2013 Электротехника, информационные технологии, системы управления № 8 УДК 004.056.5+621.37:004.056.5
О.Б. Екимов1, А.С. Шабуров2, И.П. Исаков2, П.В. Мазунин2, А.Н. Шляков2
1
Пермский филиал ФГУП «Радиочастотный центр Приволжкого федерального округа», г. Пермь, Россия Пермский национальный исследовательский политехнический университет,
Пермь, Россия
О РЕАЛИЗАЦИИ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРМСКОГО ФИЛИАЛА ФГУП «РАДИОЧАСТОТНЫЙ ЦЕНТР ПРИВОЛЖКОГО ФЕДЕРАЛЬНОГО ОКРУГА»
В настоящее время для предприятий и организаций различных форм собственности приобретает особую актуальность решение проблемы по защите персональных данных. В статье анализируются применяемые в настоящее время методы и средства защиты информационных систем персональных данных в Пермском филиале ФГУП «РЧЦ ПФО». На примере одной из действующих систем разрабатывается частная модель угроз безопасности персональных данных, определяется требуемый уровень защищенности информационной системы в соответствии с методическими рекомендациями ФСТЭК России. По результатам оценки угроз выработаны необходимые рекомендации по совершенствованию системы защиты информационной системы персональных данных в Пермском филиале ФГУП «РЧЦ ПФО». Совершенствование системы защиты информации позволяет поддерживать безопасную информационную среду предприятия, качественно и в срок выполнять основные задачи радиочастотной службы.
Ключевые слова: персональные данные, угроза безопасности, информационная система, защита информации, частная модель угроз, метод защиты информации, средство защиты информации, система защиты информации.
O.B. Ekimov1, A.S. Shaburov2, I.P. Isakov2, P.V. Mazunin2, A.N. Shlyakov2
1
Perm branch of Federal State Unitary Enterprise«Radio Frequency Centre
of Privolzhsky Federal Okrug» Perm National Research Polytechnic University, Perm, Russian Federation
ON IMPLEMENTATION OF PERSONAL DATA PROTECTION REQUIREMENTS IN THE INFORMATIONAL SYSTEMS OF PERM BRANCH OF FSUE «RFC PFO»
Nowadays, solving problems of personal data protection is becoming very important for different enterprises and organizations. Current methods and means of informational systems protection of personal data, used at Federal State Unitary Enterprise "Radio Frequency Centre of Privolzhsky Federal Okrug" (FSUE "RFC PFO"), are being analyzed in the article. One of the currently working systems is used as an example for developing a particular model of possible threats to personal data, and for determination of necessary security level of a system in accordance with methodological recommendations of Federal Service for Technical and Export Control (FSTEC of Russia). On the results of threat evaluation some essential recommendations on improvement of personal data protection system in Perm branch of FSUE "RFC PFO", have been developed. The improvement of information system protection allows keeping safe informational environment of the enterprise, and to perform the main tasks of radio frequency service qualitively and in time.
Keywords: personal data, security threat, informational system, information protection, particular threat model, the methods of information protection, the means of information protection, information protection system.
В настоящее время для предприятий и организаций различных форм собственности приобретает особую актуальность решение проблемы по защите персональных данных. Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу - субъекту (персональных данных) [1]. На сегодняшний день трудно найти предприятие, на котором не обрабатывались бы ПДн, либо работников организации (предприятия), либо ПДн сторонних лиц с использованием специально создаваемых информационных систем персональных данных.
Информационная система персональных данных (ИС ПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств [1].
С одной стороны, необходимость защиты ИС ПДн обусловливается периодически происходящими фактами крупных утечек информации, мошенничеством с использованием чужих ПДн, которые способны
нанести немалый ущерб. С другой стороны, необходимость защиты персональных данных достаточно подробно регламентируется требованиями законов и подзаконных актов, а также регулируется и контролируется ответственными за это органами государственной власти [2, 3]. Так, Законом №152-ФЗ «О персональных данных» для операторов (предприятий и организаций), использующих в своей деятельности информационные системы персональных данных (ИС ПДн), установлена обязанность принимать необходимые правовые, организационные и технические меры по обеспечению их безопасности. Кроме того, оператор обязан обеспечить защиту ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
В большинстве случаев предоставление для обработки своих ПДн отдельным физическим лицом конкретной организации не вызывает опасения, поскольку ущерб от утраты таких данных не считается существенным. Вероятность ущерба значительно возрастает в ситуации массовой автоматизированной обработки ПДн, когда возможны крупномасштабные утечки, модификации или блокирование информационных систем. При этом ответственность за организацию безопасной обработки подобных информационных ресурсов полностью возлагается на оператора ИС ПДн.
