Защита персональных данных курс лекций

1.8.1.Классификация информационных систем

Информационные системы подразделяются на различные классы на основе отличительных признаков, причем число таких классификаций находится в прямой зависимости от цели и числа существенных признаков. Классификация, приведенная ниже, сделана в контексте информационной безопасности, когда отличительные признаки позволяют ранжировать системы по степени защищенности.

Для проведения классификации потребуется определить понятие контролируемой зоны, которое имеет большое значение для организации защиты информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Огороженная территория с единственным пропускным пунктом, через который разрешен проход только сотрудникам предприятия или иным лицам, но только в сопровождении сотрудников – пример контролируемой зоны.

Если предприятие размещено в 2-х зданиях, расположенных на противоположных сторонах улицы, то здания – контролируемая зона, а улица поверх которой проложены коммуникационные кабели, объединяющие локальные подсети в единую сеть предприятия – неконтролируемая зона.

Если предприятие арендует две несмежные комнаты на одном этаже и компьютеры, размещенные в этих комнатах, объединены в локальную вычислительную сеть посредством кабеля, проходящего через не принадлежащие ему помещения, то в целом сеть развернута в неконтролируемой зоне.

1.8.1.1.Локальная информационная система

Следующие понятия, касающиеся локальных и распределенных информационных систем, достаточны сложны при академическом подходе к их определению. Поэтому ниже приводятся достаточно вольные трактовки, которых вполне достаточно для понимания необходимых аспектов информационной безопасности. В частности, эти понятия понадобятся при определении частной модели угроз безопасности (см. соответствующую лекцию).

Локальная информационная система состоит из расположенных локально в контролируемой зоне единственного или нескольких компьютеров (основного технического средства), и выполняющих обработку информации.

1.8.1.2.Распределенная информационная система

Распределенная система – это набор независимых компьютеров, представляющийся их пользователям единой объединенной системой. Компоненты в распределенной информационной системе (информация, программы) распределены по нескольким компьютерам. Несколько другое понимание распределенной системы, когда компоненты ее не только распределены по нескольким компьютерам, но и расположены в разных контролируемых зонах, которые объединены сетями общего пользования, например, Интернет.

Наиболее распространенный вид распределенной информационной системы в малых предприятиях, когда на одном из компьютеров (сервере) располагаются данные (база данных), а основная обработка ведется на других компьютерах (клиентах). Такая технология обработки данных носит название «Клиент-сервер».

1.8.1.3.Автономная (изолированная) информационная система

Автономная (замкнутая, закрытая) информационная система не связана никакими каналами передачи данных с другими информационными системами. Единственный способ получения доступа к информации в автономной системе (за исключением использования побочных электромагнитных излучений и наводок) быть пользователем или внутренним нарушителем (получившим несанкционированный доступ).

Персональный компьютер с установленной операционной системой Windows и приложением для расчета заработной платы сотрудникам малого предприятия – пример автономной информационной системы, если выполнены следующие условия:

в компьютере не задействованы или отсутствуют технические средства для организации доступа к персональным сетям (технология типа Blue Tooth), локальным проводным и беспроводным сетям (Ethernet, Wi-Fi), сетям международного информационного обмена (Интернет).

Компьютер размещен в контролируемой зоне предприятия.

1.8.1.4.Информационная система, имеющая подключения к сети общего пользования

Под сетью общего пользования понимается локальная вычислительная сеть предприятия, корпоративная сеть предприятия, охватывающая подразделения, которые территориально разнесены на значительные расстояния друг от друга, сеть Интернет. Такие информационные системы типичны для малого и среднего бизнеса, так как они развивались без учета на этапе проектирования (если вообще проектировались) проблем информационной безопасности. Более того, реальные информационные системы имеют многоточечное соединение с другими сетями, что сильно затрудняет их изоляцию.

Обычная практика, когда компьютеры одной информационной системы (например, бухгалтерского учета) расположены на разных этажах здания и подключены к «этажным» коммутаторам совместно с компьютерами других систем. В свою очередь, коммутаторы, размещенные на разных этажах, объединяются главным коммутатором. Такая топология исключительно уязвима, так как требуется защищать каждый компьютер информационной системы. Правильное решение – все компьютеры информационной системы имеют единственную «точку» соединения с сетями общего пользования. Обычно такой точкой бывает аппаратный или программный маршрутизатор (с межсетевым экраном), который при надлежащей настройке способен гибко контролировать передачу данных из информационной системы и в информационную систему.

1.8.1.5.Однопользовательская информационная система

Если информационная система обслуживает одного пользователя, то она называется однопользовательской. Редко встречающийся, но практически существующий вид информационной системы.

