ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 208
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. ОСНОВЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1 Законодательные основы защиты персональных данных
Классификация угроз информационной безопасности персональных данных.
Общая характеристика источников угроз в информационных системах персональных данных
Характеристика Банка и его деятельности
1.6 Устройство и угрозы локальной вычислительной сети Банка
1.7 Средства защиты информации
1.8 Организационные меры защиты
1.9 Цикл обработки персональных данных
2. РАЗРАБОТКА МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ
2.2 Программные и аппаратные средства защиты
2.3 Базовая политика безопасности
3. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОЕКТА
Систему предотвращения вторжений было решено установить на границе сети за межсетевым экраном, заменяя при этом proxy-сервер системой предотвращения вторжений, так как она может работать одновременно и как proxy-сервер.
Схема сети ПАО «Витабанк» с изменённой архитектурой представлена на рисунке 6.
2.2 Программные и аппаратные средства защиты
Так как безопасность персональных данных не может быть обеспечена только защитой сети, потому что злоумышленники, не смотря на все предпринятые меры для защиты сети, могут получить доступ в сеть Банка.
Все служебные помещения Банка контролируются службой охраны с помощью системы управления и контроля доступом, а так же системы видеонаблюдения. Вход в служебные помещения банка осуществляется при наличии соответствующих разрешений в системе контроля и управления доступом. Сотруднику, при устройстве на работу, или посетителю Банка, при необходимости доступа в служебные помещения Банка, выдаются бесконтактные карты, на которых записывается идентификатор пользователя и при попытке доступа в служебное помещение этот идентификатор передаётся на систему контроля и управления доступом. Система сопоставляет список в которые разрешен вход пользователю карты с в которое он хочет попасть и разрешает или ограничивает проход в помещение. На рабочих станциях Банка установлено антивирусное программное обеспечение 10, имеющее сертификат соответствия ФСТЭК России № 3025, действительный до 25 ноября 2019 года, обновление баз сигнатур вирусов производится централизованно серверной частью антивируса, установленной на сервере, находящимся в Банке. Для организации электронного документооборота с Центральным Банком органами в Банке проведена выделенная линия связи. Для организации электронного документооборота с федеральными службами (Федеральная налоговая служба, Пенсионный фонд России, Служба финансового мониторинга и т.д.) используется электронная подпись. Для работы с электронной подписью на локальных рабочих станциях исполнителей, ответственных за документооборот с федеральными службами, установлено специализированное программное обеспечение: Крипто-Про CSP; Крипто-АРМ; СКЗИ Верба; -COM CSP. Использование определённого программного обеспечения исполнителем зависит от требований определённого Федерального органа. На границе локальной сети Банка установлен межсетевой экран ASA 5512, производства корпорации. Так же критичные банковские системы (АРМ Клиента Банка России, SWIFT, Банка) дополнительно отделены от локальной сети Банка межсетевыми экранами. VPN-туннели для связи с дополнительным офисом организованы с помощью межсетевых экранов. 1.8 Организационные меры защиты Согласно исследованию, проведённому британской аудиторско-консалтинговой компанией & в 2014 году, 69 процентов компаний, участвовавших в исследовании, считают сотрудников компании основным информационной безопасности. Сотрудники компании могут по незнанию или своей некомпетентности в сфере информационной безопасности разгласить критическую информацию, необходимую для совершения целенаправленных атак на организацию. Так же злоумышленники рассылают сообщения с вложенным вредоносным программным обеспечением, позволяющим злоумышленникам получить контроль над рабочим местом сотрудника и с этого рабочего места провести атаку на информационные системы Банка. Поэтому в Банке отдел информационной безопасности обязан проводить работу по обучению