Разработка и внедрение политики безопасности ИС на предприятии

Глава третья освящает такой вопрос, как: обязанности Образовательного учреждения.

В целях обеспечения прав и свободы человека и гражданина организация и ее представители должны соблюдать следующие общие требования: обработка персональных данных может осуществляться только в рамках законов и иных нормативных правовых актов; при определении объема и содержания персональных данных организация должна руководствоваться Конституцией РФ, Трудовым кодексом, и иными федеральными законами; все персональные данные должны получаться у субъекта персональных данных; организация не вправе получать и обрабатывать данные о политических, религиозных или иных убеждениях данного субъекта;  защита персональных данных должны быть обеспечена организацией за счет средств субъекта в порядке, установленном ФЗ;  субъекты и их представители должны быть ознакомлены с документами, которые устанавливают порядок обработки персональных данных работников; субъекты не должны отказываться от права на защиту их персональных данных.

В четвертой главе речь идет об обязанностях работников Образовательного учреждения.

Пятая глава раскрывает права субъекта персональных данных:

• требовать исключения или исправления неверных или неполных персональных данных;
• на свободный бесплатный доступ к своим персональным данным;
• персональные данные оценочного характера должны быть дополнены заявлением, которое выражает собственную точку субъекта;
• на сохранение и защиту своей личной и семейной тайны.

В шестой главе речь идет о сборе, обработке и хранении персональных данных.

Обработка персональных данных субъекта – получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта.

К обработке, передаче и хранению персональных данных работника могут иметь доступ такие отделы, как: бухгалтерия, служба управления персоналом, юридический отдел и IT-отдел.

При передаче персональных данных о работнике  организация должна соблюдать следующие требования: не сообщать данные о сотруднике третьей стороне без его разрешения; не сообщать данные в коммерческих целях; разрешить доступ только специально уполномоченным лицам;  передавать персональные данные субъекта представителям субъекта в порядке, установленном законом.

Глава седьмая описывает доступ к персональным данным каждого сотрудника Центра.

Право доступа к ним имеют следующие лица: руководитель Центра, руководитель и специалисты структурных подразделений по направлению деятельности, при переводе в новое подразделение. Это право является внутренним доступом (доступ внутри ЦИТОИСа).

Во внешнем доступе право доступа к персональным данным каждого сотрудника имеют следующие лица: надзорно-контрольные органы, субъект, его родственники и члены семей.

В восьмой главе речь идет о защите персональных данных и видах защиты.

Угроза персональных данных – реальное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события.

Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждение нарушение доступности, целостности, достоверности и конфиденциальности данных.

Виды защиты:

• внутренняя защита;

Основным виновником НСД к данным является, как правило, сам персонал, работающий с документами и базами данных.

Для того, чтобы защитить персональные данные, необходимо выполнить ряд условий: ограничение состава работников, функциональные обязанности которых требует конфиденциальных знаний; строгое избирательное распределение документов и информации между работниками; рациональное размещение рабочих мест работников; знание работником нормативно-методических документов по защите и тайне информации; наличие необходимых условий для работы с данными, определение состава сотрудников, которые должны иметь право доступа в помещение с вычислительной техникой; порядок уничтожения информации; своевременное выявление нарушения требований доступа разрешения работникам подразделения.

Личные дела должны выдаваться на рабочие места только руководителю ЦИТОИСа. Защита персональных данных должна находиться на электронных носителях.

• внешняя защита.

Для того, чтобы защитить персональные данные создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, который пытается совершить НСД и овладение информацией о каждом сотруднике. Цель и результат НСД на персональные данные – овладение и их использование, видоизменение, уничтожение, внесение вирусного ПО, подмена, фальсификация реквизитов документа и т.д.

Постороннее лицо – любое лицо, не имеющее непосредственного отношения к деятельности ЦИТОИСа.

Для предотвращения утечки информации необходимо выполнить следующие меры: порядок приема, учета и контроля деятельности посетителей; пропускной режим; учет и порядок выдачи удостоверений; технические меры охраны; порядок охраны территории.

