Разработка мер по защите персональных данных в органе государственной власти субъекта Федерации Текст научной статьи по специальности «Компьютерные и информационные науки»

Психолого-педагогический журнал Гаудеамус, №2 (20), 2012

тенциально опасных веб-сайтов. Есть несколько способов создания изолированных сред, но сначала необходимо изучить все факторы и риски, связанные с определенными методами изоляции. Безопасность всегда должна быть многоуровневой, поэтому не следует полагаться исключительно на «песочницы», как на единственное средство защиты.

Литература

1. Обзор изолированных решений [Электронный ресурс]. URL: http://technet.microsoil.com

2. Антивирусные песочницы. Введение [Электронный ресурс]. URL: http://habrahabr.ru

3. Антивирусные песочницы [Электронный ресурс]. URL: http://www.securrity.ru

УДК 004.056.53

РАЗРАБОТКА МЕР ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНЕ ГОСУДАРСТВЕННОЙ ВЛАСТИ СУБЪЕКТА ФЕДЕРАЦИИ

И.В. Фролов, И.А. Зауголков

В работе рассматривается вопрос о построении необходимого уровня защиты информационной системы персональных данных работников администрации Тамбовской области от внешних и внутренних угроз.

Ключевые слова: персональные данные, информационная система персональных данных, побочные электромагнитные излучения и наводки.

Как известно, особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека. Статья 2 Конституции Российской Федерации закрепляет основной принцип современного демократического общества: «Человек, его права и свободы являются высшей ценностью» [1]. Соответственно и информация, непосредственно затрагивающая частные интересы человека, должна уважаться и защищаться государством.

Для обеспечения надежной защиты персональных данных был принят Федеральный закон от 27.07.2006 г. № 152 «О персональных данных». Целью этого закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Федеральный закон от 27.07.2006 г. № 152 «О персональных данных» обязывает любое юридическое лицо принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения [2].

Цель работы заключается в обеспечении необходимого уровня защиты информационной системы персональных данных работни-

ков администрации Тамбовской области от угроз безопасности.

Для достижения поставленной цели был проанализирован объект защиты, состав нормативных документов организации, информационных ресурсов, установлен перечень персональных данных, обрабатываемых в организации, их состав, объем и способы обработки, информация на ресурсах была классифицирована по степени конфиденциальности, рассчитаны риски ресурсов по классу угроз.

Для определения уровня исходной защищенности ИСПДн были исследованы основные технические и эксплуатационные характеристики системы: территориальное размещение, наличие соединения с сетями общего пользования, разграничение доступа к персональным данным, уровень обобщения, объем ПДн, которые предоставляются пользователям ИСПДн без предварительной обработки, была проведена инвентаризация существующих средств защиты ресурсов и информации.

В рамках этого этапа было:

- проведено обследование существующих информационных систем персональных данных, а также анализ локальных организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных в организации;

2. Тенденции и особенности развития систем информационной безопасности

- подробно описана информационная система объекта защиты, структура информационной системы по обработке ПДн;

- информация классифицирована по уровню конфиденциальности;

- определена структура персональных данных, обрабатываемых в администрации области;

- составлена матрица доступа к общедоступным информационным ресурсам;

- произведен расчет рисков по трем базовым угрозам (общий уровень угроз на ресурс равен 150 300 руб.);

- произведена оценка риска ресурсов по отделам (общий уровень угроз по ресурсу 1 равен 211 200 руб., а ресурса 2 - 321 000 руб.).

Анализ исходной защищенности показал, что уровень принятых мер по защите информации средний.

Было проведено моделирование технических каналов утечки информации. Определено, что рассмотрение угроз утечки видовой информации и угроз утечки информации по каналам ПЭМИН актуально, а угроз утечки акустической информации неактуально, так как в администрации Тамбовской области отсутствует функция голосового ввода ПДн.

На этапе моделирования злоумышленника были рассмотрены возможности как внешних, так и внутренних нарушителей. Определены категории лиц, имеющих доступ к ИСПДн, виды угроз, была дана оценка и определен показатель опасности. Актуальными угрозами безопасности ПДн в ИСПДн администрации области являются:

- угрозы, реализуемые в ходе загрузки операционной системы;

- угрозы локального внедрения вредоносных программ;

- угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации;

- угрозы сканирования, направленные на выявление открытых портов и служб открытых соединений и др.;

- угрозы внедрения ложного объекта сети;

- угрозы типа «Отказ в обслуживании»;

- угрозы внедрения по сети вредоносных программ.

Третий этап ориентирован на разработку рекомендаций по защите персональных данных в организации.

В рамках организационно-правовой защиты:

1) разработан приказ о назначении ответственных лиц за обеспечение защиты ПДн;

2) разработано «Положение о порядке организации и проведении работ по обеспечению безопасности персональных данных при их обработке в ИСПДн» как основного нормативно-правового документа предприятия;

3) разработан приказ о создании комиссии по проведению классификации ИСПДн;

4) составлен перечень ИСПДн, в которых должна быть обеспечена безопасность ПДн;

5) составлен перечень ПДн работников администрации и государственных служащих;

6) составлен строго определенный список сотрудников организации, допущенных к работе с персональными данными.

Для инженерно-технической защиты рекомендуется использовать «Соната PC-2» -устройство защиты цепей электросети и заземления, металлодетектор «Паутина» - устройство для решения вопросов безопасности, предотвращения хищения цветных и ферромагнитных металлов, а также защитные многослойные стекла класса A3.

Из программно-аппаратных средств предложены к использованию «Dallas Lock 7.7» -средство для защиты персональных данных от НСД, комплекс КриптоПро 3.6 - для криптографической защиты информации в системе документооборота администрации.

Литература

1. Конституция РФ от 1993 г. Гл. 1, ст. 2 [Электронный ресурс]. URL: http://www.consti-tution.ru

2. О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ [Электронный ресурс]. URL: http://base.garant.ru