Преддипломная практика. SedovAN подходит. Исследовательский
Скачать 2.25 Mb.
|
Сертификация средств антивирусной защиты Федеральной службой по техническому и экспортному контролю (ФСТЭК России) приняты нормативные документы, устанавливающие требования безопасности информации к средствам антивирусной защиты. Данные требования позволяют устранить неоднозначность процесса сертификации САВЗ, поскольку до настоящего момента требования к составу функциональных возможностей САВЗ не были формализованы на законодательном уровне, и под определение сертифицированного продукта одного и того же типа могли попасть решения принципиально различного уровня. Однако введение новых документов изменило содержание сертификационных испытаний по требованиям безопасности информации. Под САВЗ понимаются программные средства, используемые в целях обеспечения защиты информации и реализующие функции обнаружения компьютерных программ или иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации, либо нейтрализации средств защиты информации (вредоносные компьютерные программы, компьютерные вирусы), а также реагирования на обнаружение этих программ и информации. Как правило, обнаружение компьютерных вирусов выполняется с помощью сигнатурного метода (используется при обнаружениях известных компьютерных вирусов) и эвристического (используется при обнаружениях неизвестных компьютерных вирусов). Выделяют четыре типа САВЗ: тип А, предназначены для централизованного администрирования САВЗ, установленных на компонентах информационных систем (серверах, автоматизированных рабочих местах (АРМ), тип Б, применяется на серверах информационных систем, тип В, используется на АРМ информационных систем и тип Г, применяется на автономных АРМ. Для каждого из типов САВЗ предусмотрены шесть классов защиты, требования увеличиваются поступательно от шестого класса к первому. Каждому классу защиты соответствует определенная категория информационных систем: так, САВЗ 6 класса защиты для информационных систем персональных данных 3 и 4 классов, САВЗ 5 класса защиты для информационных систем персональных данных 2 класса, САВЗ 4 класса защиты для информационных систем персональных данных 1 класса, информационных систем общего пользования 2 класса, а также для государственных информационных систем, в которых обрабатывается информация ограниченного доступа, не содержащая сведений, составляющих государственную тайну, САВЗ 3, 2 и 1 классов защиты для информационных систем, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну. Необходимо отметить, что при сертификации проводятся испытания. Испытания объекта оценки (ОО) — в рассматриваемом случае САВЗ — проводятся на соответствие заданию по безопасности, которое представляет собой структурированный и строго формализованный документ, включающий подробное описание функциональных требований безопасности (ФТБ) к объекту оценки и среде его функционирования, а также обеспечивающих мер — требований доверия к безопасности (ТДБ). При разработке задания по безопасности можно применять типовые наборы требований — профили защиты. Испытательная лаборатория и орган по сертификации в свою очередь при проведении оценки используют различного рода свидетельства оценки — конструкторскую и проектную документацию на изделие, руководства пользователя и администратора, корпоративные стандарты, руководства и процедуры, требования к которым также сформулированы в задании по безопасности. Новые требования к САВЗ в явном виде определяет все функциональные требования и требования доверия, которые должны войти в соответствующие профили защиты и далее в задания по безопасности на конкретные изделия. Кроме непосредственно возможностей по выявлению и удалению компьютерных вирусов, а также обновлению базы данных признаков компьютерных вирусов предъявляются требования к системе управления параметрами САВЗ. Вывод по второй главе В рамках анализа необходимо отметить, что применены все необходимые меры защиты в соответствии с установленным классом системы исходя из требований 21 Приказа ФСТЭК, кроме реализации системы антивирусной защиты. Стоит отметить, что в рамках второго раздела был произведен анализ организационно – штатной структуры предприятия, анализ существующих систем безопасности, возможных типов атак. На основании данного анализа составлена модель нарушителя. После составления модели была проведена оценка вероятности реализации угроз и оценена степень опасности данных угроз. На основании вышеизложенного анализа необходимо сделать вывод, что на исследуемом предприятии существует необходимость внедрения сертифицированной системы антивирусной защиты. Разработка