УДК 004.56
ЗАЩИТА ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА В УЧРЕЖДЕНИИ СОЦИАЛЬНОГО ОБЕСПЕЧЕНИЯ
А.С. Зайцев
Тамбовский государственный университет имени Г.Р. Державина, Россия, г. Тамбов.
е-mail: [email protected]
В работе произведен анализ необходимости защиты информации в учреждении социального обеспечения, выявлены основные уязвимости, предложены решения по модернизации системы информационной безопасности. Для разработки комплекса мер была проведена оценка рисков информационной безопасности. Разработана модель угроз информационной безопасности, дано экономическое обоснование целесообразности совершенствования системы информационной безопасности.
Ключевые слова: защита информации на предприятии, обеспечение информационной безопасности.
В каждой организации хранится информация ограниченного доступа, которую необходимо защищать: персональные данные, коммерческая тайна, служебная тайна, профессиональная тайна. Предметом деятельности ТОГБУ СОН «Центр социальных услуг для населения города Рассказово и Рассказовского района» является предоставление социальных услуг и мер социальной поддержки отдельным категориям граждан, что сопряжено с обработкой большого объема персональных данных. Согласно Указу Президента РФ от 6.03.97 г. № 188 «Об утверждении перечня сведений конфиденциального характера», персональные данные относятся к конфиденциальной информации.
Сущность защиты информации состоит в выявлении, устранении или нейтрализации негативных источников, причин и условий воздействия на информацию, которые составляют угрозу безопасности информации [1, 2].
Задачи, решаемые в ходе работы: оценить потребность организации в защите информации; разработать модель угроз безопасности защищаемого объекта; разработать комплекс мер по защите информации; проанализировать эффективность комплекса мер по защите информации [2].
Для оценки необходимости защиты информации в организации дана общая характеристика объекта защиты, проанализирована нормативно-правовая база деятельности ТОГБУ СОН «Центр социальных услуг для населения города Рассказово и Рассказовского района» в области защиты информации, проведена инвентаризация информационных ресурсов и существующих средств защиты.
Защита информации в организации осуществляется по четырем основным направлениям: правовая (149-ФЗ «Об информации, информационных технологиях и о защите информации», Указ Президента РФ от 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера» и внутренние правовые документы по защите информации), организационная (контроль за работой персонала, организация охраны, работа с кадрами), инженерно-техническая (пластиковые окна с жалюзи, стальная входная дверь, датчики движения и пожарной сигнализации, видеонаблюдение), программно-аппаратная (антивирус Касперского 2013, WmRar, электронный замок «Соболь», Dr.Web CureIt).
В ТОГБУ СОН «Центр социальных услуг для населения города Рассказово и Рассказовского района» обрабатываются персональные данные нескольких категорий: специальные, иные и общедоступные, субъектами которых являются клиенты и сотрудники.
Анализ риска ресурсов по трем базовым угрозам: конфиденциальность, целостность, отказ в обслуживании, а также оценка риска ресурсов по отделам позволили выявить возможные угрозы и уязвимости и определить величину ущерба в случае их реализации. Расчет производился исходя из критичности и вероятности реализации угрозы.
Моделирование угроз безопасности объекта защиты включает в себя моделирование объекта защиты, технических каналов защиты информации, злоумышленника, анализ угроз и уязвимостей.
В ТОГБУ СОН «Центр социальных услуг для населения города Рассказово и Рас-
Краткие сообщения
сказовского района» ведется круглосуточное видеонаблюдение с помощью камер фирмы «БайтЭрг»: «МВК- 1632ц» - для наружного видеонаблюдения, «МВК-2931» - для внутреннего видеонаблюдения. Клиентский зал имеет два входа: для сотрудников (посторонним вход запрещен) и клиентов. Техническое обслуживание автоматизированных систем производится в присутствии специалиста по защите информации, сведения об изменении конфигурации или программного обеспечения регистрируются в журнале.
В учреждении средний уровень исходной защищенности персональных данных, так как 70 % характеристик и более относится к среднему и высокому уровню, остальные - к низкому. Выявлены 4 возможных канала утечки информации и уязвимости, осуществляемые по этим каналам. Отсутствие шумоизоляции стен и потолка, тонкие двери в кабинетах, незащищенность батарей экранами создают угрозу утечки информации по акустическому каналу. Перехват визуально-оптической информации возможен из-за прямого наблюдения за включенным монитором ЭВМ, а также случайного или преднамеренного просмотра документов, находящихся в поле зрения. Материально-вещественный канал утечки информации: выброс испорченных документов в общий мусорный бак, работа с конфиденциальной информацией на неучтенных бумажных носителях, сотрудники учреждения, которые могут разгласить информацию. Радиоэлектронный канал утечки информации: отсутствует заземление электроприборов, несколько кабелей находятся в одном пучке на территории учреждения, парковка автомобилей возле здания, а также угроза утечки информации по каналам ПЭМИН.
При моделировании злоумышленника учитывались как внутренние, так и внешние нарушители. К внешним относятся: клиенты, представители взаимодействующих организаций, сотрудники обслуживающих организаций, посторонние физические лица.
