Программные средства защиты информации;
К ним относятся программы защиты доступа (идентификация, разграничение доступа, контроль регистрации), копирования (защищает авторское право), разрушения информации, обнаружения вторжения. Наиболее известными являются: встроенные средства защиты в операционной системе, криптографические средства (криптопровайдеры Microsoft, Shipka, КриптоПро, VipNet), антивирусные программы (Avira, Avast, Panda, ESET NOD32, Dr. Web), межсетевой экран, VPN, системы обнаружения вторжений.
Раздел 5 Организационные меры защиты информации
Организационные меры носят процедурный и административный характер. Они регулируют процессы использования ресурсов различных систем, действия персонала и информационной системы данных. Таким образом, организационные меры делятся на административные и процедурные меры.
Для того чтобы система защиты информации функционировала наиболее эффективно, можно создать службу компьютерной безопасности. Она обладает определенными функциями и имеет свой организационно-правовой статус. Чаще всего службу составляет несколько человек: сотрудник группы безопасности, администратор безопасности систем, администратор безопасности данных и руководитель группы.
Сотрудник группы безопасности помогает пользователям, контролирует набор программ и данных, обеспечивает управление группы защиты. Администратор может изменять, вводить в реализацию имеющиеся средства защиты, контролирует состояние данных, общается с другими администраторами. Руководитель контролирует работу всех групп, следит за состоянием оборудования, программного обеспечения, организует меры по созданию эффективных мер защиты.
Существует также классификация организационно-технических мер по созданию и дальнейшему поддержанию работы системы защиты информации:
разовые;
по необходимости;
периодические;
постоянные.
Помимо регулярного мониторинга работы системы безопасности, следует разработать некоторые организационные документы.
Раздел 6 Цикл обработки персональных данных
На каждом этапе существования данных должны быть четко определены условия и порядок их обработки и существования. Все это говорит о том, что должны быть разработаны особые процедуры, позволяющие правильно работать с данными (сбор, учет, хранение, регистрация, уничтожение, использование).
Если говорить о персональных данных, то под жизненным циклом понимают период от их возникновения в информационной системе до полного уничтожения.
Применительно к строительной компании, жизненный цикл персональных данных при трудоустройстве будет описан далее. Человек, желающий начать работу в строительной компании, приходит в саму организацию, где его направляют в отдел кадров. В соответствии со статьей 24 Конституции РФ, человек подписывает соглашение на обработку персональных данных.[2]
Далее сотрудник отдает все необходимые для трудоустройства документы:
Документ, удостоверяющий личность;
Трудовую книжку (заводят в организации, если ранее не заводилась);
Страховое свидетельство государственного пенсионного страхования;
Свидетельство о постановке на учет в налоговом органе;
Документ об образовании;
Документы воинского учета.
Также им сообщается иные данные, представленные в Разделе 2 Главы 2, что позволяет в конечном итоге заключить трудовой договор и внести сотрудника в базу данных сотрудников компании. Данные, которые были получены от сотрудника, отправляются в налоговою, военкомат, банк (для оформления счета). В случае изменений каких-либо данных работника, утверждается приказ об изменении в документах, содержащих персональные данные работника. Происходит смена личной карточки, составляется дополнительное соглашение к трудовому договору.
На основе положений действующего закона работодателем определяются сроки хранения персональных данных. Чаще всего они являются либо постоянными, либо 75 лет (утверждено Росархивом). В течение данного срока персональные данные нельзя уничтожить или обезличить. После истечения срока, данные можно обезличить в ИС и уничтожить на бумажных носителях. Возможно обезличивание персональных данных по письменному заявлению субъекта этих данных при условии, что все договорные отношения завершены уже более пяти лет.
В данной главе было рассмотрено устройство информационных систем персональных данных. Это помогло наилучшим образом представить, какие существуют модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.
Глава 3. Разработка мер по обеспечению защиты персональных данных на предприятии
Раздел 1 Основные мероприятия по защите ЛВС и БД
Для того, чтобы наиболее лучшим образом защитить ЛВС данного предприятия, требуется разделить ее на три части:
Бухгалтерия и кадры;
Инженерно-плановый;
Общий.
Полученная сеть изображена на рисунке 3.1.
Рисунок 3.1 - Защищенная ЛВС.
Организация баз данных также изменится и будет состоять из нескольких частей.
В таблицах БД Server2 будут храниться различные справочники, позволяющие однозначно определить людей, чьи данные будут подвержены индексации на БД Server4 и будут обезличены.
Лишь база данных бухгалтерии останется неизменной и будет включать в себя всю информацию, поскольку она будет использоваться специфической программой «1С Предприятие» версии 8.2, которая не позволяет разделить данные по отдельным файлам.
В качестве СУБД с наилучшей производительностью, наименьшей стоимостью будет предложено использовать MYSQL 5.5, которая также поддерживает SSL протокол, способствующий безопасному и быстрому соединению между клиентом и сервером.
Межсетевым экраном выбран VipNet Office Firewall, который позволяет блокировать или пропускать любые IP-пакеты, проходящие через сетевой адаптер сервера.
