Психолого-педагогический журнал Гаудеамус, №2 (20), 2012
тенциально опасных веб-сайтов. Есть несколько способов создания изолированных сред, но сначала необходимо изучить все факторы и риски, связанные с определенными методами изоляции. Безопасность всегда должна быть многоуровневой, поэтому не следует полагаться исключительно на «песочницы», как на единственное средство защиты.
Литература
1. Обзор изолированных решений [Электронный ресурс]. URL: http://technet.microsoil.com
2. Антивирусные песочницы. Введение [Электронный ресурс]. URL: http://habrahabr.ru
3. Антивирусные песочницы [Электронный ресурс]. URL: http://www.securrity.ru
УДК 004.056.53
РАЗРАБОТКА МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНЕ ГОСУДАРСТВЕННОЙ ВЛАСТИ СУБЪЕКТА ФЕДЕРАЦИИ
И.В. Фролов, И.А. Зауголков
В работе рассматривается вопрос о построении необходимого уровня защиты информационной системы персональных данных работников администрации Тамбовской области от внешних и внутренних угроз.
Ключевые слова: персональные данные, информационная система персональных данных, побочные электромагнитные излучения и наводки.
Как известно, особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Статья 2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью» [1]. Соответственно и информация, непосредственно затрагивающая частные интересы человека, должна уважаться и защищаться государством.
Для обеспечения надежной защиты персональных данных был принят Федеральный закон от 27.07.2006 г. № 152 «О персональных данных». Целью этого закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Федеральный закон от 27.07.2006 г. № 152 «О персональных данных» обязывает любое юридическое лицо принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения [2].
Цель работы заключается в обеспечении необходимого уровня защиты информационной системы персональных данных работни-
ков администрации Тамбовской области от угроз безопасности.
Для достижения поставленной цели был проанализирован объект защиты, состав нормативных документов организации, информационных ресурсов, установлен перечень персональных данных, обрабатываемых в организации, их состав, объем и способы обработки, информация на ресурсах была классифицирована по степени конфиденциальности, рассчитаны риски ресурсов по классу угроз.
Для определения уровня исходной защищенности ИСПДн были исследованы основные технические и эксплуатационные характеристики системы: территориальное размещение, наличие соединения с сетями общего пользования, разграничение доступа к персональным данным, уровень обобщения, объем ПДн, которые предоставляются пользователям ИСПДн без предварительной обработки, была проведена инвентаризация существующих средств защиты ресурсов и информации.
В рамках этого этапа было:
- проведено обследование существующих информационных систем персональных данных, а также анализ локальных организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных в организации;
2. Тенденции и особенности развития систем информационной безопасности
- подробно описана информационная система объекта защиты, структура информационной системы по обработке ПДн;
- информация классифицирована по уровню конфиденциальности;
- определена структура персональных данных, обрабатываемых в администрации области;
- составлена матрица доступа к общедоступным информационным ресурсам;
- произведен расчет рисков по трем базовым угрозам (общий уровень угроз на ресурс равен 150 300 руб.);
- произведена оценка риска ресурсов по отделам (общий уровень угроз по ресурсу 1 равен 211 200 руб., а ресурса 2 - 321 000 руб.).
Анализ исходной защищенности показал, что уровень принятых мер по защите информации средний.
Было проведено моделирование технических каналов утечки информации. Определено, что рассмотрение угроз утечки видовой информации и угроз утечки информации по каналам ПЭМИН актуально, а угроз утечки акустической информации неактуально, так как в администрации Тамбовской области отсутствует функция голосового ввода ПДн.
На этапе моделирования злоумышленника были рассмотрены возможности как внешних, так и внутренних нарушителей. Определены категории лиц, имеющих доступ к ИСПДн, виды угроз, была дана оценка и определен показатель опасности. Актуальными угрозами безопасности ПДн в ИСПДн администрации области являются:
- угрозы, реализуемые в ходе загрузки операционной системы;
- угрозы локального внедрения вредоносных программ;
- угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации;
- угрозы сканирования, направленные на выявление открытых портов и служб открытых соединений и др.;
- угрозы внедрения ложного объекта сети;
- угрозы типа «Отказ в обслуживании»;
- угрозы внедрения по сети вредоносных программ.
Третий этап ориентирован на разработку рекомендаций по защите персональных данных в организации.
В рамках организационно-правовой защиты:
1) разработан приказ о назначении ответственных лиц за обеспечение защиты ПДн;
2) разработано «Положение о порядке организации и проведении работ по обеспечению безопасности персональных данных при их обработке в ИСПДн» как основного нормативно-правового документа предприятия;
3) разработан приказ о создании комиссии по проведению классификации ИСПДн;
4) составлен перечень ИСПДн, в которых должна быть обеспечена безопасность ПДн;
5) составлен перечень ПДн работников администрации и государственных служащих;
6) составлен строго определенный список сотрудников организации, допущенных к работе с персональными данными.
Для инженерно-технической защиты рекомендуется использовать «Соната PC-2» -устройство защиты цепей электросети и заземления, металлодетектор «Паутина» - устройство для решения вопросов безопасности, предотвращения хищения цветных и ферромагнитных металлов, а также защитные многослойные стекла класса A3.
Из программно-аппаратных средств предложены к использованию «Dallas Lock 7.7» -средство для защиты персональных данных от НСД, комплекс КриптоПро 3.6 - для криптографической защиты информации в системе документооборота администрации.
Литература
1. Конституция РФ от 1993 г. Гл. 1, ст. 2 [Электронный ресурс]. URL: http://www.consti-tution.ru
2. О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ [Электронный ресурс]. URL: http://base.garant.ru