Техническое проектирование системы защиты персональных данных информационной системы учета застрахованных в страховой компании (медицинское страхование) по требованиям безопасности информации

Комиссии рассмотреть и внести на утверждение документ «Инструкция администратора безопасности информационных систем персональных данных».

Разработать техническое задание и технорабочий проект на создание СЗПДн.

Провести технические мероприятия для обеспечения защиты ПДн при их обработке в ИСПДн согласно разработанному технорабочему проекту.

Декларировать соответствие или провести аттестационные (сертификационные) испытания ИСПДн.

Проводить непрерывное совершенствование системы СЗПДн на основании Плана проведения внутренних проверок.

1.

8.4 Применение технических средств защиты ПДн в ИСПДн ООО «АК БАРС-МЕД»

Для обеспечения условий обработки персональных данных необходимо наличие в структуре системы ИБ следующих подсистем:

1.Управление документами Решения в сфере управления документами объединяют в себе программное обеспечение и процессы для управления неструктурированными данными в организации. Эти данные могут быть представлены в большом количестве цифровых форматов, включая документы, изображения, звуковые и видеофайлы, а также файлы в формате XML.

2.Оценка рисков Оценка рисков — это процесс, с помощью которого организация определяет риски, связанные со своей деятельностью, и устанавливает приоритеты в их отношении.

3.Управление изменениями Управление изменениями — это структурированный процесс, с помощью которого организация оценивает изменения в плане проекта, ИТ-инфраструктуре, развертывании программного обеспечения или других процессах и процедурах. Система управления изменениями способствует определению изменений, оценке воздействия изменений, определению действий, необходимых для реализации изменений, и распространению сведений об изменениях в пределах всей организации. Система также помогает отслеживать происходящие в организации изменения. Все это позволяет сохранять контроль над ИТ-средой организации в процессе ее изменения.

4.Безопасность сети Решения по обеспечению безопасности сети представляют собой широкую категорию решений, направленных на обеспечение безопасности всех составляющих сети организации, включая брандмауэры, серверы, клиенты, маршрутизаторы, коммутаторы и точки доступа. Планирование и контроль системы безопасности сети организации является основным элементом обеспечения соответствия требованиям стандарта PCI DSS. Существует большое количество решений, разработанных для обеспечения сетевой безопасности, и организация, скорее всего, уже использует те или иные элементы защищенной сети. Гораздо более эффективно и рентабельно строить систему безопасности сети на основе уже реализованных решений, а не начинать все заново.

5.Управление узлами Решения по управлению узлами предназначены для управления операционными системами серверов и рабочих станций. Решения по управлению узлами также предусматривают реализацию рекомендаций по безопасности на всех уровнях операционных систем каждого узла, установку последних обновлений и исправлений и использование безопасных способов выполнения повседневных операций.

6.Защита от вредоносных программ Решения по защите от вредоносных программ являются основным элементов обеспечения безопасности персональных данных. Обеспечивая защиту от нежелательной почты и предотвращая заражение систем вирусами и программами-шпионами, они позволяют обеспечить максимальную производительность систем в сети организации и предотвратить несанкционированную передачу конфиденциальных данных.

7.Безопасность приложений Подсистема устанавливает ограничения, связанные с безопасностью выполнения управляемого кода. Для каждой сборки, загруженной на выполнение операционной системой, устанавливаются разрешения на доступ к ресурсам, которые называются набором разрешений. Эти разрешения базируются на политике безопасности. Используя свидетельства, имеющиеся у каждой сборки, можно разрешать или запрещать ей доступ к системным ресурсам. Другими словами, платформа использует политику безопасности, основанную на свидетельствах сборки, устанавливая разрешения для этой сборки на доступ к системным ресурсам

8.Обмен сообщениями и совместная работа Приложения для обмена сообщениями и совместной работы.

