Информационная безопасность рф пенсионное обеспечение

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Черсков Д. А., Зауголков И. А.

Работа посвящена разработке мер по защите информации ограниченного доступа в Пенсионном фонде РФ от угроз , направленных на нарушение конфиденциальности, целостности информации и отказ в обслуживании.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Черсков Д. А., Зауголков И. А.

Текст научной работы на тему «Обеспечение защиты информации ограниченного доступа в районном отделении пенсионного фонда»

налов, которые в любой момент времени хотят быть в курсе того, что происходит. Тем не менее, потребители получают потрясающую утилиту, которая позаботится обо всем, даже о создании разных версий измененных файлов.

Утилита Back2zip отличается невероятно быстрой установкой. Сразу же после установки Back2zip сама создает новое задание для резервного копирования, предположив, что самые важные файлы вы храните в папке «Мои документы». Кроме этого, программа создает папку MyBackup на диске, отличном от используемого, и тут же начинает копировать в нее содержимое директории «Мои документы».

Утилита Comodo BackUp столь функциональна, что может достойно конкурировать со многими коммерческими аналогами. Пользователь получает возможность создавать разные задания для резервного копирования, отдельно настраивать каждое из них, запускать в ручном или автоматическом режимах.

Резервная копия базы данных состоит из файла базы данных (файл с расширением BKP) и всех ^-файлов, требуемых для приведения BKP-файла к согласованному состоянию во время резервирования. Вне зависимости от типа выполняемого резервного копирования резервируемые данные должны быть неповрежденными [5].

В ходе выполнения данной работы было раскрыто содержание понятия «резервирования данных», были описаны основные методы резервирования, схемы ротации носителей резервных копий, а также были рассмотрены и описаны возможностей программно-

го обеспечения представленного сегодня на рынке программного обеспечения

1. Внедрение систем резервного копирования [Электронный ресурс]. URL: http://www.glo-balit.ru

2. Резервного копирования (часть 1) [Электронный ресурс]. URL: http://storusint.com

3. Функции Windows 7. Apхивация и восстановление [Электронный ресурс]. URL: http:// windows.microsoft.com

4. Справка по семейству продуктов Acronis [Электронный ресурс]. URL: http://www.acronis.ru

5. Стратегии резервного копирования и восстановления баз данных SQLBase [электронный ресурс]. URL: http://www.interface.ru

6. Зуев М.С., Баранов n.A. Шифрование данных. Aлгоpитм ГОСТ 28147-89: учеб. пособие [Электронный ресурс] // Федеральный депозитарий электронных изданий. Регистрационное свидетельство № 19565 от 14 июля 2010 г. № гос. регистрации 0321001202

7. Медведева О.Н., Зуев М.С. Электронное учебное пособие «Информатика для англоязычных студентов» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научнопрактической конференции Anfflffr. С. 67-69.

8. Зуев М.С., Пелихосов A.A. Электронное учебное пособие «Разработка защищенного web-приложения на основе технологии AJAX» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научно-практической конференции AnfflffT С. 37-38.

9. Хребтов Р.И., Зуев М.С. Разработка web-приложения, использующего защищенные базы данных // Гаудеамус. 2011. № 2(18). Материалы XV международной научно-практической конференции AnfflffT С. 148-149.

ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА В РАЙОННОМ ОТДЕЛЕНИИ ПЕНСИОННОГО ФОНДА

Д.А. Черсков, И.А. Зауголков

Работа посвящена разработке мер по защите информации ограниченного доступа в Пенсионном фонде РФ от угроз, направленных на нарушение конфиденциальности, целостности информации и отказ в обслуживании.

Ключевые слова: уязвимость, угроза, расчет рисков, объект защиты, ограниченный доступ.

Усиление зависимости общества от ин- мен информацией с использованием сетей

формационных технологий, интенсификация международного информационного обмена

информационных процессов, свободный об- создает дополнительные угрозы для нанесе-

Психолого-педагогический журнал Гаудеамус, №2 (20), 2012

ния вреда обществу. Одной из наиболее острых проблем указанного плана выступает проблема надежной защиты информационных систем и информации. Целью исследования является разработка мер защиты информации ограниченного доступа в Управлении Пенсионным фондом РФ в г. Моршан-ске и Моршанском районе в соответствии с законодательством.

