Размещено на http://www.allbest.ru/

Практические аспекты реализации защиты персональных данных

Жолнерун А.В.

Annotation

The question of illegal access to personal data is considered in article. Existing ways of illegal access prevention and the software used for it are also described.

Основная часть

В наши дни развитие информационных технологий идёт бурными темпами. И при таком уровне интеграции, на данном этапе следует уделять всё большее внимание информационной безопасности, а в частности - защите персональных данных. Аспекты реализации защиты персональных данных возникают практически во всех кампаниях, занимающихся сбором, хранением, передачей и обработкой этих данных. А с учетом того, что многие операторы персональных данных имеют ещё и территориально распределенную структуру своих информационных систем, то возникает ещё очень важный вопрос: «Как правильно организовать защиту данных, передаваемых по сетям общего пользования?» Да и зачастую к корпоративным сетям всё больший доступ получают работники с мобильными устройствами (ноутбуками), а это, в свою очередь, чревато повышением рисков утечки данных через эти каналы [2]. Зачастую, как показывает практика, многие кампании не придают рискам утечки данных особого внимания. И как следствие этого, не многие могут понять, что в их системах происходит утечка персональных данных [3].

Данная ситуация осложняется ещё и тем, что с 27.01.2007 вступил в силу ФЕДЕРАЛЬНЫЙ ЗАКОН от 27.07.2006 N 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» (принят ГД ФС РФ 08.07.2006), который обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну. В связи с этим операторам персональных данных, для достижения соответствия Федеральному Закону, требуется внедрение новых программных, а зачастую и аппаратных решений, а также принятие организационных мер и проведение модернизации бизнес-процессов компании. Согласно ст. 19 ч.1 оператор «обязан принимать необходимые организационные и технические меры, в т.ч. использовать шифровальные (криптографические) средства для защиты персональных данных» от целого ряда угроз. Среди данных угроз закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия»[1, 2].

Рассмотрим банковскую информационную систему сбора, обработки и хранения персональных данных клиентов, использующую территориально распределенную структуру, представленную на рисунке 1.

В данной системе сбор информации осуществляется на удаленных автоматизированных рабочих местах (УАРМ), потом ведется передача по информационным каналам общего пользования, посредством пересылки по электронной почте (SRV-MAIL). После поступления информации на сервер (SRV-AP), с ней выполняются некоторые процедуры обработки, после которой она заносится в базу данных (SRV-SQL) и хранится длительное время. Так как система банковская, то информация имеет большую ценность и представляет коммерческую тайну в виде реквизитов юридических лиц: счетов, сумм, находящихся на них, а также движения и выполняемые взаиморасчеты между клиентами. Помимо прочего, база данных содержит и персональные данные физических лиц: паспортные данные, телефоны, адреса, родственные связи, данные о материальном положении. Компрометация таких данных может отрицательно сказаться на самих клиентах кредитной организации и на деловой репутации банка, и что самое страшное - инцидент может повлечь лишение лицензии и меру пресечения, в виде уголовной или административной ответственности.

Рисунок 1 Структура банковской информационной системы

банковский информационный система данные

Для соблюдения данных требований на практике было использовано следующее техническое решение:

1) Установка пароля на вход в настройки BIOS и пароля на загрузку персонального компьютера (отличного от пароля на доступ к настройкам в BIOS);

2) В BIOS запретить загрузку персонального компьютера с дискет и прочих отчуждаемых носителей (оставить только загрузку с жесткого диска);

3) Настройка политики безопасности компьютера и политики Active Directory;

4) Использование на удаленных рабочих местах операционных систем со встроенной системой разграничения доступа, например, Windows XP SP2;

5) Отключить возможность выбора конфигурации операционной системы при загрузке в файле boot.ini;

6) Для каждого пользователя создание персонального идентификатора (имени) и пароля на вход в систему;

7) Переименование стандартной учетной записи «Администратор»;

8) Группу пользователей отнести к обычным (непривилегированным) пользователям;

9) Ограничить доступ к реестру, оставив его только для группы администраторов;

10) Установить на компьютерах специальное программное обеспечение, гарантирующее целостность технических и программных средств (антивирус Kaspersky Lab, McAfee);

11) Включение и настройка брандмауэра;

12) Использовать файловую систему NTFS, с включенным шифрованием данных, хранящихся на диске, по алгоритму 3DES, с применением экспорта закрытого ключа на внешний носитель;

