля 2010. N 58 «Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных» 15. Трудовой кодекс Российской Федерации. М.: Кнорус, 2011 г. 2008 с. Размещено на Allbest.ru