1.8.1.6.Многопользовательская информационная система

Информационная система, обслуживающая несколько пользователей, называется многопользовательской. Как правило, большая часть информационных систем – многопользовательские.

1.8.1.7.Информационная система с разграничением прав доступа к информации

Информационная система, предоставляющая различные права доступа различным пользователям, называется информационной системой с разграничением прав доступа. Например, руководителю предприятия может быть предоставлен доступ к платежной ведомости только в режиме просмотра, главному бухгалтеру – полный доступ, а бухгалтеру, учитывающему основные средства и материалы, доступ будет запрещен.

1.8.1.8.Государственная и муниципальная информационная система

В контексте обработки персональных данных может возникнуть определенная трудность у лиц государственных (муниципальных, муниципальных казенных) организаций (предприятий, учреждений) в определении того, какие информационные системы относят к государственным информационным системам (ГИС) или к муниципальным информационным системам (МИС). Например, относится ли информационная система, обрабатывающая персональные данные сотрудников государственного учреждения в отделе бухгалтерского учета или в отделе кадров, к ГИС?

Общепринятого ответа на этот вопрос пока не существует в силу неоднозначного толкования определений этих понятий в нормативно-правовых актах. Версия автора изложена ниже.

Перечень мер и средств защиты информации в ГИС и МИС предъявляют намного более строгие требования и, соответственно, их защита более затратная.

1.8.1.8.1.Государственная информационная система

На основании ст. 13 п.1 ФЗ от 27 июля 2006 г. № 149 «Об информации, информационных технологиях и защите информации» «государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов». Цель создания ГИС определяется в ст. 14 п. 1 «государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях».

Для справки, государственный орган – особая политическая организация (или одно должностное лицо), наделенная необходимыми материальными средствами, государственно-властными полномочиями (компетенцией), в том числе правом принятия правовых актов внешнего действия, имеющая четкую организационную структуру (право единоличных органов создавать при себе государственные органы).

Анализируя приведенные выше определения, приходим к следующему выводу. Информационные системы обработки персональных данных, такие как «бухучет» государственного предприятия, учреждения, государственной организации или другого государственного органа не реализуют полномочия государственных органов и не обеспечивают обмен информацией между этими органами для реализации полномочий, поэтому не могут считаться ГИС.

Например, Министерство иностранных дел РФ с целью реализации своих полномочий использует Федеральную Государственную информационную систему (ФГИС) «Автоматизированная система оформления приглашений иностранных граждан на территорию Российской Федерации МИД России». Решение о создании данной ГИС принято Правительством Российской Федерации (государственным органом) за № 459 от 1995-05-15. Цель данной ГИС – реализация полномочий министерства, в частности, «принятие решений о выдаче виз иностранным гражданам и лицам без гражданства».

Для учета материальных ценностей в структуре МИД имеется отдел бухгалтерского учета, который используют информационную систему «бухучет», автоматизирующую процессы учета и отчетности. Но информационная система «бухучет» МИД не реализует никаких полномочий министерства в отношении взаимодействия его с иностранными государствами, иностранными гражданами и лицами без гражданства.

В данном случае, как ФГИС, так и информационная система «бухучет» обрабатывают персональные данные. Но к данной ФГИС должны применяться требования приказа Федеральной служба по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». К системе «бухучет» должны применяться требования другого приказа той же службы от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

1.8.1.8.2.Муниципальная информационная система

Муниципальный орган – орган местного самоуправления, обладающий правом принимать в рамках общих законов обязательные в пределах данного региона решения, вводить местные налоги и платежи, формировать и распределять местные бюджеты, осуществлять социальные меры, направленные на поддержку жителей региона.

Информационные системы, созданные на основе решения (приказа, постановления, распоряжения) руководства муниципального органа следует отнести к муниципальным информационным системам (МИС). К таким системам на основании п.3 раздела «Общие положения» приказа ФСТЭК от 11 февраля 2013 г. № 17 («Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении), как ни парадоксально, должны применяться требования именно этого приказа.

1.8.1.8.3.Информационная система муниципального казенного учреждения

Казенное учреждение – это государственное (муниципальное) учреждение, оказывающее государственные (муниципальные) услуги, выполняющее работы и (или) исполняющее государственные (муниципальные) функции в целях обеспечения реализации полномочий органов власти или органов местного самоуправления, финансовое обеспечение деятельности которого осуществляется за счет средств бюджета на основании бюджетной сметы.

Муниципальное казенное учреждение (МКУ) не является органом местного самоуправления (муниципальным органом). Поэтому информационные системы, созданные на основе решений руководства МКУ (например, «учет кадров»), не могут относиться к МИС. К таким информационным системам, в частности, к системам обработки персональных данных, применим приказ ФСТЭК от 18 февраля 2013 г. № 21.