Необходимость решения проблемы защиты ИС ПДн актуальна для разнообразных видов деятельности, в том числе и в процессе деятельности государственных предприятий. Одним из таких предприятий являются Федеральное государственное унитарное предприятие «Радиочастотный центр Приволжского федерального округа» (ФГУП «РЧЦ ПФО») и его Пермский филиал.
Основной задачей радиочастотной службы определено осуществление организационных и технических мер по обеспечению надлежащего использования радиочастот и радиочастотных каналов радиоэлектронных средств и высокочастотных устройств гражданского назначения. При этом с целью оказания качественных услуг осуществляется обработка ПДн как сотрудников организации, так и физических лиц, сотрудничающих с ФГУП «РЧЦ ПФО».
На предприятии функционирует несколько автономных информационных систем: ИСПДн «Отдел кадров», ИС ПДн «Бухгалтерия»,
ИС ПДн «Контрагенты». ИС ПДн «Отдел кадров» и «Бухгалтерия» предназначены для обработки ПДн сотрудников филиала, таких как паспортные данные, сведения о начислении заработной платы и т.п. В ИС ПДн «Контрагенты» содержится информация о физических лицах, сотрудничающих с предприятием.
Обработка ПДн на предприятии осуществляется преимущественно с использованием средств автоматизации, в частности, с применением различных программных средств. Центральный офис имеет доступ к ресурсам ИС ПДн филиалов посредством использования закрытых сетей связи, что требует дополнительных исследований и мер по защите информации.
В данный момент в филиале завершился процесс физического переноса ИС ПДн «Бухгалтерия» и ИС ПДн «Отдел кадров» в главный офис предприятия. Взаимодействие пользователей филиала с этими системами будет осуществляться удаленно и строго в рамках выданных пользователю полномочий, поэтому требования по защите ПДн в этих системах будут обеспечиваться на уровне центрального аппарата ФГУП «РЧЦ ПФО».
В данной статье рассматриваются требования по защите ПДн на примере ИСПДн «Контрагенты». В соответствии с нормативными требованиями [2] для принятия мер по защите информации в конкретной информационной системе необходимо определить для нее уровень защищенности ПДн.
Для определения уровня защищенности ПДн выделяются следующие классификационные признаки обработки информации в системе, существенные с точки зрения ее защиты:
— категория ПДн;
— тип субъектов ПДн;
— количество субъектов ПДн;
— тип актуальных угроз информационной безопасности.
На основании анализа данных, обрабатываемых в ИС ПДн «Контрагенты», определено следующее:
— в информационной системе обрабатываются иные категории ПДн (не относящиеся к специальным или биометрическим), в объеме менее 100 000 субъектов ПДн;
— для ИС ПДн актуальны угрозы 2-го типа, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Требуемый уровень защищенности (УЗ) ИС ПДн «Контрагенты» определяется в соответствии с таблицей.
Определение уровней защищенности ИС ПДн
Категория ПДн Кол-во и тип субъектов ПДн Тип актуальных угроз
1-й тип 2-й тип 3-й тип
Уровень защищенности
Специальные Более 100 000 1 УЗ 1 УЗ 2 УЗ
Менее 100 000 или сотрудники 2 УЗ 3 УЗ
Биометрические - 1 УЗ 2 УЗ 3 УЗ
Иные Более 100 000 1 УЗ 2 УЗ 3 УЗ
Менее 100 000 или сотрудники 3 УЗ 4 УЗ
Общедоступные Более 100 000 2 УЗ 2 УЗ 4 УЗ
Менее 100 000 или сотрудники 3 УЗ
На основе классификационных признаков ИС ПДн «Контрагенты» присваивается тип 3 УЗ. Для обеспечения данного уровня защищенности необходимо выполнение базовых требований информационной безопасности:
— режим обеспечения безопасности помещений, предназначенных для обработки ПДн;
— сохранность носителей ПДн;
— определение лиц, допущенных к ПДн специальным перечнем;
— использование сертифицированных средств защиты информации.