Для реализации поставленной цели необходимо выполнить следующие задачи:

- провести исследования информационной системы;

- проанализировать информационные процессы, методы и средства защиты информации на предприятии;

- разработать модели объекта защиты, угроз безопасности информации;

- произвести анализ возможных каналов утечки информации;

- разработать предложения по созданию комплексной системы информационной безопасности, обеспечивающей устойчивое и безопасное функционирование в условиях реального множества воздействий;

- разработать пакет основных организационно-распорядительных документов, регламентирующих деятельность различных подразделений и категорий сотрудников по вопросам обеспечения информационной безопасности.

В ходе проведения работы было выполнено:

1. Проанализированы информационные системы предприятия.

2. Классифицирована информация на ресурсах по степени конфиденциальности.

3. Выявлено 5 категорий автоматизированных рабочих мест, проанализированы права доступа для работы с конфиденциальной информацией.

4. Рассмотрены действующие системы защиты ресурсов и информации на предприятии от возможных угроз.

5. Проведено моделирование возможных угроз и уязвимостей на информационные ресурсы.

6. Произведен расчет рисков по угрозе конфиденциальности, целостности, отказе в обслуживании ресурсов по отделам, при этом были определены критичности ресурсов, критичности угроз, вероятности уязвимостей.

Выявлены следующие угрозы и уязвимости:

1. Угроза конфиденциальности:

- Уязвимость 1 - отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию;

- Уязвимость 2 - существующая система видеонаблюдения охватывает не все важные объект;

- Уязвимость 3 - отсутствие контроля за персоналом, обслуживающим ресурсы с ценной информацией.

2. Угроза целостности:

- Уязвимость 1 - отсутствие авторизации для внесения изменений в систему электронной почты;

- Уязвимость 2 - отсутствие регламента работы с системой криптографической защиты электронной корреспонденции;

- Уязвимость 3 - не используется опломбирование системных блоков.

3. Угроза отказа в обслуживании:

- Уязвимость 1 - не производится техническое обслуживание носителей данных;

- Уязвимость 2 - несоблюдение условий эксплуатации оборудования;

- Уязвимость 3 - не производится своевременная замена оборудования.

4. Угроза ресурсов по отделам:

- Уязвимость 1 - отсутствие системы замещения кадров при нетрудоспособности сотрудника;

- Уязвимость 2 - отсутствуют необходимые проверки сотрудников при приеме на работу (на предмет психологических отклонений).

Для расчета рисков использовались следующие формулы:

СТк = 1 - П (1 - Тк,) -

уровень угрозы по

всем уязвимостям, через которые реализуется данная угроза;

СТЬЯ = 1 - П (1 - СТЬ) 1 - общий уровень

угроз на ресурс;

В результате всех расчетов была получена сумма, составляющая 970140 руб. Данные показатели являются средними, что говорит об эффективности средств защиты информации в организации.

Далее проведено моделирование объекта защиты, злоумышленника, путей его про-

никновения, проанализированы технические каналы утечки информации, возможные угрозы, уязвимости, через которые они могут быть реализованы, а также вред, который они могут нанести информации ограниченного доступа.

Проанализировав все полученные данные, можно сделать вывод, что информация ограниченного доступа в «Управления Пенсионным фондом РФ в г. Моршанске и Моршанском районе» имеет средний уровень исходной защищенности, следовательно, необходимо предусмотреть дополнительную защиту, направленную на обеспечении информации ограниченного доступа.

Предложенные организационные, инженерно-технические и программно-аппаратные меры и средства по защите информации ограниченного доступа в Управлении Пенсионным фондом РФ в г. Моршанске и Моршан-ском районе существенно снижают риски утечки конфиденциальной информации в результате реализации угроз. Были разработаны:

- инструкция о порядке действий в нештатных ситуациях,

- инструкция по организации антивирусной защиты,

- инструкция по организации парольной защиты,

- должностная инструкция администратора информационной безопасности.

Для блокирования технических каналов утечки предложено применять портативный широкополосный генератор радиошума «Норд», сетевой генератор шума Соната -РС1, средство защиты информации от несанкционированного доступа «Dallas Lock 7.7», антивирус Касперского 8.0 для Windows Servers Enterprise Edition и сейф Valberg бастион 50 EL.

Предложенные средства отвечают всем критериям качества, а также имеют необходимые сертификаты. Поэтому их использование в организации крайне необходимо для ее стабильного функционирования.

1. О персональных данных: федер. закон от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) [Электронный ресурс]. URL: http://www.consultant.ru

КОМПЛЕКСНОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В работе приведен анализ существующей информационной системы персональных данных на машиностроительном предприятии и разработан комплекс мер по ее совершенствованию.

Ключевые слова: конфиденциальная информация, несанкционированный доступ, средства защиты информации.

