КОМПЛЕКСНАЯ ЗАЩИТА ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ СТРАХОВОЙ КОМПАНИИ
Рой Дмитрий Александрович
студент группы БИб15-И1 Сибирского государственного автомобильнодорожного университета, г.Омск
E-mail: dmitriroy@mail.ru
Анацкая Алла Георгиевна
СибАДИканд. пед. наук, доцент кафедры «Информационная безопасность», ибирского государственного автомобильно-дорожного университета, г.Омск
E-mail: anatskaya.ag@gmail.com
АННОТАЦИЯ
В данной статье рассматриваются подходы к созданию комплексной системы защ ты нформации в ИСПДн страховой компании. Проведено категорирован е ИСПДн по тре ованиям информационной безопасности, выявлены актуальные угрозы. Сформулированы рекомендации по повышению информац онной безопасности рассматриваемой ИСПДн.
Ключевые слова: комплексная система защиты информации (КСЗИ), информац онная с стема о ра отки персональных данных (ИСПДн), страховая компания, информационная езопасность.
Информационные системы (ИС) широко применяются в деятельности таких организаций как страховые компании. К обрабатываемой в таких ИС информации относятся подробные сведения о субъекте персональных данных и имуществе граждан, о состоянии их здоровья и, кроме этого, условия страховых договоров. Подобная информация представляет большой интерес для злоумышленников и становится основной целью организаторов кибератак, а также объектом атак вредоносных программ, для получения денежной прибыли и дальнейшего использования в корыстных целях.
В связи с этим создание эффективной комплексной системы защиты информации в информационных системах страховых компаний является актуальной задачей.
Комплексная система защиты информации (КСЗИ) представляет собой совокупность организационных инженерно-технических мероприятий, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа [1]. К мерам КСЗИ относятся:
организационно-правовые;
программно-аппаратные;
инженерно-технические.
97
Алгоритм построения КСЗИ предусматривает следующие действия:
1.Аудит – анализ текущего состояния информационной безопасности.
2.Разработка технического задания – анализ уязвимостей информационной системы, определение требований к системе защиты, разработка информационной модели КСЗИ.
3.Определение технического решения – определение детального перечня оборудования, программного обеспечения и содержания
СибАДИОбъект информатизации ИСПДн «Система1» представляет собой комплекс из 1-й ПЭВМ – автоматизированное рабочее место с подключением к внешним информационным системам, в том числе к сетям общего пользования (информационно-телекоммуникационной сети Интернет).
|
работ, описание технического решения, определение стоимости. |
|
4. |
Реализация КСЗИ – построение полного комплекса средств защиты, |
|
|
тест рован е КСЗИ. |
|
5. |
Эксперт за – получение экспертного заключения (аттестата). |
|
6. |
Эксплуатац я |
– поддержание актуальности КЗСИ в течение |
|
ж зненного ц кла. |
|
В качестве о ъекта |
нформатизации (ОИ) рассмотрена информационная |
|
система « стема1» страховой компании г. Омска, которая отнесена к типам |
||
информац онных с стем о ра атывающих персональные данные (ИСПДн). |
||
ИСПДн «С стема1» предназначена для создания условий эффективного |
||
взаимодейств я между настоящим органом страхования и гражданами, желающими быть застрахованными. В данной ИСПДн производится хранение,
обработка |
передача нформации, в отношении которой установлено |
требование о ее конфиденциальности (персональные данные застрахованных |
|
граждан), доступ к которой осуществляется посредством защищенных каналов |
|
Интернет. |
|
Конфиденциальными являются сведения, персональные данные граждан условия страхования.
В ИСПДн ведется обработка информации следующими субъектами, имеющими различные права доступа:
администратор безопасности – настройка системы, разграничение прав доступа пользователей к информации согласно разрешительной системе доступа, настройка СЗИ от НСД, обновление антивирусного ПО;
пользователи – обработка персональных данных граждан.
В таблице 1 представлены основные характеристики СПДн «Система1», которые служат для категорирования по требованиям информационной безопасности [2].
98
Таблица 1.
Характеристики ИСПДн страховой компании
|
Исходные данные ИСПДн |
ИСПДн«Система1» |
|
|
Категория обрабатываемых |
Специальные |
|
|
персональных данных |
|
|
|
|
|
|
|
Объем обрабатываемых |
В информационной системе |
|
|
СибАДИ |
|
|
|
персональных данных |
одновременно обрабатываются данные |
|
|
|
менее чем 100 000 субъектов |
|
|
|
персональных данных |
|
|
Категор субъектов ПДн |
Персональные данные субъектов |
|
|
|
персональных данных, не являющихся |
|
|
|
сотрудниками оператора |
|
|
Категор я ИСПДн |
Информационная система, |
|
|
|
о рабатывающая категории персональных |
|
|
|
данных - Специальные, информационная |
|
|
|
система, обрабатывающая персональные |
|
|
|
данные субъектов персональных данных, |
|
|
|
не являющихся сотрудниками оператора |
|
|
Тип актуальных угроз |
Угрозы 3-го типа (угрозы, связанные с |
|
|
|
наличием недокументированных |
|
|
|
(недекларированных) возможностей в |
|
|
|
системном программном обеспечении, |
|
|
|
используемом в информационной |
|
|
|
системе) |
|
|
|
|
|
Опираясь на характеристики, перечисленные выше, СПДн присвоен уровень защищенности УЗ2.
Объект информатизации расположен в кабинете принадлежащем организации. Помещения, эксплуатируемые страховой компанией, находятся в собственности.
В здании присутствуют сторонние организации:продуктовый магазин;строительный магазин;книжный магазин;столовая;тренажерный зал.
