Разработка системы защиты персональных данных на предприятии диплом

ЭТАПЫ РАБОТ ПО СОЗДАНИЮ СИСТЕМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Стадия проектирования Основной задачей стадии проектирования является разработка и обоснование технических решений и оформление проектной

Опыт проектирования системы защиты персональных данных телекоммуникационного оператора
Александр Андрущенко,
директор направления ООО "ИНФОРИОН"
3анимаясь длительное время созданием комплексных решений в сфере защиты информации, наша компания приобрела обширный опыт выполнения подобных работ. Одним из последних интересных проектов является разработка системы обеспечения информационной безопасности (СОИБ) в интересах крупной телекоммуникационной компании. В этой статье мы поделимся новым опытом, полученным в ходе выполнения данного проекта. Особенность объекта защиты
Прежде всего, следует отметить нетривиальность объекта защиты, в роли которого выступила одна из центральных систем OSS/BSS. Помимо значительного масштаба этой информационной системы (большое количество разнообразного сложного оборудования и приложений, несколько сотен пользователей, наличие удаленных технологических площадок, значительная сетевая инфраструктура) важную роль - с точки зрения проектирования системы безопасности - играло то обстоятельство, что в системе планировалось обрабатывать персональные данные (ПД). Эта особенность и задала основной вектор проектирования СОИБ: ввиду наличия требований к обеспечению информационной безопасности (ИБ) системы в целом и требований к защите ПД в составе СОИБ разрабатывается СЗПД - система защиты персональных данных (см. рис.). При этом, разумеется, соблюдаются все требования законодательства по защите ПД. Наконец, отметим, что в период проектирования СОИБ защищаемая система сама находилась в стадии разработки. Изучение объекта защиты
Известна аксиома: разработка СОИБ начинается с изучения объекта защиты. Важность аудита как самой информационной системы (ИС), так и ИТ-инфраструктуры сложно переоценить. Хотелось бы отметить особенность рассматриваемого примера выполнения проекта, которая, очевидно, является характерной трудностью проведения подобных работ. Эта особенность связана с предоставлением исходных данных по защищаемой системе, которая, напомним, в нашем случае сама находится в стадии разработки, а не относится к уже существующим системам. Как следствие - низкая степень документированности архитектуры и технических решений, постоянные пересогласования вариантов интеграции составных частей, отсутствие ясности в организационных вопросах и тому подобные факторы, влияющие в конечном счете на качество выполнения работ по защите информации. В данном случае можно рекомендовать, во-первых, "запаздывающее" планирование работ по направлению ИБ, когда проектирование СОИБ идет с некоторой задержкой (как правило, 2-3 недели) относительно разработки самого объекта защиты. Во-вторых, проектировщикам СОИБ следует буквально "погрузиться" в техпроект защищаемой системы. Разумеется, для этого следует обладать необходимыми знаниями в ИТ-сфере и, что не менее важно, -иметь способность наладить взаимодействие с целым рядом рабочих групп (в том числе в рамках нескольких независимых компаний), занятых в создании ИС. В данном проекте экспертам в области безопасности приходилось вести активную работу и с заказчиком, и с подрядчиком, и со всеми контрагентами, привлеченными головным исполнителем. Уточнение границ объекта защиты

СЗПДн – Система защиты персональных данных.  ТЗ на создание СЗПДн ГАУЗ РМ РКДЦ должно включать: обоснование разработки системы защиты ПДн; исходные данные о ИСПДн в техническом, программном, информационном и организационном