В наше время средства несанкционированного доступа к информации получили широкое распространение. И поэтому каждое предприятие, имеющее конфиденциальную информацию, должно предпринимать серьезные меры для сохранения конфиденциальности информации, так как попадание такой информации в руки злоумышленника может привести к негативным последствиям для предприятия. Своевременный анализ системы безопасности может существенно сократить риск воздействия на информацию со стороны злоумышленника и некомпетентных сотрудников, а также от факторов, по тем или иным причинам не зависящим от человека [1].

Конфиденциальная информация формируется организацией в процессе всего периода ее функционирования на рынке. Она касается деятельности организации, ее клиентов, деловых партнеров, конкурентов, контактных аудиторий. Порядок сбора, накопления и хранения информации о собственной деятельности определяется требованиями внутри организации и должен быть зафиксирован в соответствующих внутренних регламентах (инструкциях, положениях и т.п.).

Для обеспечения информационной безопасности в организации разрабатывается и реализуется система защиты информации (СЗИ). Создание СЗИ является одной из ос-

Защита информации в Пенсионном фонде Российской Федерации Управление по защите информации

Содержание презентации Нормативно-правовая база защиты информации в ПФР Задачи, направления и основные мероприятия защиты Архитектура корпоративной сети ПФР Схема защиты корпоративной сети ПФР Информационное взаимодействие ПФР Иерархия органов защиты информации ПФР Структура подразделений по защите информации ПФР

Федеральные законы Об информации, информационных технологиях и о защите информации (от 27 июля 2006 года № 149-ФЗ) О персональных данных (от 27 июля 2006 года № 152-ФЗ) Об электронной цифровой подписи (от 10 января 2002 года № 1-ФЗ) Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования (от 1 апреля 1996 года № 27-ФЗ) О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений (от 30 апреля 2008 года № 56-ФЗ) О страховых взносах в Пенсионной фонд Российской Федерации, ФCC Российской Федерации, Федеральный ФОМС и территориальные ФОМС (от 24.07.2009 №212-ФЗ)

Нормативные акты органов исполнительной власти Положение об обеспечении безопасности персональных данных при их обработке в ИСПД (постановление Правительства Российской Федерации от 17 ноября 2007 года № 781) Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (постановление Правительства Российской Федерации от 29 декабря 2007 года № 957) Порядок проведения классификации ИСПД (приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 года № 55/86/20) Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (приказ Гостехкомиссии России от 30 августа 2002 года № 282) Положение о разработке, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005) (приказ Директора ФСБ от 9 февраля 2005 года № 66) Положение о методах и способах защиты информации в информационных системах персональных данных (приказ ФСТЭК России от 05 февраля 2010 г. № 58) Методические рекомендации ФСБ России по защите ИСПД (№ 149/54-144 от 2008 года)

Нормативные акты ПФР Концепция безопасности информации автоматизированной информационной системы ПФР Инструкция по организации защиты информации автоматизированной информационной системы ПФР Инструкция по организации криптографической защиты информации в Пенсионном фонде Российской Федерации Модель угроз безопасности персональных данных при их обработке в информационной системе ПФР Акт классификации информационной системы персональных данных ПФР Положение о порядке работы с документированной информацией конфиденциального характера в системе ПФР Перечень сведений ограниченного доступа, не составляющих государственной тайны Порядок формирования списков лиц, допущенных к сведениям о плательщиках страховых взносов и к персональным данным

Задачи защиты информации Сохранение конфиденциальности данных Сохранение целостности данных Обеспечение аутентичности (легитимности) данных Обеспечение доступности данных

Направления защиты информации Санкционирование доступа к ресурсам (конфиденциальность, целостность, доступность, аутентичность) Криптографическая защита (конфиденциальность, аутентичность) Защита от вредоносных программ (конфиденциальность, целостность, доступность) Резервное копирование информационных ресурсов (целостность, доступность) Мониторинг состояния ресурсов (анализ эффективности защиты и разработка направлений её совершенствования)

Санкционирование доступа к ресурсам Допуск к работе с ресурсами (перечень ресурсов; таблица допуска к ресурсам; списки лиц, допущенных к ПДн и сведениям о ПСВ) Санкция на вход в систему (пароль, загрузка только с НМЖД, минимизация прав пользователя, опечатывание системного блока, доверенная загрузка) Санкция на доступ к сетевым ресурсам (пароль, сертификат) Безопасное хранение аутентифицирующих данных (электронные ключи) Блокирование портов ввода-вывода (программное или механическое)