мероприятий и выбор средств по защите персональных данных – задача третьей главы. Глава 3. Разработка мероприятий и выбор средств по защите персональных данных в АО «ЦЕНТР РАДИАЦИОННОЙ И ЯДЕРНОЙ БЕЗОПАСНОСТИ» На данном этапе необходимо перейти к разработке мероприятий, так как в предыдущих главах был проведен анализ. В данной организации применяется информационная система ведения учета персональных данных, состоящая из системы программ «1С:Предприятие 8» включающая в себя платформу и прикладные решения, разработанные на ее основе, для автоматизации деятельности организации. Со всех субъектов, как с клиентов, так и с сотрудников компании, необходимо брать согласие на обработку ПДн. Несмотря на то, что в Законе «О персональных данных» указан перечень случаев, когда такое согласие не требуется, например, если оператор и субъект являются сторонами договорных отношений. Но обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются только с согласия субъекта. Предоставление согласия на обработку ПДн будет необходимо при проверке Роскомнадзором. Необходимо учитывать, что сведения, указанные в согласии должны совпадать с тем, что и как оператор обрабатывает на самом деле. Организационные меры В первую очередь необходимо установить есть ли такое юридическое лицо, как АО «Центр радиационной и ядерной безопасности» в реестре операторов персональных данных Роскомнадзора. Получить эту информацию можно, на сайте Роскомнадзора, необходимо и достаточно ввести ИНН организации. Если организация такого уведомления не подавала, необходимо его подать, сделать это возможно так же в электронной форме на сайте, но обязательно продублировав по почте. Следующий этап заключается в подготовке внутренних предписывающих документов: приказы, инструкции, создание журналов, все это необходимо, для того чтобы сотрудники знали, как они должны обеспечивать защиту ПДн в процессе работы. Предписания регламентируют не только автоматизированную обработку данных, но и аналоговую, так как обработка ПДн ведется и в документальном виде. Общего для всех организаций списка документов законодательно не установлено, в Законе «О персональных данных» указаны аспекты, которые должны быть отражены в приказах. Для организации обработки персональных данных, нужно назначить ответственное лицо, этого сотрудника требуется указать в уведомлении Роскомнадзора. Ответственный сотрудник отвечает за формирование необходимых документов. Затем необходимо вынести приказ о назначении администратора безопасности персональных данных. Администратор отвечает за техническую сторону защиты ПДн. Обоих сотрудников можно назначить одним приказом. Все формулировки приказов следует согласовать с законодательством, так как именно формулировки представляют наибольший интерес для проверяющих органов. Согласно требованию Роскомнадзора, абсолютно во всех кабинетах офисов, где ведется обработка ПДн, документально должны быть зафиксированы места хранения (стеллаж, сейф, шкаф) и отвечающие за сохранность конфиденциальности ПДн лица в этом кабинете. К примеру, необходим приказ, в котором будет прописано: «В кабинете №5 утвердить местом хранения несгораемый шкаф для документов, ответственным назначить Иванова Ивана Ивановича». Соответствующим этапом, необходимо определить комиссию по уничтожению носителей персональных данных (компьютерные жесткие диски, документы и так далее.). В данной комиссии должны быть: председатель и два члена комиссии (как минимум). Затем, необходимо определиться со списком лиц, которые будут допущены обработке персональных данных. Это лица, которые работают с ПДн любых категорий субъектов (работников организации, клиентов и так далее). При этом, в документе должно быть абсолютно точно указанно, какой работник к каким видам персональных данных может получить доступ, каким образом он обрабатывает эти данные, использует ли для этого средства автоматизации или нет. Если в организации применяют автоматизированную информационную систему, то необходим документ, указывающий каким сотрудникам принадлежат какие роли в системе (менеджер, бухгалтер, администратор и т.