Защита персональных данных курс лекций

Оценив риск, его можно принять и не предпринимать никаких действий по изменению информационной безопасности, перенести риск на другое предприятие, например, застраховать возможный ущерб или предпринять контрмеры для его снижения. Можно еще убрать риск, прекратив обрабатывать информацию, однако, эта мера невозможна при обработке персональных данных.

1.10.6.Контрмеры (защитные меры)

Контрмеры (или защитные меры) – это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка программного обеспечения, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями, физическая охрана помещений, механизмы контроля доступа операционных систем, установка паролей BIOS, проведение обучения пользователей в области информационной безопасности.

На следующем рисунке, взятом из «Основных критериев» (Руководящий документ. Безопасность информационных технологий. Критерии безопасности информационных технологий. Приказ Гостехкомиссии России от 19.0.6.02 № 187), показана взаимосвязь рассмотренных понятий информационной безопасности.

1.10.7.Исходная безопасность информационных систем

Понятие исходной безопасности информационной системы определяется больше ее структурными особенностями, а не наличием специальных средств защиты.

Очевидно, что локальная однопользовательская информационная система наиболее безопасная, чем остальные. Получить доступ к информации в такой системе можно только одновременно с получением физического доступа к компьютеру этой системы. Однако функциональные свойства подобных систем очень ограничены и широкого применения они в обычных предприятиях не находят.

Также очевидно, что многопользовательская распределенная информационная система, компоненты которой территориально находятся на значительном расстоянии друг от друга и частично расположены в неконтролируемых зонах (Интернет) исходно наименее безопасна. Но ее функциональные возможности наиболее привлекательны для современных предприятий.

Другие системы по безопасности занимают промежуточное место между позициями, занимаемыми этими крайними информационными системами. Напрашивается банальный вывод, чем функциональнее (и сложнее) система, тем сложнее обеспечить ее безопасность.

Задача специалистов по информационной безопасности состоит в том, чтобы, не уменьшая функциональности информационных систем, обеспечить приемлемый уровень их безопасности, определяемый или информационным активом, или законодательными требованиями.

1.11. Иллюстрация введенных понятий на простом примере

В качестве примера выбрана типичная информационная система, используемая в малых предприятиях, в которой обрабатываются персональные данные сотрудников этого предприятия. Данный пример – не вымысел, автор этих строк взял его из практики создания проекта по защите персональных данных одного из предприятий. Глубокого понимания, что такое персональные данные в данном примере не требуется. Пусть это будет информационная система для начисления заработной платы сотрудникам предприятия.

Для обеспечения коллективной работы главного бухгалтера и бухгалтера расчетчика выбраны основные технические средства, состоящие из двух персональных компьютеров, объединенных в локальную сеть передачи с помощью 4-х портового ADSL маршрутизатора. Компьютеры управляются операционными системами Windows XP. Информационная технология реализуется прикладной программой «1С: Предприятие v.x.x. Зарплата». Один из компьютеров используется как рабочая станция и сервер и на нем (на жестком диске) создана папка, содержащая необходимые данные программы «1С». Эта папка сделана общим ресурсом, чтобы другая рабочая станция (клиент) информационной системы имела доступ к общим данным. Для простоты управления на компьютере-сервере разблокирована учетная запись «Гость», чтобы любой пользователь клиента имел полный доступ к общей папке.

Кроме компьютеров информационной системы к локальной сети по проводному сегменту подключен компьютер юрисконсульта, который некоторую часть рабочего времени проводит за поиском нужной информации в Интернете. Используя беспроводной доступ к маршрутизатору (точке доступа), сотрудник отдела сбыта ищет потенциальных клиентов, отправляя им электронную почту с предложениями продукции предприятия. Для подключения компьютера отдела сбыта к точке доступа аутентификация не требуется.

Предприятия использует аутсорсинг, в рамках которого сотрудник фирмы, специализирующийся на сопровождение продуктов фирмы 1С, периодически удаленно через Интернет подключается к рабочему столу сервера по протоколу RDP. Во время сеансов удаленного доступа устанавливаются обновления форм программы «1С» и выполняются другие работы. Для поддержки этого удаленного доступа на ADSL маршрутизаторе настроена функция трансляции сетевых адресов по «переброске» всех входящих сетевых пакетов на сервер.

Сотрудники бухгалтерии, искренне веря в высочайшую надежность технических средств, никогда не архивируют данные, обрабатываемые программой «1С Зарплата».

Для наглядности на рисунке схематично представлены все участники информационных взаимодействий.