Архитектура Системы персонифицированного учёта (СПУ)

Криптографическая защита Шифрование информации, передаваемой по информационно-телекоммуникационным сетям (ViPNet; Верба): абонентское шифрование; канальное шифрование; центр управления ViPNet-сетью. Шифрование хранимой информации (Safe Disk, Secret Disk); Применение электронной цифровой подписи (применение Домен-К, Верба-OW; понимание Крипто-Про, ): Удостоверяющий центр ПФР (ViPNet, Верба); регистрационные центры в отделениях ПФР; доверенные Удостоверяющие центры (ИнфоТеКС Интернет Траст, МО ПНИЭИ, ТУСУР);

Общая схема защиты корпоративной ИТС ПФР

Защита от вредоносных программ

Резервное копирование информационных ресурсов Копирование на съёмные носители (различная периодичность, учёт процедур копирования, комплект носителей; раздельное хранение копий, назначение ответственных, их дублёров); Дублирование ресурсов на уровне вычислительных средств (рассредоточение мест положения средств); Дублирование на уровне функциональных систем (СПУ на базе серверов iSeries дублируется на уровне отделений системой на базе Intel-серверов); Процедура восстановления ресурса из резервной копии (коллегиальность, документальное оформление)

Мониторинг состояния информационных ресурсов Система персонифицированного учёта – комплекс «Астра» Резервная система персонифицированного учёта – комплекс «КонДоР СПУ» Антивирусная защита – центр управления средствами «Лаборатории Касперского» и центр управления средствами «Доктор Веб» Система обнаружения компьютерных атак – специальная система в составе центра анализа и сенсоров в отделениях

Основные мероприятия защиты Организационные Разработка системы нормативных документов Определение перечня защищаемых ресурсов Ограничение доступа к ресурсам Персональная ответственность сотрудников за безопасность обрабатываемых данных Профессиональная подготовка специалистов по защите Создание контролируемой зоны и организация пропускного режима Определение порядка информа-ционного взаимодействия Технические Разграничение прав доступа к ресурсам Оборудование зданий и помещений системами безопасности Применение корпоративной информационно-телекоммуникационной сети Защита от вредоносных программ Шифрование (криптозащита) данных Применение ЭЦП Автоматизированный мониторинг состояния ресурсов

Информационное взаимодействие ПФР Органы ЗАГС Трансферагенты Трансферагенты Трансферагенты Администрация Президента Федеральная налоговая служба Фонд социального страхования Кредитные учреждения Негосударственные пенсионные фонды Уполномоченные органы субъектов РФ Органы ЗАГС Управляющие компании Трансферагенты

Организационная иерархия защиты информации в ПФР Председатель Правления ПФР Заместитель Председателя Правления ПФР Управление по защите информации Отделение ПФР Управление (отдел) ПФР Управляющий отделением Отдел (группа) по защите информации Начальник Управления (отдела) Администратор защиты информации

Концепция безопасности информации АИС ПФР Утверждена постановлением Правления ПФР от 26 июля 2008 года № 1п ДСП Концепция определяет: цель и стратегию достижения требуемого уровня безопасности информации АИС ПФР; основные направления достижения безопасности информации; принципы реализации и функционирования системы защиты информации; объекты защиты; меры по обеспечению безопасности информации.

Инструкция по организации защиты информации АИС ПФР Утверждена постановлением Правления ПФР от 26 июля 2008 года № 1п ДСП) Инструкция определяет: цели и задачи, объекты, мероприятия и методы защиты информации; порядок руководства защитой и органы защиты информации; задачи подразделений ИД ПФР и отделений ПФР, обязанности должностных лиц по организации защиты информации; основные обязанности пользователя; классификацию ресурсов и особенности их защиты; задачи и мероприятия и средства защиты от НСД; организацию защиты от вредоносных программ; порядок авторизации пользователей; порядок применения машинных носителей информации; порядок копирования информационных ресурсов; требования к прикладным программным продуктам; формы документов.

Инструкция по организации криптозащиты в ПФР Утверждена постановлением Правления ПФР от 16 октября 2008 года № 2п ДСП Определяет: организацию и обеспечение безопасности обработки информации с использованием криптосредств; порядок обращения с криптосредствами и криптоключами к ним; мероприятия при компрометации криптоключей; порядок обеспечения безопасности информации с использованием криптосредств при взаимодействии со сторонними организациями и передаче по каналам связи; размещение, оборудование, охрана и организация режима специальных помещений; формы документов.

