Информационная безопасность / Eremenko - Sistemy zashchity informatsii 2016

противостоять проявлению множества возможных угроз. Локальновычислительная сеть университета также защищена наиболее передовыми технологиями и средствами в области защиты информации.

В ходе проведения аудита было выявлено, что информационные системы персональных данных являются незащищенными информационными ресурсами с точки зрения программных и технических средств, а также организационных мер по защите информационных систем персональных данных (ИСПД) в соответствии с требованиями законодательства. Ввиду этого было решено спроектировать комплексную систему защиты конфиденциальной информации, применив САПР КСЗИ, позволяющую в автоматизированном режиме провести аудит, оценку состояния защищенности и формирование рекомендаций по защите информационных систем персональных данных

вуниверситете.

5.2.Разработка проекта системы защиты конфиденциальной информации вуза

При проведении исследований было определено, что для рассматриваемого объекта защиты наиболее актуальной является защита именно конфиденциальной информации.

Комплексная система защиты конфиденциальной информации – персональных данных – представляет собой сложную организацион- но-техническую систему, включающую пять компонентов: правовой, организационный, технический, программно-аппаратный и криптографический, связанных между собой определенным образом (рис. 37). В свою очередь, каждый компонент представляет собой сложную структуру, состоящую из различных технических, организационных и социальных компонентов [4].

Известно, что сетевая модель объекта проектирования может содержать отношения как между элементами одного компонента, так и между компонентами, входящими в единую систему защиты. Установленные в сетевой модели отношения становятся её неотъемлемой частью.

Рассмотрим возможность применения сетевой модели объекта проектирования – комплексной системы защиты конфиденциальной информации – как структуры, под которой понимается совокупность

101

устойчивых отношений между частями целостного объекта. При этом такая структура представляет собой единство противоположных сторон – расчлененности и целостности.

Проект КСЗИ вуза

Рис. 37. Модель структуры комплексной системы защиты информации объекта проектирования

Для выявления наиболее глубоких и существенных свойств сложного объекта его необходимо рассматривать как систему, имеющую иерархическую структуру, каждый уровень которой характеризуется не повторяющейся на других уровнях качественной определенностью частей этого объекта и отношений между ними в целостной картине [31].

Проектирование КСЗИ в системе автоматизированного проектирования ведется по типовому методу. Любую часть сетевой модели можно рассматривать как самостоятельную со своей иерархической структурой, описываемой подграфом, включающим вершины нижних уровней, находящихся в прямом отношении с рассматриваемой частью объекта. На рис. 38 показан фрагмент сетевой модели комплексной системы защиты информации, описывающий ее структуру и топологию, полученные в результате систематизации ее структурных элементов.

При проектировании комплексной системы защиты конфиденциальной информации применительно к университету в соответствии

102

с рассмотренным подходом для получения проекта защиты персональных данных при их обработке в ИСПДн необходимо включить

вданный проект:

∙средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации);

Шлейф

Видеорегистратор

Инструкция

ПКП

Рис. 38. Фрагмент схемы сетевой модели комплексной системы защиты информации

∙ средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.);

103

∙ инженерные средства защиты информации (установка решеток на окнах, железных дверей, пожарных и охранных извещателей).

САПР КСЗИ в автоматическом режиме осуществляет заполнение электронной таблицы, позволяющей сформировать техническое задание на построение комплексной системы защиты информации объекта защиты, включающее результаты аудита информационной безопасности объекта защиты, а также перечень всех необходимых требований, которые нужно реализовать для создания комплексной системы защиты информации в университете.

Разработка проекта программно-аппаратной защиты. В со-

став мероприятий по защите ПДн при их обработке в ИСПДн от НСД

инеправомерных действий входят следующие мероприятия:

-защита от НСД при однопользовательском и многопользовательском режимах обработки ПДн;

-защита информации при межсетевом взаимодействии ИСПДн;

-антивирусная защита и обнаружение вторжений.

Мероприятия по защите ПДн реализуются в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, обнаружения вторжений.