сотрудников Банка основополагающим принципам информационной безопасности, осуществлять контроль за соблюдением требований безопасности при работе на рабочих местах, информировать сотрудников Банка о информационной безопасности с которыми они могут столкнуться. В ПАО «» все сотрудники проходят вводный инструктаж при устройстве на работу. Сотрудники отдела информационной безопасности Банка участвуют при разработке и внедрении новых информационных систем Банка на всех уровнях разработки систем. На этапе проектирования системы и составления технического задания на разработки информационной системы отдел информационной безопасности предъявляет требования по безопасности к системе. На этапе разработки информационной системы сотрудники отдела информационной безопасности изучают текущую документацию, тестируют программное обеспечение на возможные уязвимости в программном коде. На этапе тестирования и ввода в эксплуатацию информационной системы отдел информационной безопасности активно участвует в тестировании информационной системы, проводит тесты на проникновение в информационную систему и тесты отказа в обслуживании, так же распределяет права доступа к информационной системе. На этапе функционирования уже введённой в эксплуатацию информационной системы отдел информационной безопасности проводит мониторинг, выявляет подозрительную активность. На этапе доработки информационной системы отдел информационной безопасности, основываясь на данных, полученных при эксплуатации информационной системы, выстраивает новые требования к информационной системе. Отдел информационной безопасности в ПАО «» согласовывает все заявки на доступ к ресурсам в сети Интернет, а также ко внутренним ресурсам Банка. 1.9 Цикл обработки персональных данных Персональные данные, хранящиеся в Банке получены только законным путём. Полученные персональные данные сотрудника Банка обрабатываются только для выполнения Банком своих обязанностей по заключенному с сотрудником договору. Персональные данные сотрудника Банка получены от самого работника. Все сотрудники Банка ознакомлены под роспись с документами Банка, устанавливающими порядок обработки сотрудников Банка, а также об их правах и обязанностях в этой области. Персональные данные сотрудников банка, хранящиеся в системы контроля и управления доступом, предназначены для допуска сотрудника на рабочее место. Так же в автоматизированной банковской системы обрабатываются персональные данные лиц, не заключавших договор с Банком, но полученные законным путём, например персональные полученные и обрабатываемые по требованию Федерального закона №115-ФЗ
Все служебные помещения Банка контролируются службой охраны с помощью системы управления и контроля доступом, а так же системы видеонаблюдения. Вход в служебные помещения банка осуществляется при наличии соответствующих разрешений в системе контроля и управления доступом. Сотруднику, при устройстве на работу, или посетителю Банка, при необходимости доступа в служебные помещения Банка, выдаются бесконтактные карты, на которых записывается идентификатор пользователя и при попытке доступа в служебное помещение этот идентификатор передаётся на систему контроля и управления доступом. Система сопоставляет список в которые разрешен вход пользователю карты с в которое он хочет попасть и разрешает или ограничивает проход в помещение. На рабочих станциях Банка установлено антивирусное программное обеспечение 10, имеющее сертификат соответствия ФСТЭК России № 3025, действительный до 25 ноября 2019 года, обновление баз сигнатур вирусов производится централизованно серверной частью антивируса, установленной на сервере, находящимся в Банке. Для организации электронного документооборота с Центральным Банком органами в Банке проведена выделенная линия связи. Для организации электронного документооборота с федеральными службами (Федеральная налоговая служба, Пенсионный фонд России, Служба финансового мониторинга и т.