Модель угроз безопасности ПДн при их обработке в АИС ПФР Утверждена Председателем Правления ПФР Согласована с ФСТЭК России Определяет для персональных данных: перечень угроз безопасности; возможные последствия нарушения безопасности; объекты угроз (основные ресурсы, содержащие ПДн, перечень информации способствующей доступу к ПДн); основные формы реализации угроз каждой из характеристик безопасности ПДн в АИС ПФР; модель нарушителя безопасности; перечень актуальных угроз безопасности.

Пенсионный фонд в системе внебюджетных фондов РФ занимает особое положение. Фактически он является самостоятельным финансово-кредитным учреждением, однако свои средства может использовать только в строго оговоренных направлениях, посредством процедур, регламентированных государством. Государство определяет размеры пенсий, технологии ее начисления и выплат.

Другими словами пенсионный фонд аккумулирует денежные средства, размещает их определенным образом и осуществляет выплату, гарантированную государством.

Пенсионный фонд как элемент бюджетной системы выполняет распределительную функцию и соответственно имеет все 3 уровня распределений: федеральный, региональный, местный.

Все отчисления фонда, принадлежащие первому уровню, решают один и тот же типовой набор задач. Взаимодействие и обмен данными между подразделениями пенсионного фонда осуществляется с помощью корпоративной вычислительной сети или при ее отсутствии с помощью сети Internet.

Основной задачей пенсионного фонда явялется управление бюджетом пенсионного фонда, что означает управление доходами и управление расходами.

Доходы бюджета складываются из поступления сумм единого социального налога, взносов на обязательные пенсионные страхования, средств размещения временно свободных средств, а также сумм страховых взносов в накопительную часть трудовой пенсии, сумм санкций, а также добровольных взносов юридических и физических лиц. Контроль за поступлением денежных средств ведут налоговые органы соответствующего уровня. Взыскание недоимок и пеней по страховым взносам органы пенсионного фонда осуществляют самостоятельно в судебном порядке.

Полный учет пенсионных доходов и расходов пенсионного фонда в целом возможен только при наличии единой автоматизированной информационной системы. На данный момент идет активная разработка ее функциональных элементов.

Разработаны системы для пенсионных органов местного самоуправления, которые решают следующие задачи:

Сбор анкетных данных, т.е. регистр застрахованных лиц, выдача страховых свидетельств и их дубликатов.

Ввод и обработка сведений о стаже и доходах застрахованного лица.

Получение выписок из лицевого счета зарегистрированного лица.

Обмен данными с базой данных регионального уровня.

Ведение классификаторов, подразделений и сотрудников пенсионного фонда, а также реестров застрахованных в пенсионном фонде данного региона работодателем и формирование статистических отчетов.

Согласно федеральному закону "Об обязательном пенсионном страховании" от 15 декабря 2001 года №167ФЗ все страхователи должны быть зарегистрированы в базе данных территориальных органов пенсионного фонда, а все работодатели в свою очередь должны регулярно подавать сведения о своих работниках.

Если сведения о работнике поданы в первый раз, то ему присваивают индивидуальный номер зарегистрированного и выдается свидетельство. Сведения о зарегистрированном работнике заносятся в центр пенсионного фонда, где хранятся данные обо всех зарегистрированных.

Далее работодатель сообщает регулярно в территориальное отделение пенсионного фонда сведения о стаже и о заработке зарегистрированных лиц, самостоятельно выполняет страховые взносы за каждого работника и передает эти сведения в пенсионный фонд. Эти сведения заносятся в автоматизированную информационную систему пенсионного фонда и потом поступают в общую информационную систему пенсионного фонда РФ.

При необходимости программа позволяет осуществлять контроль за правильностью уплаты страховых взносов каждым работодателем.

Также автоматизированная информационная система пенсионного фонда позволяет проводить статистический анализ работы пенсионного фонда и формировать необходимые отчеты в автоматическом режиме.

К расходам пенсионного фонда РФ принято относить выплату пенсий и пособий, назначенных согласно законодательству РФ - это государственная пенсия, ежемесячные доплаты к государственной пенсии для отдельных категорий граждан, а также финансирование региональных программ социальной защиты, таких как: доплаты проживающим в неблагоприятных условиях и т.д.

Учет расходов пенсионного фонда осуществляется с помощью автоматизированной системы "Назначения и выплаты пенсий и пособий". Она разработана в соответствии с названным законом "О государственных пенсиях в РФ" и нормативными актами.

Программа написана в среде Clipper и предназначена для секторов районного и государственного уровня в децентрализованном режиме.