9.Классификация и защита данных Решения по классификации и защите данных определяют порядок применения уровней классификации безопасности к данным. Эта категория решений также управляет защитой данных исходя из необходимости сохранения их конфиденциальности и целостности в процессе хранения или передачи. Наиболее распространенным способом организации защиты данных является использование криптографических решений.

10.Управление удостоверениями Управление удостоверениями позволяет ограничить количество сотрудников, которые могут получать доступ к данным, а также обрабатывать и передавать их. Используйте решения по управлению удостоверениями, чтобы улучшить управление цифровыми удостоверениями и разрешениями для сотрудников, клиентов и партнеров организации.

11.Проверка подлинности, авторизация и управление доступом Проверка подлинности — это процесс идентификации пользователя. В ИТ-среде для проверки подлинности, как правило, применяется имя пользователя и пароль. Однако при проверке подлинности могут использоваться дополнительные способы идентификации — смарт-карты, сканирование сетчатки глаза, распознавание голоса или отпечатков пальцев. Авторизация направлена на определение того, разрешен ли прошедшему проверку.

12.Идентификация уязвимостей Решения по идентификации уязвимостей представляют собой средства, которые организация может использовать для проверки своих информационных систем на наличие уязвимостей. Чтобы иметь возможность эффективно устранять уязвимости, ИТ-специалисты организации должны знать, какие уязвимости существуют в системе. Идентификация уязвимостей также дает возможность восстанавливать данные, случайно утраченные вследствие ошибки пользователя.

13.Наблюдение, аудит и создание отчетов Решения по наблюдению и созданию отчетов предназначены для сбора и аудита журналов, в которых регистрируются данные проверки подлинности и сеансы доступа к системе.

Перечень программных средств для каждой подсистемы защиты приведен в таблице 6. Во многих случаях предпочтение отдается программным продуктам компании Microsoft, так как в компании уже установлен ряд программных продуктов данной компании.

Таблица 6

Перечень ПО по подсистемам Подсистема Программное обеспечение Обоснование выбора Управления документами Microsoft Office SharePoint Server Данный программный продукт уже функционирует в компании Оценка рисков Microsoft Systems Management Server Данный программный продукт уже функционирует в компании Управления изменениями Microsoft Office SharePoint Server Данный программный продукт уже функционирует в компании Безопасности сети Брандмауэр Microsoft Windows Данная подсистема реализуется настройками стандартных средств операционной системы. Управления узлами Microsoft Systems Management Server Защиты от вредоносных программ Kaspersky Antivirus 8.0 Данный программный продукт уже функционирует в компании. Безопасности приложений Microsoft Intelligent Application Gateway (IAG) 2007

Выбор обусловлен ценой программного продукта и опытом использования Обмена сообщениями и совместной работы Microsoft Exchange Server Данный программный продукт уже функционирует в компании. Классификации и защиты данных 1. Шифрованние файловой системы Windows (EFS)

2.Служба управления правами Microsoft Windows (RMS)

3.Шифрование данных на сервере Microsoft SQL Server Данная подсистема реализуется настройками стандартных средств операционной системы. Управления удостоверениями 1. Microsoft Active Directory

2.Сервер Microsoft SQL Server Данная подсистема реализуется настройками стандартных средств операционной системы. Проверки подлинности, авторизации и управления доступом 1. Microsoft Active Directory

2.Применение устройства eToken Microsoft Active Directory уже используется в компании. Выбор eToken обусловлен опытом использования. Идентификации уязвимостей 1. Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA)

2.СОА Snort Выбор MBSA обусловлен поставкой данного ПО с Microsoft Windows Server.

СОА Snort имеет бесплатное распространение. Наблюдения и аудита 1. Microsoft SQL Server

2.Системные списки управления доступом NTFS

3.Microsoft Operations Manager 2007

Частично подсистема реализована средствами ОС и СУБД.

Microsoft Operations Manager 2007 является лучшим среди аналогов по глубине отчетов.

1.

