О некоторых аспектах обеспечения организационно-технической защиты персональных данных
В последние годы проблемам защиты персональных данных уделяется достаточно много внимания.
Предмет защиты персональных данных определяется как комплекс мер технического, организационного и административно-правового характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) [1].
Вместе с тем, научно-теоретическая база в части защиты персональных данных в Российской Федерации находится в самом начале своего развития [2].
Проблематика вопроса защиты персональных данных, по нашему мнению, включает в себя необходимость постановки и решения соответствующих задач по нескольким основным направлениям:
- организационно-техническая защита персональных данных;
- нормативно-правовое обеспечение персональных данных.
Можно описать несколько проблем организационно-технического обеспечения защиты персональных данных.
Во-первых, если говорить об организационно-технической защите персональных данных, то в настоящее время недостаточно развит аппарат составления и применения на практике такого важного инструмента как модель нарушителя, неполный вариант которой есть, например, в «Базовой модели угроз» [3].
Модель нарушителя определяет:
- категории (типы) нарушителей, которые могут воздействовать на объект (персональные данные);
- цели, которые могут преследовать нарушители каждой категории, их возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и др.;
- типовые сценарии возможных действий нарушителей, описывающие последовательность (алгоритм) действий групп и отдельных нарушителей, способы их действий на каждом этапе.
Модель нарушителей системы персональных данных должна иметь разную степень детализации в зависимости от масштабов предприятия, организации, учреждения, а также отраслевой принадлежности, категории и класса персональных данных.
Содержательная модель нарушителей системы персональных данных должна отражать систему принятых взглядов (и документально закреплённых положений, инструкции и прочих материалов) на контингент потенциальных нарушителей.
Кроме этого, модель нарушителей должна включать в себя возможные причины и мотивацию их действий, преследуемые цели и общий характер действий в процессе подготовки и совершения акций воздействия на персональные данные.
Сценарии воздействия нарушителей определяют классифицированные типы совершаемых нарушителями акций с конкретизацией алгоритмов и этапов, а также способов действия на каждом этапе.
В модели воздействия нарушителей может применяться математический инструментарий, который представляет собой формализованное описание сценариев в виде логико-алгоритмических последовательностей действий нарушителей, количественных значений, параметрически характеризующих результаты действий, и функциональных (аналитических, численных или алгоритмических) зависимостей, описывающих протекающие процессы взаимодействия нарушителей с элементами объекта и системы охраны. Именно этот вид модели может быть использован для количественных оценок уязвимости объекта и эффективности охраны.
Таким образом, модель нарушителя позволяет формально описать возможного «злоумышленника», зная которого можно построить эффективную систему защиты.
Разработка модели нарушителей наиболее актуальна сегодня, когда широкое распространение получают различные вирусные и хакерские утилиты, которые легко найти в сети Интернет и воспользоваться ими.
Заметим, что типовую модель нарушителей системы защиты персональных данных можно представить в разрезе следующих потенциальных злоумышленников, аналогично [4]:
- разработчик;
- обслуживающий персонал (системный администратор, сотрудники обеспечения информационной безопасности);
- пользователи;
- сторонние лица.
Во-вторых, в системах защиты персональных данных на большинстве предприятий в настоящее время наблюдается ситуация несоответствия фактических параметров используемых информационно-коммуникационных устройств тем параметрам, которые указаны в имеющихся на предприятии документах. Например, такие идентификаторы как IP-адреса, пароль пользователя и инвентарные номера компьютеров, на которых осуществляется обработка персональных данных, должны взаимно-однозначно соответствовать друг другу.
В-третьих, количество специальных технических средств, применяемых для защиты персональных данных, можно снизить путём осуществления организационных методов.
К примеру, при монтаже локальной вычислительной сети все телекоммуникационные устройства можно расположить в специальных коробах. В этом случае можно ежедневно осуществлять контроль целостности коробов, а также выявление несанкционированных подключений к сети.
Для выполнения этих действий достаточно вменить в должностную инструкцию одного из сотрудников предприятия данную функцию контроля физической целостности локальной вычислительной сети.
Если организовать такой контроль, то не будет необходимости применения активных и пассивных линий защиты сети и линий электропитания. Как следствие, общим эффектом будет снижение совокупной стоимости владения системой защиты персональных данных.
В-четвертых, многие предприятия осуществляют хозяйственную деятельность в арендуемых помещениях и не могут организовать пропускной режим в соответствии с действующими правилами защиты персональных данных.
Выход из ситуации видится в том, что необходимо четко прописывать режим работы сотрудников, осуществляющих обработку персональных данных, в должностных инструкциях.
Например, вменить в ответственность сотруднику контроль за тем, чтобы монитор был расположен таким образом, чтобы не было видовой утечки информации. Также при нахождении посторонних лиц в помещениях, где обрабатываются персональные данные, сотрудник вместо сворачивания файла в панель задач операционной системы может просто отключить монитор.
В-пятых, сегодня предприятия самостоятельно решают, в каких программах осуществлять обработку персональных данных. При этом может сложиться ситуация, когда предприятие своевременно не проконтролировало наличие актов (сертификатов) соответствия на используемое программное обеспечение в части отсутствия недокументированных и недекларированных возможностей (НДВ), в том случае, когда это необходимо.
Если осуществлять полноценную сертификацию программных средств (или их проверку на отсутствие НДВ и возможностей несанкционированного доступа), то это очень дорого.
Как следствие, предприятие может вынужденно нарушить закон. Решением проблемы могло бы стать наличие специализированных центров мониторинга соответствия реализуемых в России программных продуктов (где так или иначе предусмотрена обработка персональных данных) законодательству.
(С) 2011, Д.Н.Едомский, Д.А. Беляев
Литература
1. Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”.
2. Назаров И.Г., Язов К.Ю., Остроухова Е.С. Особенности организации обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных // Информационная безопасность. 2009. № 1. с 71-76.
3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.).
4. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.).
Частичное или полное использование материала возможно только с разрешения авторов с обязательным указанием ссылки на источник
P.S.
Статья опубликована в 2011-м году во многих печатных изданиях. В частности, в «Вестнике ИТАРК».
Выходные данные статьи:
Едомский Д.Н., Беляев Д.А. О некоторых аспектах обеспечения организационно-технической защиты персональных данных. // Вестник ИТАРК. – 2011. – № 1(1). С. 54-56.
См. также:
- Обновленный закон «О персональных данных» принят
- Персональные данные: какие документы готовить к проверке?
Оставить комментарий