Программа выполняет следующие функции:

  • Ведение карточек пенсионных дел:
    • назначение пенсий и пособий;
    • коррекция и перерасчет пенсий;
    • расчет стажа, среднего заработка;
    • расчет повышений и надбавок;
    • выдача протоколов;
    • выдача справок о стаже, заработке, иждивении, отказе от пенсии.

    Ведение картотеки получателей алиментов и пособий;

    Выдача необходимых документов для выплаты пенсии: ведомости, разовые поручения в отделения связи, списки получателей пенсии, филиалы сбербанка и распоряжения на разовые почтовые переводы;

    Формирование платежных поручений для расчетов со сбербанком и отделениями связи;

    Массовый перерасчет копий при ее индексации, ведение районных коэффициентов и т.д.;

    Выдача первичной информации по назначению и выплате пенсии;

    Формирование форм государственной статистической отчетности;

    Прочие вспомогательные функции.

    Программное обеспечение предназначено для работы в среде Windows на компьютерах Macintosh и обеспечивает одновременное выполнение нескольких приложений.

    Т.к. база данных пенсионного фонда РФ содержит сведения о страхователях, застрахованных лицах и выплатах, то в пенсионном фонде большое внимание уделяется информационной безопасности.

    Эта информация может выдаваться только по запросу застрахованного лица или пенсионера или по мотивированным запросам организации, согласно действующему в РФ законодательству о передаче конфиденциальной информации. Для обеспечения защиты информации от несанкционированного доступа, хакерских атак из интернета и незаконного проникновения, осуществлен комплекс мероприятий по защите информации, т.е. автоматизированный доступ к данным, аппаратные средства защиты информации, криптографическая защита, программное разбиение сетевого трафика, межсетевые экраны.


    Рубрика: Технические науки

    Дата публикации: 05.02.2016 2016-02-05

    Статья просмотрена: 1766 раз

    Библиографическое описание:

    Ермакова, Е. В. Методика проведения аудита информационной безопасности информационных систем персональных данных в негосударственных пенсионных фондах / Е. В. Ермакова. — Текст : непосредственный // Молодой ученый. — 2016. — № 3 (107). — С. 92-95. — URL: https://moluch.ru/archive/107/25855/ (дата обращения: 07.12.2020).

    Объектом исследования является информационная система персональных данных негосударственного пенсионного фонда. Предметом исследования является система защиты информационной безопасности информационной системы персональных данных негосударственного пенсионного фонда. Цель работы — разработка типовой методики аудита информационной безопасности информационной системы персональных данных негосударственного пенсионного фонда. Исследование проводилось на основе анализа и изучения нормативных правовых актов и нормативно-методических документов по защите информационной системы персональных данных.

    Ключевые слова: информационная безопасность, аудит, персональные данные, защита персональных данных, информационная система персональных данных.

    Аудит информационной безопасности (ИБ) является одним из важнейших организационных мероприятий в области защиты информации (информационной безопасности) и представляет собой наиболее актуальное и динамично развивающееся направление в области защиты информационных систем (ИС) [1].

    Обработка персональных данных (ПДн) включает в себя все действия и операции с персональными данными, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение [2].

    Информационная система персональных данных (ИСПДн) — это совокупность ПДн, содержащихся в базах данных, а также информационных технологий, обеспечивающих их обработку, и технических средств [1].

    Аудит ИБ ИСПДн — независимое исследование состояния ИСПДн, определения её адекватности существующим рискам, связанным с осуществлением угроз безопасности, соответствия ее требованиям нормативных документов по защите информации, а также выявления существующих уязвимостей в области информационной безопасности и выработки рекомендаций по их устранению.

    Данная тема является актуальной в связи с ростом рисков при обработке ПДн, поступающих в негосударственные пенсионные фонды (НПФ) через информационно-телекоммуникационные системы и средства, в результате чего увеличивается вероятность неправомерного доступа к ним, а также с увеличением нормативных правовых актов в области обработки и защиты ПДн, устанавливающих обязательные требования.

    Новизна работы заключается в разработке методики аудита ИБ ИСПДн на соответствие требованиям нормативным правовым актам и нормативно методической документации, инициированных Постановлением Правительства, ФСБ и ФСТЭК России.

    Работы по проведению аудита ИБ ИСПДн проводятся в порядке и объеме, приведенном на рисунке 1.


    Рис. 1. Схема методики аудита ИБ ИСПДн

    Органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении операторов, осуществляющих обработку персональных данных:

    1) Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — уполномоченный орган по защите прав субъектов персональных данных.