Выполнение всех обязательных требований по уровням защищённости для конкретной ИС ПДн не всегда гарантирует информационную безопасность. Для наиболее полного учета всех особенностей ИС ПДн необходимы оценка всех возможных факторов, воздействующих на информацию, и разработка частной модели угроз безопасности.
Разработка частной модели угроз информационной безопасности предполагает формирование следующих сведений:
— об источниках угроз;
— о характерных угрозах информационной безопасности;
— о способах реализации угрозы;
— об уязвимостях системы обработки информации;
— о характере обрабатываемой информации.
Качественно разработанная модель угроз ИС ПДн позволит в дальнейшем подобрать оптимальные технические и организационные меры по защите информации, создать эффективную систему защиты. В то же время неадекватная модель может не учесть существенные угрозы и привести как к неоправданным затратам материальных и финансовых ресурсов, так и утрате конфиденциальности, целостности и доступности самой информации ограниченного доступа.
Порядок определения актуальных угроз безопасности информации и разработки частной модели угроз представлен на рис. 1.
Рис. 1. Порядок разработки частной модели угроз безопасности ИС ПДн
На основании проведенного анализа угроз информационной безопасности и разработки частной модели угроз для ИС ПДн «Контрагенты», помимо учтенных ранее, актуальными угрозами были признаны следующие:
— утрата ключей и атрибутов доступа;
— выход из строя аппаратно-программных средств;
— разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке.
По завершении оценки были разработаны рекомендации по их нейтрализации, а также рекомендованы следующие меры по защите информации:
— учет и регулярные проверки наличия у сотрудников закрепленных за ними ключей;
— резервирование технических средств обработки информации;
— подписание сотрудниками организации обязательства о неразглашении информации ограниченного доступа.
Для реализации требований по защите информации на предприятии используются следующие средства защиты:
— программно-аппаратный комплекс «Аккорд АМДЗ»;
— программный комплекс «ViPNet CUSTOM 3.2»;
— антивирусное ПО «Dr.Web Antivirus»;
— встроенные средства резервного копирования ПО Oracle 10.1.0.2.
Общее расположение средств защиты информации представлено
на рис. 2.
Таким образом, в соответствии с учетом требований законодательства, приведенной классификацией и особенностями обработки информации в ИС ПДн «Контрагенты» установлены и реализуются меры по защите информации в соответствии с третьим УЗ:
— идентификация и аутентификация субъектов доступа и объектов доступа;
— управление доступом субъектов доступа к объектам доступа;
— ограничение программной среды;
— защита машинных носителей ПДн;
— регистрация событий безопасности;
— антивирусная защита;
— обнаружение вторжений;
— контроль (анализ) защищенности ПДн;
— обеспечение целостности информационной системы и ПДн;
— обеспечение доступности ПДн;
— защита технических средств;
— защита информационной системы, ее средств, систем связи и передачи данных;
— выявление инцидентов и реагирование на них;
— управление конфигурацией информационной системы и системы защиты персональных данных.
Рис. 2. Расположение средств защиты информации для ИС ПДн «Контрагенты»
При этом программно-аппаратный комплекс «Аккорд АМДЗ» используется в качестве средства идентификации и аутентификации пользователей при инициализации ПЭВМ, контроля целостности программной и аппаратной среды ПЭВМ.
Программный комплекс «ViPNet CUSTOM 3.2» реализуется серверной и клиентской подсистемами и позволяет централизованно управлять идентификацией и аутентификацией пользователей при подключении к ИС ПДн, разграничивать доступ пользователей к информационным
ресурсам сети, а также осуществляет функции межсетевого экранирования и шифрования передаваемой информации.
Кроме того, комплекс мероприятий по обеспечению защиты ПДн на предприятии включает организационные и инженерно-технические меры по защите информации и обеспечению комплексной безопасности объекта информатизации.