д.). Любой сотрудник, имеющий доступ к персональным данным обязан заключить договор о неразглашении персональных данных с организацией. Следующий шаг должен быть направлен на установление того, какие именно персональные данные подлежат защите. Данный перечень формируется отдельным приказом. Персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден перечень сведений конфиденциального характера. Далее, необходимо в порядке выпуска приказа, утвердить основной документ организации, под названием «Положение об обработке и защите персональных данных», он будет регламентировать защиту персональных данных в организации. В нем должны быть указаны основные пункты законодательства, цели и законные основания для проведения обработки персональных данных, права и обязанности оператора, права и обязанности субъекта. В целях организации защиты персональных данных, в процессе работы, необходимо создать несколько журналов, так как деятельность по защите персональных данных нужно проводить регулярно (а не одноразово). Точного списка журналов не установлено. В соответствии с Федеральным законом «О персональных данных», в целях активизации работ по защите персональных была разработана следующая документация: Приказ о назначении ответственных за обеспечение безопасности персональных данных в ИСПДн; Приказ об определении контролируемой зоны, в которой расположены узлы ИСПДн; Приказ о запрещении обработки ПДн на не аттестованных объектах ИСПДн; Приказ об определении мест хранения персональных данных на бумажных носителях; Приказ о назначении комиссии по уничтожению персональных данных; Инструкция по применению и эксплуатации средств защиты информации в ИСПДн; Инструкция по установке нового и обновления используемого программного обеспечения на аттестованных объектах обрабатывающих ПДн; Инструкция администратора по информационной безопасности; Инструкция по внесению изменений в списки пользователей и наделению их правами доступа к ресурсам ИСПДн; Инструкция по внедрению парольной защиты автоматизированной информационной системы; Инструкция по выполнению обязательного резервного копирования данных автоматизированной информационной системы обрабатывающей ПДн; Инструкция пользователя автоматизированной информационной системы, обрабатывающей ПДн; Инструкция по проведения антивирусной защиты в автоматизированной информационной системе, обрабатывающей ПДн; Заключены соглашения о неразглашении персональных данных с сотрудниками организации; Составлена модель угроз безопасности в автоматизированной информационной системе, обрабатывающей персональные данные. Составлена матрица доступа к защищенным ресурсам автоматизированной информационной системы, обрабатывающая ПДн; Инструкция администратора по резервированию и восстановлению работоспособности узлов АИС и программного обеспечения, баз данных и средств защиты информации; Правила аналоговой обработки персональных данных; Форма акта уничтожения документов, содержащих персональные данные; Журнал учета допуска сотрудников к работе в АИС обрабатывающей ПДн; Журнал учета применяемый средств защиты информации в системе защиты информации информационной системы ПДн; Журнал учета мероприятий по контролю над соблюдением режима обеспечения защиты ПДн; Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПДн ; Журнал периодического тестирования средств защиты информации в ИСПДн в АО «Центр ядерной и радиационной безопасности» Форма заявки на внесение пользователей АИС при обработке ПДн; Форма Акта технической готовности объектов ИСПДн; Перечень сведений конфиденциального характера ПДн; Перечень Пдн подлежащих защите; Описание технологического процесса обработки ПДн в выделенной локальной сети АО «Центр ядерной и радиационной безопасности»; Схему коммутации и архитектуру выделенной локальной сети; Список сотрудников, допущенных к самостоятельной работе в автоматизированной информационной системе обрабатывающей ПДн. Приказ о вводе в эксплуатацию авторизированной информационной системы обработки персональных данных. Для предотвращения совершения выявленных актуальных угроз ИСПДн, в системе защиты информационный системы должны использоваться следующие организационные методы: мероприятия по контролю доступа в контролируемую зону лиц, не имеющих доступа к обработке ПДн; регулярный инструктаж пользователей о мерах предотвращения вирусного заражения; организация постоянного контроля за выполнением пользователями инструкций по обеспечению защиты ПДн, положений парольной политики, и за их действиями в случаях утраты или компрометации паролей; подписание пользователями документа о неразглашении ПДн. Ко всем перечисленным документам должен прилагаться лист ознакомления и все лица, которые используют доступ к ПДн в служебной деятельности, должны ознакомиться под роспись. Во все должностные инструкции лиц, которые обрабатывают персональные данные, должен быть внесен пункт: «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». Помимо внутренних документов, необходимо утвердить один публичный: «Политика в отношении обработки персональных данных», он должен быть размещен наweb-сайте компании, или находиться в виде физического носителя в другом общедоступном месте. |