д.) используется электронная подпись. Для работы с электронной подписью на локальных рабочих станциях исполнителей, ответственных за документооборот с федеральными службами, установлено специализированное программное обеспечение: Крипто-Про CSP; Крипто-АРМ; СКЗИ Верба; -COM CSP. Использование определённого программного обеспечения исполнителем зависит от требований определённого Федерального органа. На границе локальной сети Банка установлен межсетевой экран ASA 5512, производства корпорации. Так же критичные банковские системы (АРМ Клиента Банка России, SWIFT, Банка) дополнительно отделены от локальной сети Банка межсетевыми экранами. VPN-туннели для связи с дополнительным офисом организованы с помощью межсетевых экранов. 1.8 Организационные меры защиты Согласно исследованию, проведённому британской аудиторско-консалтинговой компанией & в 2014 году, 69 процентов компаний, участвовавших в исследовании, считают сотрудников компании основным информационной безопасности. Сотрудники компании могут по незнанию или своей некомпетентности в сфере информационной безопасности разгласить критическую информацию, необходимую для совершения целенаправленных атак на организацию. Так же злоумышленники рассылают сообщения с вложенным вредоносным программным обеспечением, позволяющим злоумышленникам получить контроль над рабочим местом сотрудника и с этого рабочего места провести атаку на информационные системы Банка. Поэтому в Банке отдел информационной безопасности обязан проводить работу по обучению сотрудников Банка основополагающим принципам информационной безопасности, осуществлять контроль за соблюдением требований безопасности при работе на рабочих местах, информировать сотрудников Банка о информационной безопасности с которыми они могут столкнуться. В ПАО «» все сотрудники проходят вводный инструктаж при устройстве на работу. Сотрудники отдела информационной безопасности Банка участвуют при разработке и внедрении новых информационных систем Банка на всех уровнях разработки систем. На этапе проектирования системы и составления технического задания на разработки информационной системы отдел информационной безопасности предъявляет требования по безопасности к системе. На этапе разработки информационной системы сотрудники отдела информационной безопасности изучают текущую документацию, тестируют программное обеспечение на возможные уязвимости в программном коде. На этапе тестирования и ввода в эксплуатацию информационной системы отдел информационной безопасности активно участвует в тестировании информационной системы, проводит тесты на проникновение в информационную систему и тесты отказа в обслуживании, так же распределяет права доступа к информационной системе. На этапе функционирования уже введённой в эксплуатацию информационной системы отдел информационной безопасности проводит мониторинг, выявляет подозрительную активность. На этапе доработки информационной системы отдел информационной безопасности, основываясь на данных, полученных при эксплуатации информационной системы, выстраивает новые требования к информационной системе. Отдел информационной безопасности в ПАО «» согласовывает все заявки на доступ к ресурсам в сети Интернет, а также ко внутренним ресурсам Банка. 1.9 Цикл обработки персональных данных Персональные данные, хранящиеся в Банке получены только законным путём. Полученные персональные данные сотрудника Банка обрабатываются только для выполнения Банком своих обязанностей по заключенному с сотрудником договору. Персональные данные сотрудника Банка получены от самого работника. Все сотрудники Банка ознакомлены под роспись с документами Банка, устанавливающими порядок обработки сотрудников Банка, а также об их правах и обязанностях в этой области. Персональные данные сотрудников банка, хранящиеся в системы контроля и управления доступом, предназначены для допуска сотрудника на рабочее место. Так же в автоматизированной банковской системы обрабатываются персональные данные лиц, не заключавших договор с Банком, но полученные законным путём, например персональные полученные и обрабатываемые по требованию Федерального закона №115-ФЗ
Рисунок 6 Схема сети ПАО «Витабанк» с дополнительными системами защиты
Для более устойчивой к атакам защите необходимо добавить к устройствам, предназначенным для защиты сети, программные и аппаратные устройства защиты локальных рабочих станций, виртуальных рабочих станций, виртуальных и обычных серверов.