К организационным мерам по защите ПДн относятся:
— доведение до сотрудников, принимаемых на работу, документов и требований по защите ПДн;
— обеспечение охраны и режима на предприятии;
— организация доступа в помещения, где осуществляется обработка ПДн;
— установление персональной ответственности за нарушения правил обработки ПДн;
— проведение регулярных и внеплановых проверок по контролю выполнения требований по защите ПДн;
— назначение лица, ответственного за обеспечение безопасности ПДн.
К инженерно-техническим мерам по защите информации, также реализованным на предприятии, относятся:
— разработанные и внедренные системы охранно-пожарной сигнализации, видеонаблюдения, контроля и управления доступом на объект;
— использование сертифицированных технических средств обработки информации;
— использование сертифицированных технических средств защиты информации.
Таким образом, проведенный анализ системы защиты ИС ПДн «Контрагенты», реализованной в Пермском филиале ФГУП «РЧЦ ПФО», позволяет сделать вывод о достаточном уровне защищенности ПДн, обрабатываемых в информационной системе, и адекватной характерным угрозам информационной безопасности. Реализация требований законодательства и нормативно-методического обеспечения по защите персональных данных как в ИС ПДн «Контрагенты», так и в других информационных системах позволяет поддерживать безопасную информационную среду предприятия, качественно и в срок выполнять основные задачи радиочастотной службы.
Библиографический список
1. Федеральный закон от 27 июля 2006 г. № 152-фз «О персональных данных» // Российская газета. - 29 июля 2006. - № 4131.
2. Постановление правительства от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Российская газета. - 7 ноября 2012. - № 5929.
3. Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (зарег. в минюсте россии 14 мая 2013 г. № 28375) [Электронный ресурс]. - URL: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=law;n=146520 (дата обращения: 15.07.2013).
Сведения об авторах
Екимов Олег Борисович (Пермь, Россия) - кандидат технических наук, директор Пермского филиала ФГУП «Радиочастотный центр Приволжкого федерального округа» (614500, г. Пермь, шоссе Космонавтов, 316, e-mail: [email protected]).
Шабуров Андрей Сергеевич (Пермь, Россия) - кандидат технических наук, доцент кафедры автоматики и телемеханики Пермского национального исследовательского политехнического университета (614990, Пермь, Комсомольский пр., 29, e-mail: [email protected]).
Мазунин Павел Витальевич (Пермь, Россия) - студент кафедры автоматики и телемеханики Пермского национального исследовательского политехнического университета (614990, Пермь, Комсомольский пр., 29, e-mail: [email protected]).
Исаков Иван Павлович (Пермь, Россия) - студент кафедры автоматики и телемеханики Пермского национального исследовательского политехнического университета (614990, Пермь, Комсомольский пр., 29, e-mail: [email protected]).
Шляков Александр Николаевич (Пермь, Россия) - студент кафедры автоматики и телемеханики Пермского национального исследовательского политехнического университета (614990, Пермь, Комсомольский пр., 29, e-mail: [email protected]).
About the authors
Ekimov Oleg Borisovich (Perm, Russian Federation) is PhD of Technical Sciences at Perm branch of Federal State Unitary Enterprise «Radio Frequency Centre of Privolzhsky Federal Okrug» (FSUE «RFC PFO») (614500, 316, Kosmonavtov shosse, Perm, e-mail: [email protected]).
Shaburov Andrey Sergeevich (Perm, Russian Federation) is PhD of Technical Sciences at the Department of Automation and Telemechanics, Perm National Research Polytechnic University (614990, 29, Komsomolsky pr., Perm, e-mail: [email protected]).
Mazunin Pavel Vitalievich (Perm, Russian Federation) is a student of the Department of Automation and Telemechanics, Perm National Research Polytechnic University (614990, 29, Komsomolsky pr., Perm, e-mail: [email protected]).
Isakov Ivan Pavlovich (Perm, Russian Federation) is a student of the Department of Automation and Telemechanics, Perm National Research Polytechnic University (614990, 29, Komsomolsky pr., Perm, e-mail: [email protected]).
Shlyakov Alexander Nikolaevich (Perm, Russian Federation) is a student of the Department of Automation and Telemechanics, Perm National Research Polytechnic University (614990, 29, Komsomolsky pr., Perm, e-mail: [email protected]).
Получено 06.09.2013