Если информационная система казенного учреждения создана на основании решения муниципального или регионального органа (распоряжения губернатора, закона субъекта Российской федерации и т.д.), то к ней должен быть применен приказ ФСТЭК от 11 февраля 2013 г. № 17.

1.9. Информационная безопасность

Под информационной безопасностью будет пониматься защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам (обладателям), пользователям информации и поддерживающей инфраструктуре. Нарушение информационной безопасности – это нарушение конфиденциальности, целостности или доступности информации.

В последнее время получает популярность в среде профессионалов информационной безопасности термин «киберустойчивость», который предположительно придет на смену термину «информационная безопасность»

Каждая информационная система имеет свою цель, определяемую ее владельцем, конкретным предприятием. Только, исходя из цели и ценности информационного актива, можно понять, какие грани информационной безопасности наиболее важны и важны ли вообще.

Если это информационная система учебного учреждения, то вполне вероятно, что нарушение конфиденциальности, целостности или доступности информации не приведет к неприемлемому ущербу: занятия можно перенести без особых потерь.

Если информационная система принадлежит режимному предприятию, обрабатывающему секретную информацию, то на первом месте находится защита конфиденциальности, а остальные свойства, хотя и важны, но в этом контексте все же второстепенны.

Если, наконец, это информационная система лечебного учреждения, которая является существенным компонентом системы поддержания жизнедеятельности больного человека, нарушение любого из свойств информации может привести к непоправимым последствиям, например, летальному исходу.

1.10. Защита информации

У руководства любого предприятия, в котором используются информационные системы, в какой-то момент времени (надеемся) возникает вопрос, в каком состоянии находится защищенность информационных активов, достаточно ли предпринятых мер, чтобы спать спокойно? Получить ответ на этот вопрос совсем не просто.

Из практической деятельности в области информационной безопасности давно выведены следующие постулаты:

Затраты на защиту информации не могут превышать стоимость (в том или ином выражении) самой информации;

Нет абсолютно защищенных информационных систем, нарушение защиты – вопрос времени, ресурсов и квалификации нарушителя.

Затраты нарушителя информационной безопасности должны превышать ущерб обладателя информации.

Эти прекрасные руководящие принципы для руководства предприятия, чтобы понять, разумна ли просьба IT отдела потратить на защиту 100000 рублей, когда ущерб может составить 1000 рублей.

Существует два основных подхода к оценке защищенности информации. По одному из них проверяется соответствие мер и средств, уже предпринятых для защиты, с требованиями какого-нибудь уважаемого (лучше международного) стандарта. Во втором подходе используется оценка рисков и управление рисками для создания оптимальной защиты.

Надо заметить, что последний приказ федеральной службы по техническому и экспортному контролю (№ 21 от 18.02.2013 г.) более ориентирует на первый подход, а более старый, но действующий («Методика определения актуальных угроз…» утвержденная 14.02.2008 г.) делает упор на второй, в их терминологии моделирование актуальных угроз. Таким образом, ФСТЭК как бы предписывает комбинацию подходов.

Чтобы узнать состояние защищенности информации необходимо провести исследование, которое в общих чертах состоит из следующих этапов:

Инвентаризация ИС.

Определение уязвимостей каждой ИС.

Определение угроз для каждой ИС.

Определение источников угроз для каждой ИС.

Определение рисков для каждой ИС.

Принятие контрмер в отношении каждой ИС, если риск неприемлем.

1.10.1.Инвентаризация информационных систем

Для простоты анализа предположим о наличии только одной ИС на предприятии, полученное знание легко проецируется на любое количество. В результате инвентаризации будет получена и документирована информация, являющаяся информационным активом предприятия. В зависимости от рода деятельности это может быть информация о заключенных договорах, состоянии их выполнения, поставленной продукции, оплаченных счетах, в целом информация о клиентах. Для понимания процесса анализа это не важно. На этом этапе нужно оценить стоимость информационного актива, задавая сложные вопросы «что будет», если» и получая простые ответы «ущерб или негативные последствия в сумме». Например, что будет, если конструкторская документация изделия, доведенная до промышленного образца, попадет в руки конкурентной фирмы. Ответ: «потеря конкурентного преимущества приведет к ущербу в 1 миллиард рублей» или аналогичный. Понятно, что в ущерб должны быть внесены и потери, плохо выражаемые в денежном эквиваленте, например, потери от снижения деловой репутации банка, в котором похищены пароли клиентов в системах дистанционного банковского обслуживания.

Итак, оценка стоимости информационного актива получена и получена оценка ущерба при соответствующих инцидентах безопасности.

Внимание: Если ущерб для данного предприятия не существенный, то можно абсолютно не заботиться об информационной безопасности, по крайней мере, до переоценки ценностей.

