Защита персональных данных

По отдельности БД на SRV2, SRV4 и SRV5 являются обезличенными, что в итоге позволит понизить класс ИСПДн.

Спроектированная сеть состоит из множества оборудования, которое выполняет различные функции для обеспечение работоспособности и защиты сети.

Сервера SRV2, SRV4,SRV5 управляются операционной системы Debian GNU/Linux 5.0. Данная операционная система основывается на ядре Linux, является стабильной и гибконастраиваемой операционной системой, поддерживает большое количество архитектур и распространяется по лицензии General Public License(GPL).

В качестве СУБД используется MySQL 5.5. MySQL обладает многими преимуществами, в том числе:

- высокая производительность.

- низкая стоимость

- простота использования.

- переносимость.

- поддержка SSL. SSL - криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером. Протокол обеспечивает конфиденциальность обмена данными между клиентом и сервером, использующими TCP/IP, причём для шифрования используется асимметричный алгоритм с открытым ключом. При шифровании с открытым ключом используется два ключа, причем любой из них может использоваться для шифрования сообщения. Тем самым, если используется один ключ для шифрования, то соответственно для расшифровки нужно использовать другой ключ. В такой ситуации можно получать защищённые сообщения, публикуя открытый ключ, и храня в тайне секретный ключ.

Протокол SSL состоит из двух подпротоколов:

- протокол SSL записи и рукопожатия. Протокол SSL записи определяет формат, используемый для передачи данных. Протокол SSL включает рукопожатие с использованием протокола SSL записи для обмена сериями сообщений между сервером и клиентом, во время установления первого соединения. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат, который предоставляет канал, имеющий 3 основных свойства:

1) Аутентификация. Сервер всегда аутентифицируется, в то время как клиент аутентифицируется в зависимости от алгоритма.

2) Целостность. Обмен сообщениями включает в себя проверку целостности.

3) Частность канала.

Самым распространенным и лучшим решением для защиты трафика от перехвата является шифрование соединения с использованием SSL. Кросс-платформенный продукт OpenSSL интегрируется во множество критических программ, таких как СУБД MySQL, Web-сервер Apache. Для обеспечения совместимости с российским законодательством (по умолчанию OpenSSL реализует только иностранные алгоритмы шифрования DES/3DES, RC4, Blowfish, IDEA, AES, MD5, SHA/SHA-1, RSA, DSA и другие) требуется включить поддержку отечественных стандартов шифрования. В OpenSSL версии 1.0.0 использование российских алгоритмов не требует модификации библиотек OpenSSL.

Для централизованной аутентификации пользователей в сети создается домен при использовании средств SAMBA и OpenLDAP - открытой реализации протокола LDAP.

Samba - программа, которая позволяет обращаться к сетевым дискам на различных операционных системах по протоколу SMB/CIFS. Имеет клиентскую и серверную части. Является свободным программным обеспечением, выпущена под лицензией GPL.

LDAP - это клиент-серверный сетевой протокол для доступа к службе каталогов. Изначально он использовался как надстройка над X.500, но он также может быть использован с автономными и прочими видами служб каталогов.

В качестве межсетевого экрана в МКУ "Молодежный центр" МО Кореновский район выбран ViPNet Office Firewall, который представлен версиями Linux. Он является сертифицированным ФСБ межсетевым экраном (по 3 классу) с пакетной фильтрацией, основной возможностью которого является регламентация доступа пользователей к различным сетевым ресурсам, контроль IP-трафика, проходящий через каждый сетевой интерфейс сервера.

Основной функцией ViPNet Office Firewall является пропуск или блокирование любых IP-пакетов, проходящих через каждый интерфейс сервера. Настройка ViPNet Office Firewall Linux заключается в выборе для каждого адаптера типового правила фильтрации (называемого режимом безопасности) и модификации его с помощью дополнительных фильтров для конкретных протоколов, адресов и портов. Кроме того, ViPNet Office Firewall поддерживает трансляцию сетевых адресов (NAT).

Администратор безопасности владеет информацией о том, кто пытается получить доступ к системе и пытается в настоящее время, а также может определить, перепутал ли сотрудник имя реального сервера и случайно попал на ловушку или действовал преднамеренно и в сети действительно есть нарушители, пытающиеся найти сервера или службы, работающие с данными, представляющими ценность для компании.

Основными функциями продукта являются:

- имитация реальных систем хранения данных;

- обнаружение и регистрация фактов НСД к данным, имитируемым системой;

- оповещение заинтересованных лиц о попытках НСД к этим данным;

- возможность восстановления модифицированной нарушителем системы к исходному состоянию;

- генерация отчетов о работе системы за определенные периоды времени;

- централизованное управление несколькими ловушками (сенсорами);

- авторизация и контроль доступа к управлению системой;

- механизм контроля работоспособности (диагностика);

- гибкая настройка правил реагирования на попытки НСД;

- генерация имитационных данных, которые выглядят как реальные;

- периодическая смена IP-адресов ловушек (сенсоров). [8].

Для повышения надежности защиты необходимо контролировать всю архитектуру сети, размещая зонды (компьютеры с NIDS) в каждом сегменте сети. Эти компьютеры необязательно должны быть серверами, система NIDS может быть установлена на обычной рабочей станции.

Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур.

Зонды 2,3,4 анализируют трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим и потому следует уделять большее внимание сообщениям зондов 8⁸ Обнаружение сетевых атак [Электронный ресурс]- Режим доступа: http//www.osp.ru/pcword/2003/06/165957/.

Заключение

В данной дипломной работе были рассмотрены все основные нормативные документы, регулирующие правовые отношения в области защиты персональных данных, приведены сведения о возможных угрозах безопасности информационной системы персональных данных, в том числе подробно приведена и рассмотрена характеристика угроз несанкционированного доступа. При рассмотрении всех допустимых угроз, особое внимание уделялось классификации нарушителей безопасности, поскольку они выполняют доминирующую роль в нарушении безопасности информационной системе.

Особое внимание уделено основным компонентам для построения защищенной информационной системы. В ходе работы были рассмотрены организация хранения персональных данных в базе данных, классификация программного и аппаратного обеспечения и основные средства защиты локальной сети, приведены организационные меры защиты. Так же была рассмотрена общая схема циркуляции персональных данных в информационной системе, что отображено в виде блок-схемы.

Так как задачей работы являлось не только создать, но и внедрить защищенную систему персональных данных, то в ходе работы была разработана защищенная локальная сеть организации МКУ "Молодежный центр" МО Кореновский район, по которой в защищенных каналах циркулирует информация, относящаяся к персональным данным, так же предложены программные и аппаратные средства защиты. В частности была предложена базовая политика безопасности для защиты от несанкционированного доступа к критически важным ресурсам. В ходе внедрения, вся информация остается защищенной и доступ к ней имеет только каждый специалист Молодежного центра, под личным паролем и контролем, а так же начальник отдела, так как он имеет доступ просматривать данные со своего компьютера, при этом не пользуясь компьютером специалистов, что стало намного безопаснее и удобнее.

Что касается затрат на защиту ЛВС и БД, то на сегодняшний день их наценка довольно велика. Если же говорить о том, сколько было затрачено средств на защиту информации в организации МКУ "Молодежный центр" МО Кореновский район, то бюджетом распоряжается Департамент молодежной политики Краснодарского края, поэтому Департамент выделил на создание системы защиты персональных данных бюджет, который составил 150 000р.

Из данного бюджета на систему защиты, а именно на покупку и установку определённых программ, таких как: devicelock-6000р, web+Kaspersky-12000p, cisco asa-44 000p, xspider-25 000p и т.д., было затрачено 122 000р. Установка программ и техники составила 10 000р.

Следует помнить, что Согласно законопроекту, статью 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП) предлагается значительно расширить, в том числе в 30 раз поднять максимальную величину штрафа.

Сейчас статьей 13.11 предусматриваются штрафы от 500 (для граждан) до 10 тыс. (для юридических лиц) за нарушение установленных правил (без пояснений видов нарушений).

В случае обработки персональных данных без согласия субъекта максимальный штраф (для юрлиц) предлагается установить в размере 50 тыс. Для индивидуальных предпринимателей штраф предлагается сделать от 20 тыс. до 30 тыс., для должностных лиц - от 5 до 15 тыс., а для граждан - от 1 тыс. до 3 тыс.

Установленная защита персональных данных работает без сбоя, проблем в работе не возникает.

Список используемой литературы

1. Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

2. ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка).

3. Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости. Москва, 2009.

4. В.Ф. Шаньгин - Информационная безопасность компьютерных систем и сетей, Москва, ИД "ФОРУМ" - ИНФРА-М, 2008 г.

5. Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с. - ISBN 978-5-8041-0378-2.

6. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2-е изд.- 2004. - 544 с. ISBN 5-8291-0408-3.

7. Э. Мэйволд - Безопасность сетей [Электронный ресурс] - Режим доступа: <http://www.intuit.ru/department/security/netsec/11/1.html>.

8. Обнаружение сетевых атак [Электронный ресурс] - Режим доступа: http://www.osp.ru/pcworld/2003/06/165957/

9. Куприянов Д.В., Белоусова С.Н., Меликян А.В., Бессонова И.А., Кирсанов А.П.,Гиляревский Р.С., Кишкович Ю.П., Назаров С.В., Гудыно Л.П., Кириченко А.А., Исаев Д.В.,Кравченко Т.К., Егоров В.С., Пятибратов А.П.-Введение в програмные системы и их разработку-2012г.

10. Зинкевич В.П.,-Вычислительная техника и программирование: учебное пособие-2011 г.

11. Синицын С.В., Хлытчиев О.И.,-основы разработки программного обеспечения на примере языка С-2013г.

12. Федеральный закон Российсской Федерации от 27 июля 2006 г.№149-ФЗ "Об информации, информационных технологиях и о защите информации". Трудовой кодекс Российской Федерации (глава 14).

Приложение А.

Приложение Б.

Рисунок 1 - Классификация УБПДн, обрабатываемых в информационных системах персональных данных

Приложение Г.

Рисунок 1.3 Пример proxy-сервера

Приложение Е.

Рисунок 1.5 -Уровни защищенности ПДн

Приложение И.

Рисунок 1.6 - ЛВС повышенной защищенности

Размещено на Allbest.ru