Глава девятая описывает ответственность о разглашении персональных данных о каждом сотруднике данной организации.

Персональная ответственность – это одно из главных требований к ЦИТОИСу функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

Кроме этого еще используется программно-технические средства:

• пароль – случайный набор букв или чисел;

Основная операционная система (далее ОС) в ЦИТОИСе – Windows XP. Ее почти все сотрудники использую при работе с разными родами документации. Также есть ОС Windows 7, используемая системным администратором.

Создание пароля происходит в учетной записи пользователя. Для его создания можно посмотреть в Приложениях (Приложение ). В ней есть создание пароля как и для Windows XP, так и для Windows 7. Установка пароля в этих двух операционных системах абсолютно идентичны за исключением одного: в Windows 7 есть одна функция под названием «Удаление пароля», такое в Windows XP отсутствует.

• аутентификация – процедура проверки подлинности;

Аутентификация имеет 4 способов: по многоразовым паролям (запрашивает логин и пароль); по одноразовым паролям (при получении многоразового пароля, злоумышленник может иметь постоянный доступ к ресурсам к взломанным конфиденциальным данным); многофакторная аутентификация (построена на совместном использовании нескольких факторов аутентификации); биометрическая аутентификация (основан на измерении биометрических данных человека). Простая аутентификация имеет общий алгоритм и представлена в приложениях.

• антивирусная программа – специализированная программа для обнаружения вирусного ПО.

Самые известные на данный момент в мире антивирусные программы – это Microsoft Security Essentials и Eset Smart Security End Point.

В данной организации используется антивирусная программа Eset NOD32. Второе название - Eset Smart Security.

Данное ПО позволяет незамедлительно очистить ПК и портативных сменных носителей информации пользователя от вредоносных программ, а если сотрудник ЦИТОИСа находится в сети Интернет, то данная антивирусная программа заблокирует сайт и добавит его во вкладку «Служебные программы» в пункт «Карантин». Там будет подробное описание о вирусе. Установлена на каждом персональном компьютере и имеет значок в виде глаза.

Имеет четыре версии: 2.x, 3.x, 4.x, 5.x.

В каждой версии имеется свой состав.

Версии 2.x и 3.x между собой имеют схожий состав. В версиях 2.x и 3.x есть Antivirus MONitor (AMON) – резидентский сканер, который автоматически проверяет файлы на наличие вирусных ПО; NOD32 – сканер по запросу, который можно запустить вручную для проверки отдельных файлов и папок, также может запуститься в часы с наименьшей загрузкой с помощью планировщика; Internet MONitor (IMON)  - данный модуль проверяет стек протоколов HTTP и HTTP-трафик также может конфликтовать в версиях 2.x с некоторыми службами Windows Serverи с некоторыми межсетевыми экранами (например, Kerio WinRoute). При установке необходимо учитывать возможность конфликтов; E-mail MONitor (EMON) – дополнительный модуль для проверки входящих/исходящих сообщений через интерфейс MAPI (ПО, позволяющее  приложениям работать с различными системами передачи электронных сообщений), например, в Microsoft Outlook и Microsoft Exchange.

В версии 4.x есть: модуль защиты от вирусов и шпионских программ (использование ядра на основе технологии TheatSense  и оптимизировано, улучшено в соответствии с требованиями новой архитектуры Eset Smart Security); персональный брандмауэр (отслеживание всего трафика между ПК с защитой и другими ПК); модуль защиты от нежелательной почты (фильтрует нежелательную почту, повышая при этом уровень безопасности).

Версия 5.x имеет такой состав: ESET Live Grid (обеспечение надежной защиты от Интернет-угроз и вредоносных программ в режиме реального времени); Parental Control (защита от нежелательного контента); Enhanced Media Contorl (автоматическое сканирование всех съемных носителей информации); Advanced HIPS Functionality (настройка поведения системы целом и каждой ее части); Gamer Mode (автоматический режим перехода в беззвучный режим во время работы в полноэкранном режиме);

 

 

 

 

 

 

 

 

 

 

 

Глава 3.Рекомендация по улучшению безопасности персональных данных

3.1.Dallas Lock – наилучшее решение для МАОУ ДОД ЦТР и ГО «Информационные технологии» для защиты персональных данных.