1.11.1.Анализ уязвимостей

Из описания примера можно выделить несколько уязвимостей информационной системы (на самом деле, практика проведения анализа показывает, что количество подобных уязвимостей достигает нескольких десятков):

1. Отсутствует разграничение доступа к общему ресурсу, папке на файловом сервере, для пользователей информационной системы и, соответственно, для потенциальных нарушителей;

2. Подключение компьютера по беспроводной сети к точке доступа не требует аутентификации (в данном примере, компьютер отдела сбыта не должен доказывать точке доступа, что он именно и есть тем, за кого себя выдает);

3. Запросы из Интернет, направленные на публичный адрес сети предприятия 84.53.200.101, перенаправляются на файловый сервер с IP адресом 192.168.1.3 без фильтрации протоколов транспортного и прикладного уровней.

4. Не проводится регулярное создание копий (архивов) информационной базы.

1.11.2.Определение угроз

Угрозами в данном примере будут:

1. опасность несанкционированного доступа к общему ресурсу – папке, в которой находится информация;

2. Опасность выхода из строя жесткого диска, на котором размещен общий ресурс.

1.11.3.Определение источников угроз

Источниками угроз будут (для простоты перечислены не все, но типичные):

1. Внутренний нарушитель № 1 – юрисконсульт.

2. Внутренний нарушитель № 2 – сотрудник отдела сбыта

3. Внутренний нарушитель № 3 – расчетный бухгалтер

4. Внешний нарушитель №1 – мошенник, получающий кредиты по подложным документам в банке с помощью своего подельника, сотрудника кредитного отдела.

5. Внешний нарушитель № 2 – студент 3-го курса, углубленно изучающий компьютерные сети.

1.11.4.Определение рисков

Также для простоты будут проанализированы не все риски, а только типовые. Еще раз необходимо подчеркнуть, и это будет продемонстрировано на примере, трудность определения и даже оценки рисков.

Юрисконсульт, обиженный на низкую заработную плату по сравнению с зарплатой руководителя и многократный отказ повысить ее, решил уволиться и заодно прихватить с собой базу с персональной информацией. Используя уязвимость № 1, копирует ее с сервера на извлекаемое устройство типа «флешки», нарушая конфиденциальность информации.

Внутренний нарушитель № 3, формируя данные о зарплате для передачи их по системе дистанционного банковского обслуживания на счета сотрудников, намеренно (или по ошибке) указывает в справочнике счетов ошибочный, что приводит к нарушению целостности информации.

Внешний нарушитель № 1, разъезжает по населенному пункту мимо промышленных, торговых и иных зданий, пытаясь с помощью мобильного компьютера подключиться по беспроводному доступу к информационным системам. Воздействуя на уязвимости № 1 и № 2 реализует угрозу и копирует базу данных с нарушением конфиденциальности для последующего анализа в спокойной обстановке в тиши своего кабинета.

Внешний нарушитель № 2 для закрепления изученного материала (не отдавая отчет о наличие закона, запрещающего подобные действия) сканирует с помощью сетевого сканера диапазон IP адресов, обнаруживает «живой» сервер предприятия, эксплуатируя уязвимость № 3. Желая пошутить, удаляет полностью или частично базу данных – нарушение доступности, воздействуя на уязвимость № 1.

Не вдаваясь подробно в методики оценки рисков (см., например, документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»), сконцентрируем внимание на угрозе воздействия студента и отнесем риск нарушения доступности к высокому риску. Возможный ущерб от данной угрозы складывается из:

Потери времени работников бухгалтерии на восстановление информации вручную;

Задержки выплаты заработной платы – это негативные последствия для работников предприятия. Особо недовольные сотрудники могут подать в суд и потребовать моральной компенсации, мотивируя это сильными душевными переживаниями.

Привлечения внимание Роскомнадзора (вследствие предыдущего пункта), который организует внеплановую выездную проверку выполнения требований Федерального закона «О персональных данных» и наложит административное или уголовное наказание на руководителя предприятия.

Еще большие потери для предприятия могут быть понесены от действий внешнего нарушителя № 1.

1.11.5.Контрмеры

Руководство предприятия, внимательно ознакомившись с оценкой рисков данного примера, вряд ли примет решение о принятие их, что означает не предпринимать никаких защитных мер. Сомнительно, чтобы страховая компания заключила договор о страховании в столь невыгодной для нее ситуации, поэтому перенести риск тоже не удастся. Можно, конечно, убрать риск, прекратив автоматизированную обработку персональных данных, и вернувшись к ручному расчету зарплаты!

Вероятнее всего здравомыслящий руководитель даст указание о мероприятиях, которые должны либо полностью удалить уязвимости, либо снизить их влияние на риски.

Возможные варианты мероприятий в порядке предпочтения перечислены ниже:

Разграничить правила доступа к общему ресурсу таким образом, чтобы пользователи информационной системы имели минимальные права доступа, но достаточные для выполнения обязанностей. В простейшем случае это реализуется штатными средствами операционной системы, основанной на парольной аутентификации. Доступ других сотрудников предприятия и внешних нарушителей будет отвергнут операционной системой на этапах идентификации и аутентификации.