Для хранения данных сотрудников будет установлена 1С Предприятие 8.2 с конфигурациями «Зарплата и управление персоналом» и «Бухгалтерия», поскольку на территории Российской Федерации данная среда является наиболее распространенной. Данная версия является более новой и позволяет реализовывать механизмы аутентификации, идентификации, аудита, защиты данных. [28]
Для обнаружения различных атак из сети предложено развернуть систему обнаружения вторжений Honeypot Manager 2.0. Данная система анализирует трафик как на компьютерах, так на сервере и имеет сертификат ФСТЭК. Для обнаружения угроз более локально советуется использовать зонды на всех сегментах сети. [10]
Раздел 2 Программно-аппаратные средства защиты
Для обмена с вышестоящими компаниями и организациями предлагается использование VipNet Client 3.2, который является персональным экраном и криптопровайдером для шифрования. Также он имеет сертификат соответствия Федеральной службы безопасности.
Для защиты машин от атак вирусами требуется установить антивирусное программное обеспечение. Ниже в таблице 3.1 приведена сравнительная таблица антивирусных программ.
Таблица 3.1- Сравнительная характеристика антивирусных программ
ПродуктСертификатЗащитаПерегружае-мость ЦПБыстрота проверкиСтоимость, руб.КасперскийДа5Да1,54479McAfeeНет3,5Да31432Dr. WebДа4Да56132AVGДа3,5Нет41740SymantecДа4Нет3,5910ESET NOD32Да4Нет51300
Исходя из данной таблицы, ESET NOD32 был выбран наиболее лучшим среди своих аналогов, поскольку является сертифицированным ФСТЭК средством защиты, быстрее и эффективнее остальных обнаруживает угрозы и является относительно недорогим.
Для контроля доступа к важнейшим ресурсам нужно использовать аппаратно-программную систему защиты, такую как «МДЗ-Эшелон», АПМДЗ «КРИПТОН-ЗАМОК», Аккорд-АМДЗ или ПАК «СОБОЛЬ». Такие средств защиты необходимы для воспрепятствования несанкционированному запуску пользовательского компьютера, возможности доступа к конфиденциальной информации и загрузке ОС.
В таблице 3.2 приведен сравнительный анализ данных средств защиты. [27]
В качестве программно- аппаратного средства защиты предложено выбрать «МДЗ-Эшелон», поскольку он наравне с аналогами поддерживает практически любую операционную систему и файловую систему, но является наиболее дешевым средством защиты.
Таблица 3.2- Аппаратно-программные средства, сравнение
Раздел 3 Политика безопасности
На основе полученного устройства сети, ПО, различных средств зашиты должна быть сформирована базовая политика безопасности предприятия для всех пользователей сети и администраторов.
Политика безопасности должна регламентировать:
)Порядок доступа к информации;
При работе с конфиденциальными источниками руководству необходимо разграничить доступ к ним, назначить ответственных за защиту лиц, которые буду следить за тем, чтобы информацию из таких источников не удаляли, не читали и не копировали те лица, которые к ней не допущены.
Доступ к сети должен осуществляться исключительно по средству индивидуального пароля, который должен оставаться уникальным, тайным.
)Работу с системами криптографии;
К таким системам должны допускаться лица, имеющие разрешение от вышестоящего руководства. Секретные ключи шифрования должны храниться исключительно в сейфах и под ответственностью уполномоченных лиц, которые должны исключить возможность доступа к носителям ключей неуполномоченных лиц.
Запрещается выводить куда-либо секретные ключи, использовать секретные ключи в неположенных режимах, вводить отличную от ключей информацию на их носители.
В случае компрометации ключей:
прекратить их использование;
остановить все операции, в которых они взаимодействуют;
сменить пароли и ключи;
провести расследование;
отразить результаты расследования в специализированном акте.
)Физическая безопасность;
Абсолютно все объекты, имеющие отношение к безопасности информации (маршрутизатор, сервера баз данных, файервол), должны находиться в помещении, отделенном от основного, с ограниченным доступом.
Вход в такое помещение возможен только через оснащенную замками металлическую дверь, которая выводится через средства слежения на мониторы охраны.
Доступ посторонним лицам должен быть запрещен, а иные лица (обслуживающий, технический персонал) имеют право находиться в помещении исключительно в присутствии работников, имеющих такой доступ.
)Разграничение доступа;
Обязателен пароль на входе в сеть с возможностью идентифицировать работника, подключившегося к ней, который нельзя разглашать, держать в открытом доступе на бумажном или ином носителе, который в случае компрометации необходимо сменить.
При работе с базами данных также необходим пароль, отличный от всех других паролей, удовлетворяющий необходимым требованиям, который не подлежит разглашению и использованию иными лицами.
Все действия с базами данных должны протоколироваться в специальный журнал операций.
)Работу с Интернетом;
Работать с ресурсами Интернета разрешено только сотрудникам, имеющим в индивидуальной форме разрешение от руководства.
Запрещается:
Устанавливать и скачивать ПО;
Заходить на сайты, не имеющие отношения к служебным обязанностям;
Распространять адрес почты в нерабочих целях;
Осуществлять рассылку или подписку на рассылку нерабочей информации;
Осуществлять продажу или покупку в непроизводственных целях по средству Интернета.
