О РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРМСКОГО ФИЛИАЛА ФГУП «РАДИОЧАСТОТНЫЙ ЦЕНТР ПРИВОЛЖКОГО ФЕДЕРАЛЬНОГО ОКРУГА»
- Авторы: Екимов О.Б.1, Шабуров А.С.2, Исаков И.П.2, Мазунин П.В.2, Шляков А.Н.2
- Учреждения:
- Пермский филиал ФГУП «Радиочастотный центр Приволжкого федерального округа»
- Пермский национальный исследовательский политехнический университет
- Выпуск: № 8 (2013)
- Страницы: 144-154
- Раздел: Статьи
- URL: https://ered.pstu.ru/index.php/elinf/article/view/2801
- DOI: https://doi.org/10.15593/вестник%20пермского%20национального%20исследовательского%20политехнического%20университета.%20электротехника,%20информационные%20технологии,%20системы%20управления.v0i8.2801
- Цитировать
Аннотация
Полный текст
В настоящее время для предприятий и организаций различных форм собственности приобретает особую актуальность решение проблемы по защите персональных данных. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу – субъекту (персональных данных) [1]. На сегодняшний день трудно найти предприятие, на котором не обрабатывались бы ПДн, либо работников организации (предприятия), либо ПДн сторонних лиц с использованием специально создаваемых информационных систем персональных данных. Информационная система персональных данных (ИС ПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств [1]. С одной стороны, необходимость защиты ИС ПДн обусловливается периодически происходящими фактами крупных утечек информации, мошенничеством с использованием чужих ПДн, которые способны нанести немалый ущерб. С другой стороны, необходимость защиты персональных данных достаточно подробно регламентируется требованиями законов и подзаконных актов, а также регулируется и контролируется ответственными за это органами государственной власти [2, 3]. Так, Законом №152-ФЗ «О персональных данных» для операторов (предприятий и организаций), использующих в своей деятельности информационные системы персональных данных (ИС ПДн), установлена обязанность принимать необходимые правовые, организационные и технические меры по обеспечению их безопасности. Кроме того, оператор обязан обеспечить защиту ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн. В большинстве случаев предоставление для обработки своих ПДн отдельным физическим лицом конкретной организации не вызывает опасения, поскольку ущерб от утраты таких данных не считается существенным. Вероятность ущерба значительно возрастает в ситуации массовой автоматизированной обработки ПДн, когда возможны крупномасштабные утечки, модификации или блокирование информационных систем. При этом ответственность за организацию безопасной обработки подобных информационных ресурсов полностью возлагается на оператора ИС ПДн. Необходимость решения проблемы защиты ИС ПДн актуальна для разнообразных видов деятельности, в том числе и в процессе деятельности государственных предприятий. Одним из таких предприятий являются Федеральное государственное унитарное предприятие «Радиочастотный центр Приволжского федерального округа» (ФГУП «РЧЦ ПФО») и его Пермский филиал. Основной задачей радиочастотной службы определено осуществление организационных и технических мер по обеспечению надлежащего использования радиочастот и радиочастотных каналов радиоэлектронных средств и высокочастотных устройств гражданского назначения. При этом с целью оказания качественных услуг осуществляется обработка ПДн как сотрудников организации, так и физических лиц, сотрудничающих с ФГУП «РЧЦ ПФО». На предприятии функционирует несколько автономных информационных систем: ИСПДн «Отдел кадров», ИС ПДн «Бухгалтерия», ИС ПДн «Контрагенты». ИС ПДн «Отдел кадров» и «Бухгалтерия» предназначены для обработки ПДн сотрудников филиала, таких как паспортные данные, сведения о начислении заработной платы и т.п. В ИС ПДн «Контрагенты» содержится информация о физических лицах, сотрудничающих с предприятием. Обработка ПДн на предприятии осуществляется преимущественно с использованием средств автоматизации, в частности, с применением различных программных средств. Центральный офис имеет доступ к ресурсам ИС ПДн филиалов посредством использования закрытых сетей связи, что требует дополнительных исследований и мер по защите информации. В данный момент в филиале завершился процесс физического переноса ИС ПДн «Бухгалтерия» и ИС ПДн «Отдел кадров» в главный офис предприятия. Взаимодействие пользователей филиала с этими системами будет осуществляться удаленно и строго в рамках выданных пользователю полномочий, поэтому требования по защите ПДн в этих системах будут обеспечиваться на уровне центрального аппарата ФГУП «РЧЦ ПФО». В данной статье рассматриваются требования по защите ПДн на примере ИСПДн «Контрагенты». В соответствии с нормативными требованиями [2] для принятия мер по защите информации в