Разработка системы информационной безопасности Благотворительного фонда

Муратов О.В.
выпускник группы MBA CIO 30
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Целью данной работы является построение концепции разработки системы информационной безопасности  Благотворительного фонда (далее – «Фонд»). Концепция должна учитывать современное состояние и ближайшие перспективы развития автоматизированной системы Фонда, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также анализа угроз безопасности для Фонда.

Первым этапом построения сбалансированной системы информационной безопасности является проведение анализа рисков и угроз; затем - определение оптимального уровня риска для организации на основе заданного критерия.

Информационная безопасность организации включает в себя модули, показанные на схеме 1.

Схема 1

Теперь рассмотрим каждый из этих модулей в отдельности.

 Защита персональных данных.

Персональные данные (далее – «ПДн») - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Особенностью деятельности Благотворительного фонда является обработка персональных данных физических лиц, в связи  с чем, деятельность Фонда подпадает под действие закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее – «Закон») как оператора персональных данных. Согласно Закону, оператор персональных данных должен обеспечить ряд мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Концепция построения системы защиты персональных данных Фонда:

1. Обследование информационной системы с целью инвентаризации ресурсов и классификации ИСПДн (информационных систем персональных данных).
Для этих целей Фондом была привлечена сторонняя организация, имеющая лицензию ФСТЭК на осуществление такого рода деятельности. В результате был составлен следующий перечень ИСПДн Благотворительного фонда: Единая отраслевая система персонифицированного учета (ЕОСПУ); тестовая ЕОСПУ, полностью повторяющая структуру и наполнение основной системы; почтовый сервер Интернет; почтовый сервер СПД (интранет-сеть); служба каталога Active Directory; центр сертификации в сети СПД; 1С: Зарплата и кадры; обязательное медицинское страхование. Были даны основные характеристики каждой информационной системы. Исходя из данных характеристик и в результате анализа структуры каждой ИСПДн и их наполнения, была составлена следующая классификация: для ЕОСПУ и тестовой системы – специальная, класс 1 (К1); для почтового сервера Интернет – специальная, К2; для почтового сервера СПД – специальная, К2; для службы каталогов Active Directory – специальная, К3; центр сертификации – специальная, К3; 1С: Зарплата и кадры – специальная, К2; обязательное медицинское страхование – специальная, К2.

2. Составление частной модели угроз безопасности персональных данных (ЧМУ ПДн) и определение мероприятий по обеспечению безопасности ПДн, исходя из класса ИСПДн. В их число входит сочетание мер организационного и программно-технического уровней.

Меры организационного уровня, в свою очередь, подразделяются на меры административного и процедурного уровней. Основой мер административного уровня является политика безопасности. Под политикой безопасности понимается  совокупность документированных управленческих решений, направленных на защиту персональных данных и ассоциированных с ними  ресурсов. Политика безопасности в отношении персональных данных определяется перечнем нормативных и организационно-распорядительных документов Фонда. К процедурному уровню относятся меры безопасности (процедуры), реализуемые сотрудниками Фонда.

К программно-техническому уровню относится комплекс программно-аппаратных средств, которые должны выполнять следующие задачи:

1. Защита внешнего периметра корпоративной сети Фонда от  угроз со стороны внешних сетей.
2. Защита корпоративных серверов за счет использования  механизмов управления доступом к серверам баз данных, файловым, информационным и почтовым серверам.
3. Комплексная антивирусная защита систем, входящих в  состав корпоративной сети.
4. Мониторинг сетевого трафика в реальном масштабе  времени.
5. Защита прикладных подсистем, функционирующих в  составе корпоративной сети.
6. Защита межсетевых взаимодействий между ЛВС входящими в состав корпоративной сети, включая ЛВС подразделений Фонда, ЛВС филиалов и аффилированных структур.

На программно-техническом уровне выполнение защитных  функций в ИСПДн должно осуществляться следующими  сервисами безопасности:

1. Идентификация/аутентификация;
2. Разграничение доступа;
3. Протоколирование/аудит;
4. Шифрование;
5. Контроль целостности;
6. Контроль защищенности;
7. Управление.

Наряду с вышеописанным, так же должна быть организована физическая защита зданий и помещений, в которых проводится обработка персональных данных. Надежная система физической защиты должна  исключить: 

• Неправомочный доступ к аппаратуре обработки  информации.
• Неразрешенный вынос носителей информации.
• Неправомочное использование систем обработки информации и незаконное получение данных.
• Доступ к системам обработки информации посредством нестандартных (самодельных) устройств.
• Неконтролируемое считывание, модификацию или удаление данных в процессе их передачи или транспортировки носителей информации.

В результате был разработан и утвержден план по обеспечению соответствия деятельности Фонда требованиям Федерального закона № 152-ФЗ «О персональных данных».

Для выполнения мероприятий по реализации мер обеспечения безопасности ПДн в Фонде были введены новые должности. В связи с небольшим размером организации отдел «Информационной безопасности» в Фонде отсутствует и данные должности были совмещены с должностями сотрудников ИТ-отдела.

Компьютерная безопасность.

Компьютерная безопасность - раздел информационной безопасности, связанный с ее обеспечением при создании и эксплуатации различных систем электронной обработки данных и автоматизированных сетей связи, в первую очередь вычислительных (компьютерных) систем.

Как мы могли видеть из описания программно-технического уровня мероприятий по обеспечению безопасности ПДн, обеспечение компьютерной безопасности нами реализовано при обеспечении мероприятий по защите персональных данных.

Защита каналов и сетей связи.

Канал связи -  система технических средств и среда распространения сигналов для передачи сообщений (не только данных) от источника к получателю (и наоборот).

В пунктах 4 и 6 описания программно-технического уровня мероприятий по обеспечению безопасности ПДн были затронуты аспекты по защите линий и сетей связи.

Защита помещений.

Защита помещений включает в себя ограничение доступа в рабочие помещения. Данная задача была рассмотрена в разделе мероприятий по защите персональных данных.