1.10.2.Определение уязвимостей

В общем случае под уязвимостью понимается отсутствие или слабость защитных мер. Применительно к ИС уязвимостью может быть недостаток или ошибка в системном или прикладном программном обеспечении, отсутствие аварийных генераторов электричества, слабая физическая безопасность, позволяющая постороннему войти в серверную комнату и многое другое. Уязвимость – это то, что позволит злоумышленнику или стихийному бедствию нарушить информационную безопасность.

Присутствие уязвимости в информационной системе само по себе еще не представляет опасности для информационной безопасности. Необходимо наличие и других факторов, которые «способны эксплуатировать» данную уязвимость. Хорошо известны слабости в протоколах TPC/IP межсетевого взаимодействия компьютерных сетей, однако они не существенны в локальной системе.

На этапе определения уязвимостей проверяется присутствие в данной ИС всех известных уязвимостей в информационных системах и формируется список действующих уязвимостей.

Внимание: Пустой список действующих уязвимостей (отсутствие известных уязвимостей в конкретной информационной системе) еще не основание для полного восторга и прекращения деятельности по защите информации. Как известно, с течением времени в системном и прикладном программном обеспечении обнаруживаются новые ошибки, которыми быстрее вас могут воспользоваться злоумышленники.

1.10.3.Определение угроз

Угроза – это потенциальная опасность для информации, информационной системы или для поддерживающей ее инфраструктуры. Если для входа в операционную систему с учетной записью администратора системы не требуется пароля (уязвимость), то существует потенциальная опасность утечки конфиденциальной информации. Существует опасность выхода из строя блока питания системного блока компьютера из-за перенапряжения, что приведет к нарушению доступности информации.

На этом этапе составляется перечень возможных угроз, направленных на присутствующие уязвимости и приводящие к нарушению безопасности.

Наличие угрозы самой по себе не может нарушить безопасность, еще необходимо, чтобы кто-то или что-то инициировало ее, и воздействуя на присутствующую в системе уязвимость, нанес ущерб информационному активу.

1.10.4.Определение источников угроз

Источник угрозы – некто (человек) или нечто (вредоносная программа, явление природы), формирующее воздействие, которое направлено на использования уязвимости. Источником угрозы может быть хакер, получивший доступ к сети через открытый на межсетевом экране порт; процесс, осуществляющий доступ к данным способом, нарушающим политику безопасности; землетрясение, разрушившее здание; сотрудник, совершивший ошибку, которая может привести к утечке конфиденциальной информации.

Источник угроз, находящийся в пределах контролируемой зоны, называется внутренним нарушителем (инсайдер), а находящийся вне контролируемой зоны называется внешним нарушителем (аутсайдером).

Пользователь информационной системы при определенной мотивации может быть внутренним нарушителем, также сотрудник, обслуживающий систему кондиционирования в серверной комнате, может стать внутренним нарушителем.

Пятнадцатилетний школьник, ведомый любопытством, скачав из Интернета бесплатную программу, сетевой сканер, становится примером внешнего нарушителя.

Группа высококвалифицированных людей в области информационной безопасности, объединенных преступным мотивом наживы и специализирующиеся на удаленной краже информации о кредитных картах, другой пример внешнего нарушителя.

На этом этапе составляется перечень возможных источников угроз. Если источником угроз является человек, делаются предположения о мотивах воздействия, квалификации, наличии средств воздействия и других ресурсах, определяющих потенциал нарушителя.

1.10.5.Определение рисков

Источник угрозы может инициировать угрозу, направленную на уязвимость в информационной системе, которая приведет к нарушению безопасности информации с получением существенного вреда или ущерба предприятию. Для оценки возможности подобных сценариев вводится понятие риска.

Риск – это вероятность того, что источник угрозы воспользуется уязвимостью и это приведет к негативному воздействию на бизнес предприятия путем нарушения информационной безопасности. Другими словами, риск связывает вероятность реализации угрозы с ущербом от нарушения безопасности, причем эта связь может выражаться при численной оценке как произведение вероятности на сумму ущерба.

Если межсетевой экран имеет несколько открытых портов, существует высокая вероятность, что злоумышленник воспользуется одним из них для несанкционированного доступа к компьютерной сети. Если пользователи не обучены правильным процессам и процедурам, существует высокая вероятность совершения ими умышленных или неумышленных ошибок, которые могут привести к уничтожению данных.

Точное, числовое определение рисков – явно непосильная задача для многих информационных систем. Поэтому может быть продуктивной качественная оценка риска в следующем виде: отсутствие риска, низкий риск, средний риск, высокий риск. Существуют методики определения риска, разработанные разными компаниями. Подробное рассмотрение подобных методик не является целью данной лекции, и читатель может обратиться к другим источникам.