конкретной информационной системе необходимо определить для нее уровень защищенности ПДн. Для определения уровня защищенности ПДн выделяются следующие классификационные признаки обработки информации в системе, существенные с точки зрения ее защиты: - категория ПДн; - тип субъектов ПДн; - количество субъектов ПДн; - тип актуальных угроз информационной безопасности. На основании анализа данных, обрабатываемых в ИС ПДн «Контрагенты», определено следующее: - в информационной системе обрабатываются иные категории ПДн (не относящиеся к специальным или биометрическим), в объеме менее 100 000 субъектов ПДн; - для ИС ПДн актуальны угрозы 2-го типа, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. Требуемый уровень защищенности (УЗ) ИС ПДн «Контрагенты» определяется в соответствии с таблицей. Определение уровней защищенности ИС ПДн Категория ПДнКол-во и тип субъектов ПДнТип актуальных угроз 1-й тип2-й тип3-й тип Уровень защищенности СпециальныеБолее 100 0001 УЗ1 УЗ2 УЗ Менее 100 000 или сотрудники2 УЗ3 УЗ Биометрические–1 УЗ2 УЗ3 УЗ ИныеБолее 100 0001 УЗ2 УЗ3 УЗ Менее 100 000 или сотрудники3 УЗ4 УЗ ОбщедоступныеБолее 100 0002 УЗ2 УЗ4 УЗ Менее 100 000 или сотрудники3 УЗ На основе классификационных признаков ИС ПДн «Контрагенты» присваивается тип 3 УЗ. Для обеспечения данного уровня защищенности необходимо выполнение базовых требований информационной безопасности: - режим обеспечения безопасности помещений, предназначенных для обработки ПДн; - сохранность носителей ПДн; - определение лиц, допущенных к ПДн специальным перечнем; - использование сертифицированных средств защиты информации. Выполнение всех обязательных требований по уровням защищённости для конкретной ИС ПДн не всегда гарантирует информационную безопасность. Для наиболее полного учета всех особенностей ИС ПДн необходимы оценка всех возможных факторов, воздействующих на информацию, и разработка частной модели угроз безопасности. Разработка частной модели угроз информационной безопасности предполагает формирование следующих сведений: - об источниках угроз; - о характерных угрозах информационной безопасности; - о способах реализации угрозы; - об уязвимостях системы обработки информации; - о характере обрабатываемой информации. Качественно разработанная модель угроз ИС ПДн позволит в дальнейшем подобрать оптимальные технические и организационные меры по защите информации, создать эффективную систему защиты. В то же время неадекватная модель может не учесть существенные угрозы и привести как к неоправданным затратам материальных и финансовых ресурсов, так и утрате конфиденциальности, целостности и доступности самой информации ограниченного доступа. Порядок определения актуальных угроз безопасности информации и разработки частной модели угроз представлен на рис. 1. Определение исходного уровня защищенности ИС ПДн Выбор угроз ИС ПДн в соответствии с базовой моделью угроз, а также с учетом особенностей ИС ПДн Выбор показателя вероятности реализации угрозы посредством экспертной оценки Определение актуальных угроз ИС ПДн Выбор показателя опасности угрозы на основе экспертного опроса специалистов Выработка рекомендаций по предотвращению угроз информационной безопасности Рис. 1. Порядок разработки частной модели угроз безопасности ИС ПДн На основании проведенного анализа угроз информационной безопасности и разработки частной модели угроз для ИС ПДн «Контрагенты», помимо учтенных ранее, актуальными угрозами были признаны следующие: - утрата ключей и атрибутов доступа; - выход из строя аппаратно-программных средств; - разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке. По завершении оценки были разработаны рекомендации по их нейтрализации, а также рекомендованы следующие меры по защите информации: - учет и регулярные проверки наличия у сотрудников закрепленных за ними ключей; - резервирование технических средств обработки информации; - подписание сотрудниками организации обязательства о неразглашении информации ограниченного доступа. Для реализации требований по защите информации на предприятии используются следующие средства защиты: - программно-аппаратный комплекс «Аккорд АМДЗ»; - программный комплекс «ViPNet CUSTOM 3.2»; - антивирусное ПО «Dr.Web Antivirus»; - встроенные средства резервного копирования ПО Oracle 10.1.0.2. Общее расположение средств защиты информации представлено на рис. 2. Таким образом, в соответствии с учетом требований законодательства, приведенной классификацией и особенностями обработки информации в ИС ПДн «Контрагенты» установлены и реализуются меры по защите информации в соответствии с третьим УЗ: - идентификация и аутентификация субъектов доступа и объектов доступа; - управление доступом субъектов доступа к объектам доступа; - ограничение программной среды; - защита машинных носителей