Включить шифрование трафика и процедуру аутентификации между компьютером сотрудника отдела сбыта и точкой доступа. Это позволит исключить несанкционированный доступ нарушителя № 1 в сеть предприятия.

Настроить маршрутизатор таким образом, чтобы только пакеты протокола удаленного доступа к рабочему столу (RDP) перенаправлялись из Интернет на файловый сервер, и установить усложненный пароль удаленного доступа для сотрудника из сопровождающей фирмы.

Установить программы автоматического регулярного создания архивов, обрабатываемых данных и восстановления данных из архивов после инцидентов информационной безопасности.

Тщательно подбирать персонал и исключать возможность неоправданной мотивации сотрудников к противоправным действиям в отношении предприятия.

Предложенные здесь контрмеры, конечно, не являются исчерпывающими. Их цель продемонстрировать, что незначительные усилия могут снизить (или совсем исключить) некоторые уязвимости и, в конечном счете, уменьшить риск.

1.12. Заключение

В лекции рассмотрены основные понятия информационной безопасности, приведены иллюстративные и практические примеры их применения. Защита персональных данных не выбивается из общего контекста информационной безопасности, хотя и обладает некоторой спецификой. Этой отличительной чертой является обязательность защиты для практически каждого предприятия. Общих знаний по информационной безопасности, изложенных в этой лекции, должно быть достаточно для адекватного понимания как Федерального закона «О персональных данных», так и для Постановлений правительства РФ, уточняющих и детализирующих статьи закона.

1.13. Вопросы для самопроверки

Инспектор отдела кадров повторно получила приказ по предприятию от забывчивого секретаря о наложении взыскания на нерадивого администратора безопасности. Является ли приказ информацией для инспектора:

Нет, инспектор уже занес запись о взыскании в трудовую книжку администратора безопасности;

Нет, приказ не может быть информацией;

Да, информация – это любые сведения, независимо от их интерпретации получателем.

Вы купили справочник абонентов телефонной компании. Являетесь ли Вы обладателем персональных данных абонентов, перечисленных в справочнике:

Нет, между мной и субъектом персональных данных не заключен договор, предусматривающей мое право на разрешение или ограничение доступа к его персональным данным;

Да, я законно приобрел справочник в магазине;

Затрудняюсь ответить, не хватает знаний.

Системный администратор (или администратор безопасности) установил для учетной записи главного бухгалтера по его просьбе пустой пароль. Уменьшился ли уровень безопасности данных, к которым имеет доступ главный бухгалтер:

Нет, никто не знает имени учетной записи главного бухгалтера, кроме него самого;

Нет, потому что никто кроме главного бухгалтера не знает, где хранятся его данные;

Да, имя учетных данных нетрудно узнать, так как они не скрыты от любых пользователей компьютера и не требуется подтверждение (аутентификация) подлинности пользователя в процессе входа в операционную систему.

Системный администратор установил для пользователя сложный 18 символьный пароль, содержащий бессмысленный набор символов, состоящий из больших и малых алфавитно-цифровых, служебных символов со сменой раскладки клавиатуры с русской на латинскую, например, ваJtl##;jkjллолоEt&. Теперь сисадмин уверен в высокой безопасности информационной системы. Так ли это?

Да, потребуется колоссальное время (несколько лет или десятков лет) для подбора такого пароля даже специализированными программами, скорость подбора которых несколько миллионов вариантов паролей в сек.;

Нет, напротив. Обычный пользователь будет вынужден записать этот пароль и хранить «под рукой», следовательно, высока вероятность обнаружения его нарушителем.

Придумайте пример, когда требуется обеспечить только конфиденциальность информации, а остальные характеристики безопасности будут не важны.

Приведите пример однопользовательской информационной системы без разграничения прав доступа к информации.

Вас пригласил руководитель малого предприятия для консультации. Он объяснил, что в информационных системах его предприятия обрабатывается только общедоступная информация. Он уверен, что ему по этой причине не требуется обеспечивать защиту информации. Прав ли он:

Конечно, да. К общедоступной информации доступ не ограничен, поэтому не требуется никакой защиты данной информации;

Нет. Общедоступность снимает необходимость обеспечивать конфиденциальность информации, другие характеристики безопасности (целостность и доступность) по-прежнему требуют защиты.

Специалисты предприятия оценили стоимость информационных активов в 10000 рублей. Руководитель предприятия поручил системному администратору выбрать средства защиты информационных активов. Системный администратор принес смету работ по защите информации, общая стоимость которых составляет 90000 руб. Вам поручили проверить правильность расчетов системного администратора:

Вы проверили цены средств защиты и установили, что стоимость работ может быть снижена до 70000 руб., о чем и проинформировали руководителя; Вы установили, что некоторое средство защиты недостаточно функционально и посоветовали поменять его на другое средство защиты

Вы не стали анализировать предложения системного администратора и сразу вынесли вердикт о его ошибке. Какая это ошибка?