    2) Федеральная служба безопасности Российской Федерации (ФСБ России) — федеральный орган, уполномоченный в области обеспечения безопасности.

    3) Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный орган, уполномоченный в области противодействия техническим разведкам и технической защиты информации.

    Требования по защите ПДн, предъявляемые к ИСПДн указаны в:

    – Постановление Правительства Российской Федерации от 01 ноября 2012 г.

    – № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

    – Постановление Правительства Российской Федерации от 15 сентября 2008 г.

    – № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

    – Приказ ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

    – Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»;

    – Сборник руководящих документов по защите информации от несанкционированного доступа, Гостехкомиссия России, 1992 г.

    Целью проведения аудита ИСПДн является оценка соответствия ИСПДн требованиям перечисленных документов.

    Стоит уточнить, что по Постановлению Правительства Российской Федерации от 01 ноября 2012 г. № 1119 негосударственный пенсионный фонд (НПФ) может иметь не выше третьего уровня защищенности [3]. На что стоит опираться при проверке выполнения требований безопасности информации ИСПДн.

    Далее перечислим виды и методы проверок испытаний ИБ ИСПДн.

    Виды испытаний, входящих в состав работ по аудиту ИБ ИСПДн с указанием методов проверок и испытаний для данного вида испытаний ИБ ИСПДн:

    а) Анализ и оценка исходных данных и документации по защите ПДн в ИСПДн пенсионного фонда. Проводятся экспертно-документальным методом.

    б) Проверка соответствия представленных Заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации автоматизированной информационной системы (АИС). Проводятся экспертно-документальным методом.

    в) Изучение технологического процесса обработки и хранения ПДн, анализ информационных потоков. Проводятся экспертно-документальным методом.

    г) Проверка состояния организации работ и выполнения организационно-технических требований по защите ПДн, оценка правильности определения уровня и класса защищенности ИСПДн, а также оценка правильности классификации АИС, категорирования объектов вычислительной техники в составе АИС, оценка полноты и уровня разработки организационно распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению защиты ПДн. Проводятся экспертно-документальным методом.

    д) Испытания отдельных технических и программных средств АИС, средств систем защиты ПДн, инженерного оборудования объекта на соответствие требованиям безопасности информации по утвержденным или согласованным методикам испытаний. Проводятся инструментальным методом.

    е) Комплексные испытаний АИС на соответствие требованиям безопасности информации. Проводятся экспертным, экспертно-документальным, инструментальным методами.

    ж) Подготовка отчетной документации с выводами аудиторской группы о соответствии ИСПДн требованиям по безопасности информации. Проводятся экспертно-документальным методом.

    В качестве тестирующих (инструментальных) средств для проведения испытаний могут быть выбраны технические и программные средства, принятые в установленном порядке для такого рода деятельности. Перечень рекомендуемых тестирующих средств приведен в таблице 1.

    Перечень рекомендуемых тестирующих средств

    № п/п

    Наименование

    Тип, изготовитель, страна

    Средство сбора информации о программном и аппаратном обеспечении

    Агент инвентаризации, Россия

    Программа обеспечение для создания модели разграничения доступа

    Ревизор-1 ХР, Россия

    Программа контроля полномочий доступа к информационным ресурсам

    Ревизор-2 ХР, Россия

    Программа поиска и гарантированного уничтожения информации на дисках

    «TERRIER» (версия 3.0), Россия

    Программа фиксации и контроля исходного состояния программного комплекса

    «ФИКС» (версия 2.0.2)

    Программный комплекс. Средство анализа защищенности

    СЗИ от НСД (средство контроля — получение сведений о АРМ, управление доступом, сведения о случаях НСД)

    SecretNet 6, Россия

    DallasLock 8.0-K, Россия

    Гипервизор (в качестве средства контроля за сетями)

    VMware vSphere 4

    Аудит ИБ ИСПДн по разработанной методике рекомендуется проводить не реже одного раза в год, а также перед проверками на защищенность ПДн в организации органами государственного контроля и надзора.

    После завершения аудита аудиторской организацией составляется перечень недостатков ИСПДн и рекомендаций по их устранению. Данные рекомендации должны быть выполнены в установленный срок по соглашению Заказчика и руководителя аудиторской группы, после чего рекомендуется повторное проведение аудита по данной методике.