13) Исключить возможность создания на удаленных рабочих местах разделяемых сетевых ресурсов;

14) Отключение возможности удаленного доступа (Telnet, RDP и т.д.) на удаленных рабочих местах;

15) Разрешить выполнение только необходимых приложений Windows и плюс: cmd.exe, explorer.exe, iexplore.exe;

16) Создать ярлык на рабочем столе для быстрого запуска хранителя экрана (scrnsave.scr) и установить его (хранителя экрана) защиту паролем;

17) В настройках безопасности Internet Explorer'a создать ограничение доступа и создать пароль на изменение списка разрешенных к посещению сайтов;

18) Опечатать системные блоки, а также неиспользуемые USB, LPT, COM порты, саморазрушающимися наклейками - стикерами;

19) Выполнить запрет на использование USB и других устройств для работы со съемными носителями информации путем внесения изменений в реестре Windows;

20) Использовать шифрование данных, передаваемых по каналам и сетям общего пользования.

Но, как показала практика, для соблюдения требований ФЗ «О персональных данных» необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих, так как по статистике инсайдерские угрозы занимают большую долю от всех остальных факторов риска утечки данных[4]. Следовательно, необходимо введение жёстких политик безопасности, а также установка специального программного обеспечения от фирмы InfoWatch - InfoWatch Enterprise Solution (IES). Продукт IES представляет собой единую централизованную платформу для обеспечения внутреннего контроля над информационными потоками в корпоративной среде. Это достигается путем отслеживания и тщательного протоколирования всех операций над классифицированной информацией, осуществляемых как с помощью рабочих станций и мобильных устройств, так и посредством файловых и почтовых серверов[4]. На рисунке 2 представлена схема работы данного комплексного решения.

Рисунок 2 Схема работы комплекса InfoWatch Enterprise Solution

Подводя итог, следует отметить, что помимо функциональности, описанной выше и требуемой стандартом ЦБ РФ по ИТ-безопасности СТО БР ИББС-1.0-2006, продукт позволяет защититься от таких опасных угроз, как корпоративный саботаж, нецелевое использование информационных ресурсов компании, кража и разглашение конфиденциальных данных [4].

В заключение хочется добавить, что наряду с внедрением технических решений и стандартов, необходимо сочетать также и административные меры с подготовкой и воспитанием квалифицированного персонала, без чего невозможно обойтись фирмам-операторам персональных данных на нынешнем этапе развития информационных технологий.

Литература

1. Федеральный Закон от 27 июля 2006 г. №152-ФЗ «О персональных данных». «СЗ РФ», 31.07.2006, №31(1ч.), ст.3451.

2. Защита персональных данных по закону [Электронный ресурс]. http://sky-net.dp.ua/bezopasnost/zashhita-personalnyh-dannyh-po-zakonu.html - Электрон. текстовые, граф. дан. (203 Kб): цв.- Систем. требования: ПК 486 или выше; 8 Мб ОЗУ; Windows 3.1, Windows 95 или выше; SVGA 32768 и более цв.; 640х480; 4х CD-ROM дисковод; мышь. Загл. с экрана.

3. Внутренние ИТ-угрозы в России 2007-2008: итоги и прогнозы [Электронный ресурс] / М.: InfoWatch, 2008 // http://www.infowatch.ru/downloads/reports/internal-threats-2007-2008.pdf - Электрон. текстовые, граф. дан. (302 Kб): цв.- Систем. требования: ПК 486 или выше; 8 Мб ОЗУ; Windows 95 или выше; Adobe Acrobat 6.0 или выше; SVGA 32768 и более цв.; 640х480; 4х CD-ROM дисковод; мышь. Загл. с экрана.

4. Решения InfoWatch для совместимости со стандартом ЦБ РФ по ИТ-безопасности СТО БР ИББС-1.0-2006 [Электронный ресурс] / М.: InfoWatch, 2006 // http://www.infowatch.ru/downloads/docs/wp_centrobank_rus.pdf - Электрон. текстовые, граф. дан. (7.03 Мб): цв.- Систем. требования: ПК 486 или выше; 8 Мб ОЗУ; Windows 95 или выше; Adobe Acrobat 6.0 или выше; SVGA 32768 и более цв.; 640х480; 4х CD-ROM дисковод; мышь. Загл. с экрана.

Размещено на Allbest.ru