Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Разработка системы информационной безопасности Благотворительного фонда

Муратов О.В.
выпускник группы MBA CIO 30
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Целью данной работы является построение концепции разработки системы информационной безопасности  Благотворительного фонда (далее – «Фонд»). Концепция должна учитывать современное состояние и ближайшие перспективы развития автоматизированной системы Фонда, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также анализа угроз безопасности для Фонда.

Первым этапом построения сбалансированной системы информационной безопасности является проведение анализа рисков и угроз; затем - определение оптимального уровня риска для организации на основе заданного критерия.

Информационная безопасность организации включает в себя модули, показанные на схеме 1.

 

Схема 1

Теперь рассмотрим каждый из этих модулей в отдельности.

 Защита персональных данных.

Персональные данные (далее – «ПДн») - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Особенностью деятельности Благотворительного фонда является обработка персональных данных физических лиц, в связи  с чем, деятельность Фонда подпадает под действие закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее – «Закон») как оператора персональных данных. Согласно Закону, оператор персональных данных должен обеспечить ряд мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Концепция построения системы защиты персональных данных Фонда:

1. Обследование информационной системы с целью инвентаризации ресурсов и классификации ИСПДн (информационных систем персональных данных).
Для этих целей Фондом была привлечена сторонняя организация, имеющая лицензию ФСТЭК на осуществление такого рода деятельности. В результате был составлен следующий перечень ИСПДн Благотворительного фонда: Единая отраслевая система персонифицированного учета (ЕОСПУ); тестовая ЕОСПУ, полностью повторяющая структуру и наполнение основной системы; почтовый сервер Интернет; почтовый сервер СПД (интранет-сеть); служба каталога Active Directory; центр сертификации в сети СПД; 1С: Зарплата и кадры; обязательное медицинское страхование. Были даны основные характеристики каждой информационной системы. Исходя из данных характеристик и в результате анализа структуры каждой ИСПДн и их наполнения, была составлена следующая классификация: для ЕОСПУ и тестовой системы – специальная, класс 1 (К1); для почтового сервера Интернет – специальная, К2; для почтового сервера СПД – специальная, К2; для службы каталогов Active Directory – специальная, К3; центр сертификации – специальная, К3; 1С: Зарплата и кадры – специальная, К2; обязательное медицинское страхование – специальная, К2.

2. Составление частной модели угроз безопасности персональных данных (ЧМУ ПДн) и определение мероприятий по обеспечению безопасности ПДн, исходя из класса ИСПДн. В их число входит сочетание мер организационного и программно-технического уровней.

Меры организационного уровня, в свою очередь, подразделяются на меры административного и процедурного уровней. Основой мер административного уровня является политика безопасности. Под политикой безопасности понимается  совокупность документированных управленческих решений, направленных на защиту персональных данных и ассоциированных с ними  ресурсов. Политика безопасности в отношении персональных данных определяется перечнем нормативных и организационно-распорядительных документов Фонда. К процедурному уровню относятся меры безопасности (процедуры), реализуемые сотрудниками Фонда.

К программно-техническому уровню относится комплекс программно-аппаратных средств, которые должны выполнять следующие задачи:

  1. Защита внешнего периметра корпоративной сети Фонда от  угроз со стороны внешних сетей.
  2. Защита корпоративных серверов за счет использования  механизмов управления доступом к серверам баз данных, файловым, информационным и почтовым серверам.
  3. Комплексная антивирусная защита систем, входящих в  состав корпоративной сети.
  4. Мониторинг сетевого трафика в реальном масштабе  времени.
  5. Защита прикладных подсистем, функционирующих в  составе корпоративной сети.
  6. Защита межсетевых взаимодействий между ЛВС входящими в состав корпоративной сети, включая ЛВС подразделений Фонда, ЛВС филиалов и аффилированных структур.

На программно-техническом уровне выполнение защитных  функций в ИСПДн должно осуществляться следующими  сервисами безопасности:

  1. Идентификация/аутентификация;
  2. Разграничение доступа;
  3. Протоколирование/аудит;
  4. Шифрование;
  5. Контроль целостности;
  6. Контроль защищенности;
  7. Управление.

Наряду с вышеописанным, так же должна быть организована физическая защита зданий и помещений, в которых проводится обработка персональных данных. Надежная система физической защиты должна  исключить: 

  • Неправомочный доступ к аппаратуре обработки  информации.
  • Неразрешенный вынос носителей информации.
  • Неправомочное использование систем обработки информации и незаконное получение данных.
  • Доступ к системам обработки информации посредством нестандартных (самодельных) устройств.
  • Неконтролируемое считывание, модификацию или удаление данных в процессе их передачи или транспортировки носителей информации.

В результате был разработан и утвержден план по обеспечению соответствия деятельности Фонда требованиям Федерального закона № 152-ФЗ «О персональных данных».

Для выполнения мероприятий по реализации мер обеспечения безопасности ПДн в Фонде были введены новые должности. В связи с небольшим размером организации отдел «Информационной безопасности» в Фонде отсутствует и данные должности были совмещены с должностями сотрудников ИТ-отдела.

Компьютерная безопасность.

Компьютерная безопасность - раздел информационной безопасности, связанный с ее обеспечением при создании и эксплуатации различных систем электронной обработки данных и автоматизированных сетей связи, в первую очередь вычислительных (компьютерных) систем.

Как мы могли видеть из описания программно-технического уровня мероприятий по обеспечению безопасности ПДн, обеспечение компьютерной безопасности нами реализовано при обеспечении мероприятий по защите персональных данных.

Защита каналов и сетей связи.

Канал связи -  система технических средств и среда распространения сигналов для передачи сообщений (не только данных) от источника к получателю (и наоборот).

В пунктах 4 и 6 описания программно-технического уровня мероприятий по обеспечению безопасности ПДн были затронуты аспекты по защите линий и сетей связи.

Защита помещений.

Защита помещений включает в себя ограничение доступа в рабочие помещения. Данная задача была рассмотрена в разделе мероприятий по защите персональных данных.

В заключении хотелось бы отметить, что в Благотворительном фонде главное внимание уделено комплексу мероприятий по защите персональных данных, т.к. некоммерческая организация является полностью прозрачной структурой для контролирующих органов и выполнение положений федеральных законов является неотъемлемой частью ее функционирования. Поэтому  политика информационной безопасности Благотворительного фонда определяется в основном политикой защиты персональных данных, которая покрывает другие составные части системы информационной безопасности, показанные на схеме 1 на странице 1.

  Федеральный закон «О персональных данных» № 152-ФЗ от 27 июля 2006 года

Котухов М.М., Калашников А.О., Кубанков А.Н. «Информационная безопасность. Учебное пособие», Москва, 2008.

Назаров М. В., Кувшинов Б. И., Попов О. В., Теория передачи сигналов, Москва, 1970.

 

Ваша оценка: Пусто Средняя: 6.6 (5 голосов)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009