    Аудиторский отчет является основным результатом проведения аудита. Его содержательный минимум: описание целей проведения аудита ИСПДн, характеристика исследуемой ИСПДн, указание границ работ по аудиту, методы и инструментальные средства проведения аудита ИСПДн, результаты анализа полученных данных по ИСПДн, выводы, определяющие соответствие требованиям ИСПДн стандартам, и рекомендации аудиторской группы по устранению обнаруженных в ходе проведения аудита недостатков, а также рекомендации по совершенствованию системы защиты [4].

    Предложенная в работе методика аудита ИБ систем, участвующих в обработке ПДн, позволяет снизить потенциальные риски и защитить ПДн граждан, обрабатываемых в негосударственных пенсионных фондах.

    1. Новиков В. К. Организационное и правовое обеспечение информационной безопасности. Часть 2: Организационное обеспечение информационной безопасности: учеб. пособие. — М.: МИЭТ, 2013. — 172 с.
    2. Российская Федерация. Законы. О персональных данных. — Российская газета, 2006. № 165–22 с.
    3. Российская Федерация. Постановление Правительства Российской Федерации. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. — Российская газета, 2012. № 256–5 с.
    4. Аверченков В. И. Аудит информационной безопасности. 2-е издание: учеб. пособие для вузов — М.: ФЛИНТА, 2011. — 269 с.

    1.1.1. Национальные интересы РФ в информационной сфере и их обеспечение
    Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности РФ. Национальная безопасность РФ существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.

    Под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
    Выделяются 4 основные составляющие национальных интересов РФ в информационной сфере.
    1. Включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
    2. Включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.

    3. включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники.

    4. включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

    1.1.2 Виды угроз информационной безопасности РФ

    По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

    · угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

    · угрозы информационному обеспечению государственной политики Российской Федерации;

    · угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

    · угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

    1.1.3 Источники угроз информационной безопасности РФ

    К внешним источникам относятся:

    · деятельность иностранных структур, направленная против интересов РФ в информационной сфере;

    · стремление ряда стран к ущемлению интересов РФ в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков;

    · обострение международной конкуренции за обладание информационными технологиями и ресурсами;

    · деятельность международных террористических организаций;

    · увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

    · разработка рядом государств концепций информационных войн

    К внутренним источникам относятся:

    · критическое состояние отеч. отраслей промышленности;

    · неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере

    · недостаточная координация деятельности федеральных органов гос.власти по формированию и реализации единой государственной политики в области обеспечения информационной безопасности Российской Федерации;

    · недостаточная разработанность нормативной правовой базы;

    · неразвитость институтов гражданского общества и недостаточный государственный контроль за развитием информационного рынка России;

    · недостаточное финансирование мероприятий по обеспечению информационной безопасности Российской Федерации;

    · недостаточная экономическая мощь государства;

    · снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

    · недостаточная активность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации в информировании общества о своей деятельности, в разъяснении принимаемых решений, в формировании открытых государственных ресурсов и развитии системы доступа к ним граждан;

    · отставание РФ от ведущих стран мира по уровню информатизации федеральных органов государственной власти, кредитно-финансовой сферы, промышленности, с\х, образования, здравоохранения, сферы услуг и быта граждан.

    · 1.1.4. Состояние информационной безопасности РФ и основные задачи по ее обеспечению.

    Реализован комплекс мер по совершенствованию обеспечения информационной безопасности РФ:

    · Начато формирование базы правового обеспечения информационной безопасности.

    · Осуществлены мероприятия по обеспечению информационной безопасности в органах государственной власти, на предприятиях.

    · Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения.

    Противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере приводят к серьезным негативным последствиям.

    · Несовершенное нормативное правовое регулирование отношений в области массовой информации затрудняет формирование конкурентоспособных российских информационных агентств и СМИ.

    · Закрепленные в Конституции права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения.

    · Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

    · Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

    · Отставание отечественных информационных технологий вынуждает при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.

    Сложившееся положение дел в области обеспечения информационной безопасности РФ требует безотлагательного решения таких задач, как:

    · разработка основных направлений государственной политики в области обеспечения информационной безопасности РФ;

    · развитие и совершенствование системы обеспечения информационной безопасности РФ.

    · разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности РФ;

    · совершенствование нормативной правовой базы обеспечения информационной безопасности РФ;

    · обеспечение технологической независимости РФ в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность;

    · разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий;

    · создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;

    · обеспечение условий для активного развития российской информационной инфраструктуры, участия РФ в процессах создания и использования глобальных информационных сетей и систем;

    · создание единой системы подготовки кадров в области информационной безопасности и информационных технологий.

    Читайте также: