Файл: Разработка системы защиты персональных данных на.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 05.12.2023

Просмотров: 190

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ОБОЗНАЧЕНИЯ СОКРАЩЕНИЙ

ВВЕДЕНИЕ

1. ОСНОВЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1 Законодательные основы защиты персональных данных

Классификация угроз информационной безопасности персональных
данных.

Общая характеристика источников угроз в информационных системах персональных
данных

Характеристика Банка и его деятельности

1.6 Устройство и угрозы локальной вычислительной сети Банка

1.7 Средства защиты информации

1.8 Организационные меры защиты

1.9 Цикл обработки персональных данных

2. РАЗРАБОТКА МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ

2.1 Мероприятия по защите локальной вычислительной сети банка и информационной системы персональных данных В сети ПАО «Витабанк» есть ярко выраженные слабые места, используя которые злоумышленники могут получить полный доступ к сети банка и перехватить над ней контроль, после чего смогут беспрепятственно украсть, изменить или удалить персональные данные клиентов или сотрудников Банка.Так как сеть Банка представляет собой один единственный сегмент, то для минимизации рисков проникновения злоумышленников в сеть Банка, её необходимо разделить на несколько сегментов с использованием технологии виртуальных сетей.Концепция технологии построения виртуальных сетей (VLAN) заключается в том, что администратор сети может создавать в ней логические группы пользователей независимо от того, к какому участку сети они подключены. Объединять пользователей в логические рабочие группы можно, например, по признакам общности выполняемой работы или совместно решаемой задачи. При этом группы пользователей могут взаимодействовать между собой или быть совершенно невидимыми друг для друга. Членство в группе можно изменять, и пользователь может быть членом нескольких логических групп. Виртуальные сети формируют логические широковещательные домены, ограничивая прохождение широковещательных пакетов по сети, так же, как и маршрутизаторы, изолирующие широковещательный трафик между сегментами сети. Таким образом, виртуальная сеть предотвращает возникновение широковещательных штормов, так как широковещательные сообщения ограничены членами виртуальной сети и не могут быть получены членами других виртуальных сетей. Виртуальные сети могут разрешать доступ членам другой виртуальной сети в случаях, где это необходимо для доступа в общие ресурсы, типа файловых серверов или серверов приложений, или где общая задача, требует взаимодействия различных служб, например кредитных и расчетных подразделений. Виртуальные сети могут создаваться по признакам портов коммутатора, физических адресов устройств, включаемых в сеть и логических адресов протоколов третьего уровня модели OSI. Преимущество виртуальных сетей состоит в высокой скорости работы коммутаторов, так как современные коммутаторы содержат специализированный набор интегральных схем специально разработанных для решения задач коммутации на втором уровне модели OSI. Виртуальные сети третьего уровня наиболее просты в установке, если не требуется переконфигурация клиентов сети, наиболее сложны в администрировании, т.к. любое действие с клиентом сети требует либо переконфигурации самого клиента либо маршрутизатора, и наименее гибки, так как для связи виртуальных сетей требуется маршрутизация, что увеличивает стоимость системы и снижает ее производительность.Таким образом, создание виртуальных сетей в Банке предотвратит атаки типа ARP-spoofing. Злоумышленники не смогут перехватить информацию, проходящую между сервером и клиентом. При проникновении в сеть злоумышленники смогут просканировать не всю сеть Банка, а только сегмент сети в который они получили доступ.При проникновении в сеть Банка злоумышленники в первую очередь будут сканировать сеть для поиска критически важных узлов сети. Этими узлами являются: Контроллер домена; Proxy сервер; Почтовый сервер; Файловый сервер; Сервер приложений. Так как в Банке локальная сеть будет организована с использованием технологии виртуальных сетей, злоумышленники не смогут без дополнительных действий обнаружить эти узлы. Для того чтобы усложнить злоумышленникам поиск критически важных узлов локальной сети и запутать их, а в дальнейшем изучить стратегию злоумышленников при проведении атаки в сети нужно использовать ложные объекты, которые будут привлекать злоумышленников. Эти объекты называются Honeypot.Задача Honeypot – подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленников и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого – привлечь внимание взломщиков.Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Honeypot собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты отдела информационной безопасности собирают информацию об атаке злоумышленников на ресурс и разрабатывают стратегии отражения атак в будущем.Для контроля входящей из сети Интернет информации и обнаружения
угроз информационной безопасности на этапе их передачи по сети, а также обнаружения активности злоумышленников, проникнувших в локальную сеть Банка необходимо на границе сети установить систему предотвращения вторжений.Система предотвращения вторжений – программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.Системы предотвращения вторжений можно рассматривать как продолжение Систем обнаружения вторжений, так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что система предотвращения вторжений отслеживает активность в реальном времени и быстро реализует действия по предотвращению атак.Системы обнаружения и предотвращения вторжений подразделяются на: Сетевые системы предотвращения вторжений – анализируют трафик, направленный в сеть организации, проходящий в самой сети или направленный к конкретному компьютеру. Системы обнаружения и предотвращения вторжений могут быть реализованы программными или программно-аппаратными методами, устанавливаются на периметре корпоративной сети и иногда внутри нее. Персональные системы предотвращения вторжений – это программное обеспечение, которое устанавливается на рабочие станции или серверы и позволяет контролировать деятельность приложений, а также отслеживать сетевую активность на наличие возможных атак. Для развёртывания в сети Банка была выбрана сетевая система предотвращения вторжений.Рассматривались сетевые системы вторжений компаний IBM, Check Point, Fortinet, Palo Alto, так как заявленный функционал производителей этих систем подходил под требования отдела информационной безопасности Банка.После развёртывания тестовых стендов и проведения тестирования систем предотвращения вторжений была выбрана система производства компании Check Point, так как она показала наилучшее быстродействие, лучшую подсистему обнаружения вирусного программного обеспечения, передаваемого по локальной сети, лучший инструментарий по протоколированию и журналированию важных событий и цене приобретения.Система предотвращения вторжений компании IBM была отвержена из-за стоимости устройств, превышающей бюджет отдела информационной безопасности на покупку системы предотвращения вторжений.Система предотвращения вторжений компании Fortinet была отвержена из-за неполного срабатывания при выполнении сотрудниками отдела информационной безопасности тестов по передаче заражённых файлов и недостаточно информативного инструментария журналирования важных событий.Система предотвращения вторжений компании Palo Alto была отвержена из-за недостаточно информативного инструментария журналирования важных событий, чрезмерной сложности работы с системой и работе в большей степени как маршрутизатор.Для внедрения в локальную сеть была выбрана система предотвращения вторжений компании Check Point. Эта система показала высокий уровень обнаружения
угроз информационной безопасности, гибкие настройки, возможность расширения функционала за счёт приобретения дополнительных программных модулей, имеет мощную систему журналирования важных событий и мощный инструментарий по предоставлению отчётов о происшествиях, с помощью которого можно гораздо проще расследовать произошедшие инциденты информационной безопасности.Для внедрения в локальную сеть Банка выбрана модель Check Point 4600.Характеристики модели системы предотвращения вторжений Check Point 4600 представлены в таблице 2.Таблица 2. Характеристики модели системы предотвращения вторжений Check Point 4600.