Кроме того, в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программноаппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения [7, 35].

В соответствии с документом Федеральной службы по техническому и экспортному контролю (ФСТЭК) России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» оценка соответствия ИСПДн для класса К3 осуществляется путем декларирования выполнения требований по обеспечению безопасности ПДн, т. е. для легитимной обработки ПДн не требуется аттестация ИСПДн. Оператору достаточно уведомить уполномоченный орган о принятии комплекса организационных и технических мероприятий по защите ПДн. Для реализации мероприятий по техническому обеспечению безопасности ПДн необходимо представить материалы о системе защиты ИСПДн от НСД, в состав которой должны входить сертифицированные по требованиям безопасности средства защиты информации, имеющие сертифицированные настройки параметров безопасности.

104

Рассмотрим программно-аппаратную защиту информационной системы обработки персональных данных автономного рабочего места для обработки персональных данных университета.

Условия эксплуатации ИСПДн – следующие: режим обработки информации – однопользовательский, ИСПДн имеет выход в сети общего пользования, ИСПДн присвоен класс К3.

В соответствии с классом ИСПДн, режимом обработки информации и возможностью выхода в сети общего пользования автоматизированная система формирует перечень средств, необходимых для качественной защиты автономного рабочего места (рис. 39).

Рис. 39. Фрагмент вывода рекомендаций по установке программных средств защиты

Разработка проекта инженерно-технической системы защи-

ты. Современная инженерно-техническая система защиты проектируется с применением технических средств охраны, таких как средства охранной и пожарной сигнализации и средства видеонаблюдения [3].

105

При проектировании инженерно-технической системы защиты информации в соответствии с выявленными угрозами выбираются технические средства защиты и охраны объекта: средства пожарной сигнализации, охранные извещатели, инженерные средства защиты.

Разработка проекта схемы размещения пожарных извеща-

телей. В соответствии с действующим законодательством (в частности, Федеральный закон от 21.12.1994 № 69-ФЗ (ред. от 25.11.2009) «О пожарной безопасности») обеспечение пожарной безопасности является обязанностью руководителя организации: «Руководители организаций осуществляют непосредственное руководство системой пожарной безопасности в пределах своей компетенции на подведомственных объектах и несут персональную ответственность за соблюдение требований пожарной безопасности» [8].

Система противопожарной защиты включает следующие элементы:

-пожарные извещатели;

-ручные пожарные извещатели;

-приемно-контрольный прибор (ПКП);

-систему оповещения;

-систему бесперебойного питания.

При защите системой пожарной сигнализации административнобытовых помещений необходимо использовать дымовые извещатели. Данный тип извещателя является наиболее распространенным. Число извещателей, защищающих помещение, зависит от размеров помещения, типа извещателя, наличия систем, которыми управляет пожарная сигнализация [3].

Для построения механизма выбора числа и качества пожарных извещателей в автоматизированной системе были проанализированы существующие отечественная и зарубежная нормативно-правовая базы в области установки средств пожарной сигнализации, а именно: СП 5.13130.2009 «Свод правил Системы противопожарной защиты. Установки пожарной сигнализации и пожаротушения автоматические. Нормы и правила проектирования»; Приказ от 1 июня 2011 г. № 274 «Об утверждении изменения № 1 к Своду правил СП 5.13130.2009 «Системы противопожарной защиты. Установки пожарной сигнализации и пожаротушения автоматические. Нормы и правила проектирования», утвержденный приказом МЧС России от 25.03.2009 № 175, а также Британский стандарт BS 5839-1:2001 по системам обнаружения пожара и оповещения для зданий, «Нормы и правила

106

проектирования, установки и обслуживания систем». На основании данного анализа были выявлены параметры размещения пожарных извещателей (табл. 1).

Данный механизм выбора количества пожарных извещателей был реализован в CАПР КСЗИ [7]. На основании площади контролируемого помещения происходит выбор числа извещателей (рис. 40).