Руководитель предприятия, осознав чрезвычайную важность информационной безопасности, предложил Вам выявить все уязвимости в информационной системе и разработать такую систему защиты, чтобы она обеспечила 100% безопасность и после ее внедрения не было бы необходимости в дополнительных расходах на защиту. Вы ему ответили, что:

Готовы взяться за создание проекта по защите информации и стоимость его сообщите после предпроектного исследования информационной системы;

Готовы обеспечить 100 % безопасность, но со временем потребуются дополнительные вложения для нейтрализации новых уязвимостей;

Не можете обеспечить 100 % безопасность, остальные условия выполните.

Откажетесь от создания проекта на таких условиях. Почему?

Что такое контрмеры:

Это меры, предпринятые для устранения возможности неконтролируемого пребывания посторонних лиц при обработке информации;

Это устранение обнаруженных уязвимостей;

Это тщательная настройка подсистемы управления разграничением прав доступа;

Это обучение пользователей информационной системы безопасным приемам работы с информацией;

Это все, что перечислено в «а» и «d»;

Это все, что перечислено с «а» по «d».

Многие предприятия для идентификации вместо получения у физического лица паспортных сведений делают копию нескольких страниц паспорта. В превалирующем числе случаев (см. лекцию «АНАЛИЗ ФЗ № 152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ …») это является незаконным. Приведите примеры осуществления мошеннических действий злоумышленником, который незаконно получил доступ к таким персональным данным.

Информационная система индивидуального предпринимателя состоит из единственного компьютера, управляемого операционной системой, на котором установлена программа «1С – Предприятие» для бухгалтерского учета и расчета заработной платы для трех работников. В локальной базе учетных записей введена дополнительно к предустановленным единственная учетная запись данного ИП. Является ли эта информационная система однопользовательской?

Да. Так как единственным пользователем этой информационной системы является ИП, входящей в систему под своим логином;

Нет. Так как кроме ученой записи ИП в операционных системах Windows существует стандартная учетная запись суперпользователя с логином «администратор» («administrator» в нелокализованной версии ОC Windows).

Современные технологии позволяют на одном физическом компьютере развернуть виртуальный сервер и виртуальные клиенты. Если используется технология обработки «клиент-файловый сервер» на данном компьютере, то эта информационная система локальная или распределенная?

Локальная. Докажите.

Распределенная. Докажите.

Информационная система малого предприятия расположена в московской области, в здании, построенном без учета сейсмической опасности. Существует ли сейсмическая уязвимость данной информационной системы. Назовите уязвимость, угрозу, источник угрозы и риск информационной безопасности.

Лекция 2. Меры обеспечения информационной безопасности

Введение

1.1. Законодательный уровень обеспечения информационной безопасности

1.2. Административный уровень обеспечения информационной безопасности

1.2.1. Общие сведения

1.2.2. Примерный состав административного уровня обеспечения безопасности персональных данных

1.2.2.1. Приказ «О создании рабочей группы по приведению информационных систем персональных данных в соответствие с требованиями Федерального Закона «О персональных данных

1.2.2.2. Приказ «О создании комиссии по классификации информационных систем персональных данных»

1.2.2.3. Приказ «Об утверждении актов классификации информационных систем персональных данных

1.2.2.4. Приказ «Об утверждении частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных

1.2.2.5. Приказ «О введении в действие перечня обрабатываемых персональных данных, перечня информационных систем персональных данных и перечня подразделений и сотрудников, допущенных к работе с персональными данными

1.2.2.6. Приказ «Об организации работ по обеспечению безопасности персональных данных

1.2.2.7. Приказ «О внедрении средств защиты персональных данных»

1.2.2.8. Приказ «О назначении комиссии по декларированию соответствия информационных систем персональных данных требованиям безопасности»

1.3. Процедурный уровень обеспечения информационной безопасности

1.3.1. Общие сведения

1.3.2. Примерный перечень состава мер процедурного уровня

1.3.2.1. Положение об обработке персональных данных

1.3.2.1.1. Форма ответа субъекту персональных данных об обрабатываемых персональных данных (о наличии персональных данных

1.3.2.1.2. Уведомления субъекта персональных данных об исключении из обработки или исправлении неверных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства

1.3.2.1.3. Форма Согласия на обработку персональных данных

1.3.2.1.4. Форма Согласия на внесение персональных данных в общедоступные источники

1.3.2.1.5. Форма Запроса субъекта персональных данных об обрабатываемых персональных данных