Как известно антивирусные программы не дают полной защиты от вредоносного программного обеспечения, так как работают по принципу сигнатурного анализа. Компания-разработчик антивирусного программного обеспечения имеет в своём штате экспертов, которые отслеживают вирусную активность в сети Интернет, изучают поведение вирусного программного обеспечения на тестовых станциях и создают сигнатуры, которые в последствии рассылаются на компьютеры пользователей посредством обновления баз данных сигнатур антивирусного программного обеспечения. Антивирус, получив обновлённую базу данных сигнатур антивирусного программного обеспечения проверяет файлы на рабочей станции пользователя и ищет признаки вредоносного программного обеспечения, если в процессе проверки такие признаки обнаруживаются, то антивирус сигнализирует об этом и действует в соответствии с настройками, которые установлены пользователем или администратором антивируса. Таким образом, если вредоносное программное обеспечение не обнаружено и не проанализировано экспертами компании-разработчика антивирусного программного обеспечения, то антивирус будет не в состоянии выявить вредоносное программное обеспечение и не предпримет никаких действий, считая проверенный файл безопасным. Поэтому в Банке, для снижения вероятности пропуска в сеть и запуска вредоносного программного обеспечения, был установлен второй контур антивирусной защиты. Так как компании-разработчики антивирусного программного обеспечения в большинстве своём работают отдельно друг от друга, то вредоносное программное обеспечение, пока не обнаруженное одной компанией-разработчиком антивирусного обеспечения, может быть обнаружено другой компанией-разработчиком и на обнаруженную угрозу уже могут быть созданы сигнатуры.
Для реализации такой схемы была создана виртуальная рабочая станция, на которой был установлен антивирус Doctor WEB Enterprise security suit, имеющий сертификат соответствия ФСТЭК России № 2446, действительный до 20 сентября 2017 года. Все файлы, которые сотрудники банка загружали во время своей работы, попадают на эту станцию и проверяются антивирусом. В случае обнаружения вредоносного программного обеспечения антивирус отправляет сотрудникам отдела информационной безопасности письмо с названием угрозы и путём, где хранится зараженный файл. Сотрудники отдела информационной безопасности предпринимают меры по удалению вредоносного программного обеспечения. Если загруженные пользователями файлы проходят
проверку антивирусного программного обеспечения, пользователь, загрузивший файл делает заявку в отдел информационной безопасности и сотрудники отдела переносят загруженный файл пользователю.
Также большое количество вредоносного программного обеспечения приходит сотрудникам Банка по электронной почте. Это могут быть и обычные вирусы-шифровальщики, так и вредоносное программное обеспечения, позволяющее злоумышленникам проникнуть на заражённый компьютер сотрудника Банка с помощью удалённого подключения.
Для минимизации рисков таких угроз на почтовый сервер Банка было установлено антивирусное программное обеспечения ClamAW, предназначенное для защиты почтовых серверов.
Для защиты от несанкционированного доступа внутренних злоумышленников, каким-либо образом узнавших пароль пользователя локальной станции, имеющей доступ к информационным системам персональных данных, необходимо установить на локальные рабочие станции пользователей, работающих с информационными системами персональных данных систему защиты информации от несанкционированного доступа.
Для целей защиты персональных данных в ИСПДн было выбрано семейство система защиты информации, подключаемых к слотам расширения локальных рабочих станций.
Рассматривалось 2 вида программно-аппаратных комплексов от разных производителей:
-
ПАК Соболь, производства НИП Информзащита; -
ПАК СЗИ НСД Аккорд, производства ОКБ САПР.
После проведённых испытаний, ПАК СЗИ НСД Аккорд, показал лучшие результаты по сравнению с ПАК Соболь по ряду причин:
-
Количество отказов в срабатывании; -
Меньшее количество ошибок при подсчёте контрольных сумм устройств.
Так же ПАК СЗИ НСД Аккорд имеет сертификат ФСТЭК России №246/7, действительный до 13 августа 2019 года.
ПАК СЗИ НСД Аккорд был установлен на следующие локальные рабочие станции:
-
Главного бухгалтера; -
Заместителя главного бухгалтера; -
Начальника отдела по работе с персоналом; -
Сотрудника, ответственного за начисление заработной платы сотрудникам Банка; -
На локальной рабочей станции в центральном пункте охраны; -
На локальных рабочих станциях сотрудников, имеющих право работать с информационной системой персональных данных автоматизированной системы персональных данных.