8.5 Требования к физической защите

Для повышения эффективности физической охраны помещений компании внедряется СКУД Elsys и система видеонаблюдения VideoNova. Основным пользователем систем будет являться служба безопасности.

Пульты управления системой видеонаблюдения и СКУД выведены в комнату дежурного. Туда также выведен пульт пожарной сигнализации.

Программные средства обеспечения ИБ управляются централизовано через администратора.

Объекты, подлежащие оснащению комплексом защиты корпоративной сети: сервер и рабочие станции.

Доступ в серверную ограничен для все сотрудников, кроме лиц согласно перечня утвержденного управляющим и начальника службы безопасности.

Доступ к приложениям разграничен согласно функциональным задачам отделов.

Все действия сотрудников в корпоративной сети предприятия журналируются.

Все порты для внешних накопителей информации на рабочих станциях отключены.

Корпуса рабочих станций и сервера опломбированы.

Доступ в помещения сотрудников журналируется системой СКУД.

В компании применяется резервирование системы питания, резервирование сервера и рабочих станций.

2. Разработка проекта СЗПДн

2.1 Разработка эскизного проекта на создание СЗПДн

Во время разработки эскизного проекта на создание СЗПДн в качестве основополагающих были приняты следующие документы:

Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

«Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005), утвержденное приказом ФСБ России от 9 февраля 2005 года № 66 (зарегистрирован Минюстом России 3 марта 2005 года, регистрационный № 6382).

«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждена руководством 8 Центра ФСБ России 21 февраля 2008 года. № 149/54−144.

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», ФСБ России, № 149/6/6−622, 2008.

Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;

Требования технического задания на проектирование СЗПДн, изложенные в п.

1.8.

Пояснительная записка к эскизному проекту приводится в приложении 19.

2.2 Разработка эксплуатационной документации на СЗПДн

Исходя из требований к ЗИ на АС были разработаны следующий документы:

Инструкция начальнику службы безопасности Инструкция по работе с конфиденциальными документами Перечень персональных данных Журнал учета носителей ООО «АК БАРС-Мед»

Инструкция действий в нештатных ситуациях ООО «АК БАРС-Мед»

Перечень сведений конфиденциального характера ООО «АК БАРС-Мед»

Заключение

Таким образом, целью данной работы является обеспечение условий информационной безопасности для обработки персональных данных.

В ходе работы была описана деятельность компании, описан перечень информационных активов компании.

Рассмотрены схемы информационных потоков используемых информационных систем компании.

Во второй главе работы разработан проект системы информационной безопасности: разработан перечень организационных мероприятий, разработан перечень программно-технических средств и разработана внутренняя документация.

Таким образом, цель работы можно считать достигнутой, а инженерные задачи решенными.

Список используемой литературы.

Бачило И.Л., Лопатин В. Н., Федотов М. А. Информационное право: Учебник/Под ред. Акад. РАН Б. Н. Топорникова. — СПб.: Издательство «Юридический центр Пресс», 2001.

Герасименко В.А., Малюк А. А. Основы защиты информации. — М.: 2000.

Девянин П.Н., Михальский О. О., Правиков Д. И., Щербаков А. Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. — М.: Радио и связь, 2000. — 192с.

Диева С.А., Шаеаева А. О. Организация и современные методы защиты информации. — М: Концерн «Банковский Деловой Центр», 2004.

Мельников В. В. Безопасность информации в автоматизированных системах. — М.: Финансы и статистика, 2003. — 368с.

Мельников В.В., Клейменов С. А., Петраков А. М. Информационная безопасность. — М.: Академия, 2005. — 336с.

Назаров С. В. Локальные вычислительные сети. Книга 1. Москва «Финансы и статистика» 2000, с. 24

Хореев П. Б. Методы и средства защиты информации в компьютерных системах. — М.: Академия, 2005.

Ярочкин В. И. Информационная безопасность. — М.: Гаудеамус, 2004. — 544с.