Границей контролируемой зоны ОИ ИСПДн «Система1» является периметр ограждающих конструкций помещения (стены, пол, потолок). Смежными помещениями для ИСПДн «Система1» являются с правой стороны служебные помещения, с левой стороны кабинет № 35.
99
В здании отсутствует единый пропускной режим, вход свободный. Журнал учета посетителей не ведется.
Охрана административного здания осуществляется ежедневно и круглосуточно не вооруженными сторожами. По окончании рабочего дня дверь в административное здание запирается на замок.
На основании проведенного анализа по методике ФСТЭК России [3] установлен перечень актуальных угроз безопасности ПДн при их обработке в
СибАДИ |
||||||||||||
И ПДн « истема1»: |
|
|
|
|
|
|
|
|
|
|||
|
кража ПЭВМ; |
|
|
|
|
|
|
|
|
|
||
|
мод ф кац |
, |
внедрение |
вредоносных |
программ, |
уничтожение |
||||||
|
информац |
; |
|
|
|
|
|
|
|
|
|
|
|
ун чтожен е, |
коп рование, |
форматирование, перемещение, |
кража |
||||||||
|
нос телей |
нформации; |
|
|
|
|
|
|
|
|||
|
кража ключей доступа; |
|
|
|
|
|
|
|
||||
|
вывод |
з строя узлов ПЭВМ, каналов связи; |
|
|
|
|||||||
|
несанкц он рованный |
доступ |
к |
информации при |
техническом |
|||||||
|
обслуж ван |
|
(ремонте, уничтожении) узлов ПЭВМ; |
|
|
|
||||||
|
утрата ключей |
атри утов доступа; |
|
|
|
|
|
|||||
|
непреднамеренная |
модификация |
(уничтожение) |
информации |
||||||||
|
сотрудн ками; |
|
|
|
|
|
|
|
|
|
||
|
передача по сетям за пределами контролируемой территории ПДн и |
|||||||||||
|
иной конфиденциальной информации в открытом (или слабо |
|||||||||||
|
защищённом) виде; |
|
|
|
|
|
|
|
|
|||
|
игнорирование организационных ограничений (установленных правил) |
|||||||||||
|
при работе с ресурсами, включая средства защиты информации; |
|
|
|||||||||
угрозы, |
реализуемые |
в ходе |
загрузки |
операционной |
системы |
и |
||||||
|
направленные на перехват паролей или идентификаторов, |
|||||||||||
|
модификацию базовой системы ввода/вывода (BIOS), перехват |
|||||||||||
|
управления загрузкой; |
|
|
|
|
|
|
|
|
|||
угрозы, |
реализуемые |
после |
загрузки |
операционной |
системы |
и |
||||||
|
направленные на выполнение несанкционированного доступа с |
|||||||||||
|
применением стандартных функций (уничтожение, копирование, |
|||||||||||
|
перемещение, форматирование носителей информации |
т.п.) |
||||||||||
|
операционной системы или какой-либо прикладной программы, с |
|||||||||||
|
применением специально созданных для выполнения НСД программ. |
|
||||||||||
В рамках создания КСЗИ для рассматриваемой СПДн "Система1" необходимо дополнить существующие меры соответствующие уровню защищенности УЗ2. Так, на организационно-правовом уровне реализованы следующие меры:
1.Вход сотрудников разрешен с 8:30 до 17:45 с понедельника по пятницу.
2.Охрана административного здания осуществляется не вооруженными сторожами.
100
3.Охрана осуществляется ежедневно и круглосуточно. По окончании рабочего дня дверь в административное здание запирается на замок.
4.Режим работы охраны – 7 дней в неделю круглосуточно.
5.вязь с ближайшим отделением полиции организована по телефону, и кнопкой экстренного вызова полиции.
6.Доступ сотрудников и иных лиц в кабинет, определяется в соответствии с отдельными списками, утверждаемыми директором.
СибАДИ |
||
Рекомендуется: |
|
|
вести журнал учета посетителей; |
||
|
провод ть |
нструктаж сотрудников; |
|
пр влекать |
сотрудников к ответственности за правонарушения, |
|
касающ еся нформационной безопасности. |
На программно-аппаратном уровне, в настоящее время реализованы |
|
следующ е меры: |
|
1. |
Установлено СЗИ Secret Net Studio 8. |
2. |
Установлен ПАК Со оль. |
3. |
Установлен Ант вирус Касперского. |
4. |
Установлен RedCheck. |
5. |
Установлен VipNet. |
Рекомендуется: |
|
|
проверка и о новление актуальности используемых версий ПО; |
|
продление лицензий в срок. |
На инженерно-техническом уровне в ИСП н «Система1» реализованы |
|
следующие меры: |
|
1. |
Вход в помещение ОИ, который оборудован металлической дверью с |
|
замком, с опечатывающего устройством; |
2. |
Вход в помещение ОИ оборудован деревянной дверью с замком, с |
|
опечатывающего устройством; |
3. |
На окнах в помещениях имеются металлические решетки шторы. |
Рекомендуется: |
|
|
установить пожарную сигнализацию; |
|
установить охранную систему (датчики давления, с последующим |
|
вызовом группы быстрого реагирования); |
|
установить видеонаблюдение на входе в кабинет. |
Выполнение перечисленных выше рекомендаций позволит оптимально защитить в ИСПДн «Система1» персональные данные клиентов страховой компании.
101
Список литературы:
1. Комплексные системы защиты информации. [Электронный ресурс] –
Режим доступа: http://www.mirib.ru/index.php/services/kompleksnye-sistemy- zashchity-informatsii
2. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
СибАДИ3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (утв. Ф ТЭК РФ 14.02.2008)
102