Изучив и рассмотрев Политику информационной безопасности и Положение о защите персональных данных, было предложено программный продукт под названием «Dallas Lock» для улучшения защиты персональных данных о каждом сотруднике данной организации.

Dallas Lock – это программный продукт, использующийся как система защита информации в течении ее хранения и обработки, от НСД. Показывает себя как программный комплекс средств защиты информации в АС. Начала работать как простой замок на операционную систему MS-DOS, но со временем работать стала в семействе ОС Windows, начиная с ОС Windows 95.

Позволяет уменьшить вероятность угроз персональных данных на 50 %.

Для этой программы созданы специальные системы классов: 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б.

Также созданы классы для защиты персональных данных: К1, К2, К3 и К4

Ее назначение в том, что обеспечивает защиту стационарных и портативных компьютеров как в автономном, так и в составе локальной вычислительной сети (сеть, покрывающая небольшую площадь), от НСД.

Использование данной программы в проектах по защите конфиденциальной информации позволяет привести АС в соответствие с требованиями законов РФ, стандартов и руководящих документов.

Разработчиком данного ПО является российская фирма ООО «Конфидент».

Лицензия данной программы – проприетарная (ПО, являющееся частной собственностью авторов или правообладателей и не удовлетворяющих критериям свободно ПО).

Ее использование может быть в двух вариантах:

• зашита ПК без централизованного управления, т.е. защита маленького количества ПК и серверов.
• защита ПК с централизованным управлением в сетях без наличия  Active Directory с использованием модуля «Сервер безопасности Dallas Lock»

Также может использовать некоторые аппаратные идентификаторы: USB-Flash-накопитель; электронные ключи Touch Memory; USB-ключи Aladdin eToken Pro/Java (смарт-карта); смарт-карты Aladdin eToken PRO /SC; USB-ключи Rutoken (персональное средство аутентификации) и Rutoken ЭЦП (персональное средство аутентификации с электронной подписью).

Существуют тринадцать версий этой программы, которые приведены ниже.

Версия	Поддерживаемы ОС
СЗИ от НСД Dallas Lock 4.1	Windows 95/98
СЗИ от НСД Dallas Lock 5.0	Windows NT
СЗИ от НСД Dallas Lock 6.0	Windows 95/98/ME
СЗИ от НСД Dallas Lock 7.0	Windows 2000/XP
СЗИ от НСД Dallas Lock 7.5	Windows 2000/XP
Сервер безопасности Dallas Lock 7.5	Windows 2000/XP
СЗИ от НСД Dallas Lock 7.7	Windows XP/Vista/7
Сервер безопасности Dallas Lock 7.7	Windows XP/Vista/7
СЗИ от НСД Dallas Lock 8-K	Windows XP/Vista/7/8
Сервер безопасности Dallas Lock 8-K	Windows XP/Vista/7/8
СЗИ от НСД Dallas Lock 8-С	Windows XP/Vista/7/8
Сервер безопасности Dallas Lock 8-С	Windows XP/Vista/7/8

  Шесть последних версий являются текущими.

Имеет несколько хороших возможностей: в последних версиях этого ПО имеется система генерации паролей, соответствующая всем параметрам сложности; в системе есть возможность ограниченного доступа пользователей к персональному компьютеру по дате и времени;  возможность использования  двух принципов контроля доступа к объектам  файловой системы – дискреционный (этот принцип сочетает в себе и защиту и ограничение прав, которые применяются по отношению к компьютерным процессам и данным. предназначение которого предотвращение их нежелательного использования) и мандатный (разграничение доступа субъектов к объектам, которое основано на конфиденциальности); возможность создания отчета по правам и конфигурациям с выводом на печать.