ПДн; - регистрация событий безопасности; - антивирусная защита; - обнаружение вторжений; - контроль (анализ) защищенности ПДн; - обеспечение целостности информационной системы и ПДн; - обеспечение доступности ПДн; - защита технических средств; - защита информационной системы, ее средств, систем связи и передачи данных; - выявление инцидентов и реагирование на них; - управление конфигурацией информационной системы и системы защиты персональных данных. Рис. 2. Расположение средств защиты информации для ИС ПДн «Контрагенты» При этом программно-аппаратный комплекс «Аккорд АМДЗ» используется в качестве средства идентификации и аутентификации пользователей при инициализации ПЭВМ, контроля целостности программной и аппаратной среды ПЭВМ. Программный комплекс «ViPNet CUSTOM 3.2» реализуется серверной и клиентской подсистемами и позволяет централизованно управлять идентификацией и аутентификацией пользователей при подключении к ИС ПДн, разграничивать доступ пользователей к информационным ресурсам сети, а также осуществляет функции межсетевого экранирования и шифрования передаваемой информации. Кроме того, комплекс мероприятий по обеспечению защиты ПДн на предприятии включает организационные и инженерно-технические меры по защите информации и обеспечению комплексной безопасности объекта информатизации. К организационным мерам по защите ПДн относятся: - доведение до сотрудников, принимаемых на работу, документов и требований по защите ПДн; - обеспечение охраны и режима на предприятии; - организация доступа в помещения, где осуществляется обработка ПДн; - установление персональной ответственности за нарушения правил обработки ПДн; - проведение регулярных и внеплановых проверок по контролю выполнения требований по защите ПДн; - назначение лица, ответственного за обеспечение безопасности ПДн. К инженерно-техническим мерам по защите информации, также реализованным на предприятии, относятся: - разработанные и внедренные системы охранно-пожарной сигнализации, видеонаблюдения, контроля и управления доступом на объект; - использование сертифицированных технических средств обработки информации; - использование сертифицированных технических средств защиты информации. Таким образом, проведенный анализ системы защиты ИС ПДн «Контрагенты», реализованной в Пермском филиале ФГУП «РЧЦ ПФО», позволяет сделать вывод о достаточном уровне защищенности ПДн, обрабатываемых в информационной системе, и адекватной характерным угрозам информационной безопасности. Реализация требований законодательства и нормативно-методического обеспечения по защите персональных данных как в ИС ПДн «Контрагенты», так и в других информационных системах позволяет поддерживать безопасную информационную среду предприятия, качественно и в срок выполнять основные задачи радиочастотной службы.Об авторах
Олег Борисович Екимов
Пермский филиал ФГУП «Радиочастотный центр Приволжкого федерального округа»
Email: 59@rfc.nnov.ru
614500, г. Пермь, шоссе Космонавтов, 316 кандидат технических наук, директор Пермского филиала ФГУП «Радиочастотный центр Приволжкого федерального округа»
Андрей Сергеевич Шабуров
Пермский национальный исследовательский политехнический университет
Email: shans@at.pstu.ru
614990, Пермь, Комсомольский пр., 29 кандидат технических наук, доцент кафедры автоматики и телемеханики Пермского национального исследовательского политехнического университета
Иван Павлович Исаков
Пермский национальный исследовательский политехнический университет
Email: iv1s@yandex.ru
614990, Пермь, Комсомольский пр., 29 студент кафедры автоматики и телемеханики Пермского национального исследовательского политехнического университета
Павел Витальевич Мазунин
Пермский национальный исследовательский политехнический университет
Email: pashkatwo@gmail.com
614990, Пермь, Комсомольский пр., 29 студент кафедры автоматики и телемеханики Пермского национального исследовательского политехнического университета
Александр Николаевич Шляков
Пермский национальный исследовательский политехнический университет
Email: pstuMazoku@gmail.com
614990, Пермь, Комсомольский пр., 29 студент кафедры автоматики и телемеханики Пермского национального исследовательского политехнического университета
Список литературы
- Федеральный закон от 27 июля 2006 г. № 152-фз «О персональных данных» // Российская газета. – 29 июля 2006. – № 4131.
- Постановление правительства от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Российская газета. – 7 ноября 2012. – № 5929.
- Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (зарег. в минюсте россии 14 мая 2013 г. № 28375) [Электронный ресурс]. – URL: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=law;n=146520 (дата обращения: 15.07.2013).
Статистика
Просмотры
Аннотация - 65
PDF (Russian) - 88
Ссылки
- Ссылки не определены.