)Резервирование информации.
Для обеспечения защиты информации от возможного уничтожения, подмены, распространения необходимо ее дублировать и резервировать специальным образом с использованием аппаратных и физических носителей.
Ответственность за данные действия необходимо возложить на штатных программистов. [12]
Раздел 4 Экономический расчет проекта
Для того чтобы понять во сколько компании обойдется данный проект по защите информации, необходимо провести анализ требуемых средств защиты и их стоимости.
Реализация проекта включает в себя: затраты на покупку ПО и оборудования, затраты на средства защиты, затраты на 1 автоматизированное рабочее место и затраты на организацию сегмента сети. В компании используется 20 ПЭВМ и лишь 16 из них имеют доступ к персональным данным.
Ниже в таблицах 3.3 и 3.4 представлены затраты на покупку средств защиты ЛВС.
Таблица 3.3- Затраты на покупку персональных ЭВМ
НазваниеКоличество,штСтоимость,рубСумма,рубЭВМ на МСЭ31124333729ЭВМ на IDS31204636138Серверы ПДн21229424588Терминальный сервер для 1С11260012600Итого107055
Таблица 3.4- Затраты на средства защиты
НазваниеКоличество,штСтоимость,рубСумма,рубЛицензия для антивируса ESET NOD 3220130026000Лицензия VipNet Office Firewall31427842834Honeypot Manager 2.0334000102000VipNet Client 3.211624016240МДЗ-Эшелон205600112000Итого299074
На ввод в эксплуатацию средств защиты локальной сети потребуется 406129 рублей. Также в таблице 3.5 представлен расчет средств на 1 АРМ.
Таблица 3.5- Расходы на 1 автоматизированное рабочее место
НазваниеСтоимость,рубЛицензия для антивируса ESET NOD321300МДЗ-Эшелон5600Итого6900
В случае если данное рабочее место будет использоваться для связи с иными организациями, расход на него увеличится на 16240 рублей и будет составлять 23140 рублей.
«Строй-Данс-Ю» не обладает большим бюджетом и данной компании требуется понизить нагрузку на бюджет, ввиду чего будет предложено организовать сегмент сети, на который потребуется определенный объем средств, представленный в таблице 3.6.
Таблица 3.6- Расход средств на организацию сегмента сети
НазваниеКоличество,шт.Стоимость,руб.Сумма,руб.ЭВМ для МСЭ11124311243Лицензия VipNet Office Firewall11427814278Honeypot Manager 2.013400034000Сервер ПДн11229412294Итого71815
В предложенной главе описан расчет стоимости проекта по защите информации предприятия. Ввиду того, что организация является небольшой, предложены рекомендации по возможному уменьшению нагрузки на бюджет.
Заключение
В работе были рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.
Далее было предложено рассмотреть устройство информационных систем персональных данных. Наиболее подробно были рассмотрены существующие модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей (ЛВС) и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.
После проведения теоретического анализа, была предложена общо система, позволяющая обеспечить безопасность информационной системы компании, которая включает в себя: основные мероприятия по защите ЛВС и базы данных, программные и аппаратные средства защиты, базовую политику безопасности.
Список используемой литературы
1.Конституция Российской Федерации. Статья 23
.Конституция Российской Федерации. Статья 24
.Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015)
.Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
.Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 13.07.2015) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 10.01.2016)
.Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред. от 30.12.2015). Глава 14 «Защита персональных данных работника»
.Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
.ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка).
.ФСТЭК. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (выписка).
.ФСТЭК. Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00
.ГОСТ 19781-90 Обеспечение систем обработки информации программное. Термины и определения.
.В.Ф. Шаньгин - Информационная безопасность компьютерных систем и сетей, Москва, ИД «ФОРУМ» - ИНФРА-М, 2008 г.
.Хомоненко А.Д., Цыганков В.М., Мальцев М.Г. Базы данных; Учебник для высших учебных заведений / Под ред. проф. А.Д. Хомоненко. - 4-е изд., доп. и перераб. - СПб.: КОРОНА принт, 2004. - 736 с.
.Карпов Т.С. Базы данных: модели, разработка, реализация. Учебник.- СПб.:Питер,2001.
.Ржавский К.В. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем: Учебное пособие. Волгоград: Изд-во ВолГУ, 2002. - 122с. - (Серия «Информационная безопасность»)..
.Гагарина Л.Г., Кокорева Е.В., Виснадул Б.Д. Технология разработки программного обеспечения. - М.: ИД «ФОРУМ»; ИНФРА-М, 2008.
.Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с.
.Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2-е изд.- 2004. - 544 с.
.Скляров Д.В. Искусство защиты и взлома информации. - СПб.: БХВ-Петербург, 2004. - 288 с.
.Братищенко В.В. Проектирование информационных систем. - Иркутск: Изд-во БГУЭП, 2004. - 84 с.
.Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2000. - 316 с.
.Шабуров А.С. Информационная безопасность предприятия: Учебно-методическое пособие. - Перм. нац. исслед. политехн. ун-т. - Пермь, 2011., 68 с.