Рис. 40. Фрагмент работы автоматизированной системы по формированию схемы установки средств противопожарной защиты

Разработка проекта размещения оборудования помещений

объекта техническими средствами охранной сигнализации. Для защиты информационных ресурсов на объекте рекомендуется использовать охранные извещатели, реагирующие на движение, открытие дверей, а также на разбитие стекол [7].

107

Механизм выбора охранных извещателей в автоматизированной системе реализован посредством сравнения существующих и выбора наиболее оптимального (подходящего под выделенные задачи). На основании сравнительных данных выбирается наиболее оптимальный результат и формируется автоматизированной системой в виде отчета (рис. 41).

Рис. 41. Фрагмент работы автоматизированной системы при формировании рекомендаций по установке средств охранной сигнализации

Разработка проекта организационно-распорядительной доку-

ментации. Безопасность объекта оценки в значительной степени может быть достигнута административными мерами, такими как организационные, управление персоналом, физическая защита и процедурный контроль.

108

Зачастую утечка информации происходит либо из-за целенаправленной работы инсайдеров, либо так называемого человеческого фактора: потери портфеля с документами или компьютера, неконтролируемого или плохо контролируемого пропускного режима в организацию, возможности подключения различного оборудования, с помощью которого можно скачать и передать информацию и т.п.

Именно поэтому к проведению организационных мер необходимо отнестись с должной степенью внимания. Оператор при организации обработки персональных данных обязан организовывать и проводить следующие мероприятия [7]:

- правового характера:

∙ получение согласия у субъекта ПДн на обработку Пдн; ∙ направление уведомления в Роскомнадзор с целью включения

в реестр операторов; ∙ разработка организационно-распорядительной документации,

регламентирующей отношения в информационной сфере;

- организационного характера:

∙проведение категорирования ПДн и классификации информационных систем Пдн;

∙разработка порядка работы с Пдн;

∙ доведение до сотрудников порядка работы со сведениями

оперсональных данных (обучение сотрудников);

∙осуществление мер контроля;

- организационно-технического характера:

∙создание и совершенствование системы обеспечения информационной безопасности;

∙разработка, использование и совершенствование СЗИ и методов контроля их эффективности;

∙предотвращение перехвата информации по техническим каналам связи;

∙разработка порядка резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и СЗИ;

∙контроль за выполнением требований по защите информации;

∙сертификация средств защиты информации;

∙лицензирование деятельности организации в области защиты информации;

109

∙ аттестация объектов информатизации на соответствие требованиям безопасности информации;

- режимного характера:

∙организация системы охраны территории, здания, помещений;

∙организация порядка допуска на территорию и в помещения;

∙обеспечение сохранности сменных носителей.

Меры организационного характера осуществляются на предприятии независимо от того, нужно ли подавать уведомление в Роскомнадзор или нет, осуществляется обработка ПДн с использованием средств автоматизации или без оных.

Особое внимание должно быть уделено разработке органи- зационно-распорядительной документации, которая регламентирует весь процесс получения, обработки, хранения, передачи персональных данных [7].

В этих документах необходимо зафиксировать:

∙перечень обрабатываемых данных;

∙перечень сотрудников, имеющих право доступа к сведениям персонального характера, вид доступа и т.п.;

∙перечень сотрудников, имеющих право получения и обработки ПДн;

∙используемое оборудование, СЗИ, антивирусные программы, межсетевые экраны и т.п.;

∙порядок учета защищаемых носителей информации;

∙контроль доступа в помещения посторонних лиц, наличие

надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, в том числе в ночное время, а также определить сроки проведения внутренних проверок защиты ПДн.

В результате работы автоматизированной системы формируется перечень типовых форм документов, необходимых для построения качественной защиты информации с помощью реализации организационных мер:

1.Политика информационной безопасности.

2.Положение о разграничении прав доступа.

3.Инструкция администратора ИСПДн.

4.Инструкция по антивирусному контролю в ИСПДн.

5.Инструкция пользователя ИСПДн.

6.Перечень применяемых средств защиты информации.

110