Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
Аннотация к работе
Серьезность и острота проблемы потребовали от органов государственной власти принятия конкретных мер по ее урегулированию, вследствие чего в 2007 году в России вступил в силу Федеральный закон «О персональных данных» [1], направленный на обеспечение всех необходимых мер по защите информации, используемой коммерческими и государственными организациями. В соответствии с 152-ФЗ, каждое предприятие должно обеспечить защиту персональных данных своих сотрудников, клиентов и партнеров и принять все необходимые меры по защите ПДН. Так как под понятие ПДН попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое - система защиты ПДН (СЗПДН) нужна фактически любой организации. В случае нарушения положений [1] компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица - к гражданской, уголовной, административной, дисциплинарной ответственности. Под особым вниманием со стороны регулирующих органов оказываются: - государственные организации или организации со значительной долей государственного участия;категория 2 - ПДН, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; Опираясь проведенный анализ сформированы следующие правила определения категории ПДН (относительно к составу ПДН) при объединении ПДН касающихся одного и того же лица: - если объединяются данные категории 4 (обезличенные), то полученный в результате массив данных также будет иметь 4 категорию; если объединяются данные 3 категории (позволяющие идентифицировать субъекта ПДН) и данные категории 3 или 4 (при этом никакие данные из этих категорий не относятся к перечню данных входящих в категорию 1), то итоговый массив данных будет категории 2 (данные позволяющие идентифицировать субъекта ПДН и получить о нем дополнительную информацию); если объединяются данные 2 категории и какие-либо данные категории 2-4 (при этом никакие данные из этих категорий не относятся к перечню данных входящих в категорию 1), то итоговый массив данных также будет иметь 2 категорию. Объединяемые типы ПДН 4 категория (обезличенные) 4 категория (общедоступные) 3 категория 2 категория входят в категорию 1 не входят в категорию 1Только имеющиеся в свободном доступе (например, сети Интернет). Все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами (команды синхронизации, незашифрованные адреса, команды управления и т.п.). Нарушитель 1 типа не обладает достоверной информацией об объекте и порядке обработки информации, информацию получает из источников свободного доступа. Нарушители 2, 3, 4 типов обладают определенной информацией о структуре объектов, однако не имеют достоверной информации об особенностях обработки информации. Нарушитель 5 типа имеет представление об особенностях обработки информации на объектах, однако не имеет достоверной информации и не имеет сведений о сетях связи, работающих на едином ключе.К одной из главных особенностей распределенной ИСПДН относится передача ПДН по неконтролируемому каналу, чаще всего представляющему из себя сеть связи общего пользования (ССОП) или Интернет. В том числе появляется необходимость криптографической защиты передаваемых данных, ввиду распределенности и разнородности средств информатизации и защиты остро становится вопрос выбора СЗИ, вопрос централизации механизмов мониторинга и управления.Основные меры по защите от актуальных угроз персональных данных (УБПДН) распределенной ИСПДН представлены в таблице 2.1. Перечень характеристик определяется на основе всех существенных свойств средств защиты информации, связанных с функциональными и системными возможностями продуктов, возможностями, связанными с управлением и мониторингом, характеристик связанных с доверием и стоимостью продуктов. Степень соответствия продукта определяет, насколько продукт соответствует требуемой для СЗПДН возможности или характеристике. Было проведено сравнение основных функциональных, системных возможностей продуктов, возможностей, связанных с управлением и мониторингом, характеристик связанных с доверием и стоимостью продуктов. Было проведено сравнение основных функциональных, системных возможностей продуктов, возможностей, связанных с управлением и мониторингом, характеристик связанных с доверием и стоимости продуктов.Класс специальной ИСПДН определяется согласно экспертной оценке специалиста по защите информации. Так как для распределенной ИСПДН предприятия нарушение заданной характеристики безопасности ПДН не может привести к значительным негативным последствиям для субъектов персональных данных, ИСПДН присваивается класс К2.
План
Планы зданий, мест размещения технических средств с привязкой к конкретным помещениям. Обладает частично.
Вывод
К одной из главных особенностей распределенной ИСПДН относится передача ПДН по неконтролируемому каналу, чаще всего представляющему из себя сеть связи общего пользования (ССОП) или Интернет. Эта особенность влияет на множество характеристик безопасности ИСПДН. В том числе появляется необходимость криптографической защиты передаваемых данных, ввиду распределенности и разнородности средств информатизации и защиты остро становится вопрос выбора СЗИ, вопрос централизации механизмов мониторинга и управления.
Согласно анализу состава ПДН, обрабатываемой в распределенной ИСПДН, обрабатываются ПДН 2 категории.
Так как для распределенной ИСПДН кроме обеспечения конфиденциальности необходимо так же обеспечить целостность и доступность - ИСПДН является специальной. Класс специальной ИСПДН определяется на основе модели угроз безопасности персональных данных.
Согласно модели угроз, распределенная ИСПДН имеет низкий уровень исходной защищенности и целый ряд актуальных угроз.
Согласно модели нарушителя, нарушитель обладает возможностями нарушителя класса Н2.