Внутренние злоумышленники разделяются на четыре категории. К категории К1 относятся сотрудники, располагающие паролем и доступом к отдельной части ПДн, обладающие некоторой информацией о топологии ИСПДн (сотрудники отдела социаль-
ного обслуживания населения, отдела кадров). Категория К2 располагает возможностями категории К1, имеет не менее одной учетной записи, а также полный доступ к ПДн в рамках своих должностных обязанностей (сотрудники отдела социальной защиты семьи и детства, бухгалтерия). Сотрудники категории К3 обладают всеми возможностями лиц категории К2, имеют возможность прямого (физического) доступа к отдельным техническим средствам ИСПДн, располагают информацией о топологии сети ИСПДн и составе технических средств ИСПД (сотрудники отдела социальной поддержки населения, отдела субсидий по оплате жилого помещения и коммунальных услуг, осуществляющие удаленный доступ к ПДн по локальной сети организации). К категории К4 относятся сотрудники, располагающие информацией обо всем установленном ПО, технических средствах, средствах защиты информации, а также имеющие к ним прямой доступ (системный администратор, специалист по информационной безопасности) [3].
При анализе угроз и уязвимостей были выявлены актуальные угрозы для учреждения: утечка видовой информации, угрозы, реализуемые при загрузке операционной системы, анализ сетевого трафика с перехватом передаваемой по сети информации, выявление паролей, удаленный запуск приложений, внедрение по сети вредоносных программ.
На основе полученных данных разработан комплекс мер по защите информации, включающий совокупность организационных, инженерно-технических и программно-аппаратных методов защиты информации.
Организационные методы основаны на выработке ряда рекомендаций для учреждения по защите информации, закрепленных в разработанных положениях и инструкциях. Инженерно-технические методы включают приобретение скоростного поискового приемника «Контур», генератора шума «Соната-РС1», установку деревянных экранов на батареи, пластиковых коробов для прокладки кабеля, утолщенных межкомнатных дверей.
Программно-аппаратные методы используются для защиты программного обеспечения от несанкционированного доступа и
нелегального использования. Для противодействия угрозам, реализуемым при загрузке операционной системы, организация должна приобрести электронный замок «Соболь» (версии 3.0.6). Для противостояния угрозам «внедрение по сети вредоносных программ», а также «анализ сетевого трафика с перехватом передаваемой по сети информации» применяются межсетевые экраны. В ходе сравнения нескольких межсетевых экранов наиболее оптимальным вариантом для ТОГ-БУ СОН «Центр социальных услуг для населения города Рассказово и Рассказовского района» выбран межсетевой экран «Cisco ASA 5510», так как он имеет наибольшую производительность и количество одновременно поддерживаемых сессий. Для предотвращения угрозы «локальное внедрение вредоносных программ» предложено использовать систему защиты информации «DeviceLock 7.1».
Расчет экономической эффективности комплекса мер по защите информации позволяет оценить целесообразность его внедрения в данном учреждении. Результаты расчетов показали, что сумма затрат на реализацию комплекса мер по защите информации в ТОГБУ СОН «Центр социальных услуг для населения города Рассказово и Рассказовского района» составляет 222 500 руб., что значительно ниже суммы ущерба организации от реализации угроз и уязвимостей. Риск ресурсов до введения комплекса мер составлял 49 %, после введения комплекса мер по защите информации 9 %. Общая сумма риска всех отделов до введения комплекса мер по защите информации составляет 2 923 150 руб., после введения комплекса мер 541 230 руб.
Таким образом, риск ресурсов снизился на 40 %, сумма риска - на 2 381 920 руб. Полученные данные свидетельствуют об эффективности разработанных мер по защите информации в ТОГБУ СОН «Центр социальных услуг для населения города Рассказово и Рассказовского района».
Литература
1. Информация и информационная безопасность [Электронный ресурс]. URL: http://sec4all.net/ infoprot-gl1. html
2. Чванова М.С., Зауголков И.А., Лыскова В.Ю. Актуальные проблемы информатики и информационных технологий. Тамбов: Издательский дом ТГУ им. Г.Р. Державина, 2012. 179 с.
3. ФСТЭК России - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 15.02.2008) [Электронный ресурс]. URL: http://fstec.ru/ normativnye-i-metodicheskie-dokumenty-tzi/114-deyatelnost/tekushchaya/tekhnicheskaya-zashchi-ta-informatsii/normativnye-i-metodicheskie-doku-menty/spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-go
References
1. Informatsiya i informatsionnaya bezopasnost' [Elektronnyj resurs]. URL: http://sec4all.net/ infoprot-gl1.html
2. Chvanova M.S., Zaugolkov I.A., Lyskova V.Yu. Aktual'nye problemy informatiki i informatsionnyh tehnologiy. Tambov: Izdatel'skiy dom TGU im. G.R. Derzhavina, 2012. 179 s.
3. FSTEK Rossii - Bazovaya model' ugroz bezopas-nosti personal'nyh dannyh pri ih obrabotke v informatsionnyh sistemah personal'nyh dannyh (utv. FSTEK RF 15.02.2008) [Elektronnyj resurs]. URL: http://fstec.ru/normativnye-i-meto-dicheskie-dokumenty-tzi/114-deyatelnost/tekush-chaya/tekhnicheskaya-zashchita-informatsii/nor-mativnye-i-metodicheskie-dokumenty/spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-perso-nalnykh-dannykh-vypiska-fstek-rossii-2008-go
DATA PROTECTION LIMITED ACCESS IN THE SOCIAL SECURITY INSTITUTIONS
A.S. Zaitsev Tambov State University named after G.R. Derzhavin, Tambov, Russia. e-mail: [email protected]
In this paper we analyzed the need to protect information in a social welfare institution, identified key vulnerabilities, proposed solutions for the modernization of information security. To develop a set of measures was assessed information security risks. A model of information security threats, given the feasibility study to improve the system of information security.
Key words: information security in the enterprise, information security.
i99