Создание СЗПД, пусть и в рамках более масштабной СОИБ, требует соблюдения всех установок, заложенных в федеральное законодательство и методические документы регуляторов. Для того чтобы адекватно реализовывать такие установки именно там, где это необходимо, потребовалось произвести уточнение границ объекта защиты. На основе определения, приведенного в Федеральном законе № 152-ФЗ "О персональных данных", были четко выделены и зафиксированы те элементы защищаемой ИС, которые образуют информационную систему персональных данных. Как и следовало ожидать, границы ИСПД не совпали с границами ИС в целом. Это обстоятельство позволило отказаться от некоторых избыточных технических решений, поскольку необходимость обеспечивать выполнение требований по защите ПД в масштабах всей ИС сменилась необходимостью реализовать эти требования только в рамках ИСПД как ее составной части.
Дальнейшее проектирование СОИБ велось с учетом наличия в ней СЗПД, а также принципа: "СОИБ - для защиты ИС в целом, СЗПД - для защиты ИСПД, сформированной в составе ИС". Обработка ПД и определение их перечня
Важный вопрос, который должен решить для себя оператор, - установление необходимости обработки ПД и определение их перечня. В рассматриваемом примере необходимость обработки диктовалась как технологией обслуживания клиентов, так и положениями Федерального закона № 126-ФЗ "О связи", устанавливающего возможность обработки телекоммуникационной компанией информации об абонентах. Положения статьи 53 упомянутого закона легли в основу перечня персональных данных, обрабатываемых в защищаемой ИСПД, зафиксировавшего состав ПД и правовые основания для их обработки.
Как известно, во главу угла при выполнении работ по защите ПД ставится классификация ИСПД. Разумеется, при создании СОИБ, имеющей в своем составе СЗПД, это мероприятие в отношении последней имеет статус обязательного. Важным фактором, влияющим на этот процесс, явилось качество проведенного аудита.

Система защиты персональных данных. Дата: Апрель 21, 2014 Автор: Автор. У любой организации, ведущей обработку перс.данных есть определенные обязанности.21 апреля 2014

В нормативной базе по защите ПД регуляторы предусмотрели достаточно гибкий инструмент, позволяющий повысить соответствие системы защиты тем угрозам, которые действуют в отношении ПД в конкретной ИС. Этим инструментом является разделение ИСПД на типовые и специальные, а также классификация последних на основе модели угроз безопасности ПД. В рассматриваемом случае группа проектирования совместно со специалистами заказчика пришла к выводу, что защищаемая ИСПД является специальной, поскольку в ней вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности. Составленная в соответствии с методическими документами ФСТЭК, частная модель угроз безопасности ПД позволила, во-первых, адекватно определить класс системы и, во-вторых, выделить именно те угрозы, которые являются актуальными и от которых следует защищаться. Техническое проектирование
Собственно техническое проектирование СОИБ/СЗПД в рассматриваемом случае проводилось без каких-либо особенностей. Имеется достаточное количество вариантов реализации тех или иных сервисов ИБ. Проблем с выбором сертифицированных СЗИ, отвечающих перечню актуальных угроз ПД, также не возникало: на рынке представлено достаточно большое число решений, и проектировщикам остается подобрать наиболее подходящее по требованиям и условиям применения. Особенностью рассматриваемого примера явилась разработка двух групп технических решений по обеспечению ИБ. Первая группа решений ориентировалась на защиту центрального ядра системы и головного филиала заказчика, вторая - на защиту типового регионального филиала (их в структуре бизнеса насчитывается девять).
Отметим, что знание существующей у заказчика системы мер по защите информации позволит использовать уже имеющиеся СЗИ и нормативные документы во вновь создаваемой системе обеспечения безопасности и тем самым снизить конечную стоимость СОИБ и длительность ее разработки, а также избежать излишних трудностей для заказчика при внедрении новых, ранее не использовавшихся СЗИ. Разработка нормативных документов
Очевидно, что обеспечение ИБ не базируется только на соответствующих технологиях, оборудовании и ПО. Важное место отводится организационным мерам, для чего при создании СОИБ (и СЗПД) разрабатываются необходимые нормативные документы. Поскольку в большинстве случаев система защиты создается не в "чистом поле", важным моментом является гармоничная интеграция вновь разрабатываемых документов в существующую нормативную базу заказчика. И вновь приходится указать на важность предметного пред-проектного обследования: подробная информация об имеющихся у заказчика документах в области защиты информации не только обеспечит построение целостной взаимодополняющей нормативной базы, но и позволит использовать существующие положения при подготовке новых документов по защите информации, включая ПД. Так, в приводимом здесь примере документы, разрабатываемые в рамках проектирования СОИБ, неоднократно ссылались на существующую нормативную базу по таким вопросам, как управление паролями, предоставление доступа к информационным системам, ограничение доступа к сети Интернет, порядок использования отдельных СЗИ, общие обязанности пользователей корпоративной сети. Разумеется, особенности выполнения проекта, связанные с "инкапсуляцией" СЗПД в СОИБ, внесли свой вклад в нормативную составляющую: помимо документов, обязательных к разработке и определенных требованиями ФСТЭК, были подготовлены дополнительные руководства, например частная политика ИБ защищаемой системы. Выводы
Во-первых, наиболее важными и ответственными этапами создания СОИБ и СЗПД являются предпроектное обследование и классификация ИСПД -это те отправные точки, на которые опираются все дальнейшие действия по разработке технических решений и организационных документов. Во-вторых, следует максимально использовать возможности, заложенные регуляторами в нормативную базу. В-третьих, собственно разработка системы защиты не является чем-то из ряда вон выходящим, но требует от специалистов детальных знаний о защищаемой системе, а также о функциональных возможностях и характеристиках СЗИ. Наконец, подход, при котором система защиты персональных данных рассматривается как составная часть СОИБ, а защищаемая ИСПД - как составная часть более масштабной информационной системы, является вполне работоспособным и позволяет, с одной стороны, реализовать требования к обеспечению ИБ системы в целом, с другой - обеспечить защиту входящей в нее ИСПД, совмещая разработку соответствующих технических решений и нормативных документов в рамках одного проекта.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2009
Посещений: 6535
Статьи по теме
Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных д

Разработка технического задания на систему защиты персональных данных.  ЭТАП 2: Создание системы защиты персональных данных (СЗПДн)


ВООБЩЕ НЕ АКТУАЛЬНО Только в академическом смысле оставлено. Рекомендуемый порядок создания системы защиты персональных данных (СЗПДн). В соответствии с документом "Основные мероприятия по организации и техническому обеспечению

33. Регламент резервного копирования данных. Стоимость разработки пакета документов составляет от 15 000 до 30 000 руб. 3. Создание системы защиты персональных данных.


Срок исковой давности по кредитной задолженности

Срок исковой давности по кредиту составляет три года. Он регламентирован ст.196 ГК РФ. Начинается он с того момента, когда заемщик прекращает платить банку, т. е. тем числом, когда у него появилась первая просроченная задолженность.

А именно, вы должны знать об истечении сроков исковой давности задолженности по кредиту. И еще, прежде чем брать в банке кредит, подумайте о том, что в случае невыплаты кредитного долга, банки тоже могут пойти на крайние меры

Подробнее...

Особенности организации прокурорского надзора за законностью орд

случаях с учетом состояния законности в этой сфере деятельности. В зависимости от конкретного направления ОРД методы прокурорского надзора имеют свою специфику.

Организация прокурорского надзора за соблюдением законов органами  надзора за исполнением законов органами, осуществляющими ОРД 106 4.5.  Особенности надзора за законностью исполнения наказания в виде лишения свободы 133 5.5.

Подробнее...

Проект договора хранения

Соответствующее условиям договора место хранения автомобиля определено в пункте 1.2 договора хранения - г. Москва, <адрес>.

Общие положения о договоре хранения. По договору хранения одна сторона (хранитель) обязуется хранить вещь, переданную ей другой стороной

Подробнее...

Законность начисления одн

В категорию ОДН входят, например, технологические промывки системы  Образец заявления в УК по порядку начисления платы за общедомовые нужды.

Законность начисления одн - получить консультацию юриста. Бесплатная юридическая консультация онлайн.

Подробнее...