2.2 Программные и аппаратные средства защиты

2.3 Базовая политика безопасности

3. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОЕКТА

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЕ 1





2.3 Базовая политика безопасности


После рассмотрения особенностей построения локальной сети ПАО «Витабанк», средств защиты персональных
данных, организационных мер защиты персональных
данных и самих информационных систем персональных
данных была составлена базовая политика безопасность ПАО «Витабанк».

Политика безопасности в Банке регламентирует:

  • Систему повышения осведомленности сотрудников в вопросах информационной безопасности;

  • Порядок доступа сотрудников к ресурсам сети Интернет;

  • Порядок доступа сотрудников к внутрибанковским ресурсам;

  • Порядок работы сотрудников с электронной почтой;

  • Парольную политику Банка;

  • Правила доступа сотрудников к персональным данным.



2.3.1 Система повышения осведомлённости сотрудников в вопросах информационной безопасности


Система повышения осведомлённости сотрудников в вопросах информационной безопасности состоит из:

  • Обучения сотрудников Банка;

  • Регулярном информировании сотрудников Банка о новых
угрозах информационной безопасности Банка.

Обучение сотрудников Банка проводится специалистом отдела информационной безопасности.

Сотрудник отдела информационной безопасности проводит обучение в определённом планом подразделении Банка. После проведённого обучения, сотрудники подразделения проходят тесты, в которых подтверждают полученные на обучении знания.

Базовой политикой безопасности регламентируется проведение обучения в каждом подразделении не реже четырёх раз в год.

Так же параллельно с обучением сотрудников, сотрудники отдела информационной безопасности обязаны не реже раза в месяц рассылать всем сотрудникам Банка информационные письма, в которых описываются основные правила безопасности, новые
угрозы информационной безопасности Банка, если такие обнаружены.

2.3.2 Порядок доступа сотрудников к ресурсам сети Интернет


В Банке созданы 3 группы доступа в сеть Интернет, но такое разделение доступа неэффективно, поскольку у сотрудника, для выполнения его должностных обязанностей, может возникнуть потребность получить информацию с сетевого ресурса, входящего в группу полного доступа, тогда ему придётся давать полный доступ к сети Интернет, что небезопасно.



Для того, чтобы этого не происходило, было создано восемь групп доступа в сеть Интернет:

  • Группа 1: минимальный доступ – доступ только к сайту Центрального Банка и к внешнему сайту ПАО «Витабанк». Все новые сотрудники по умолчанию добавляются в эту группу;

  • Группа 2: федеральные службы – доступ к ресурсам группы 1 с добавлением ресурсов Федеральных служб Российской Федерации;

  • Группа 3:расширенный доступ – доступ к ресурсом групп 1 и 2 и ресурсы не запрещённые в следующих группах;

  • Группа 4: Социальные сети – доступ к социальным сетям;

  • Группа 5: Мультимедийный контент – предоставление доступа к сайтам, содержащим мультимедийный контент, без этой группы весь мультимедийный контент даже на разрешённых ресурсах блокируется;

  • Группа 6: скачивание архивов – группа не предоставляет какой-либо доступ к ресурсам сети Интернет;

  • Группа 7: скачивание исполняемых файлов – группа не предоставляет какой-либо доступ к ресурсам сети Интернет;

  • Группа 8: полный доступ в сеть Интернет – полный доступ к ресурсам сети Интернет, загрузка любых файлов.

Для получения доступа к ресурсам сети Интернет сотрудник создаёт заявку через систему ServiceDesk и после одобрения руководителем отдела или управления и сотрудником отдела информационной безопасности сотруднику предоставляется доступ к ресурсам сети Интернет согласно запрошенной группы.

2.3.3 Порядок доступа сотрудников к внутрибанковским ресурсам


Основные документы по работе сотрудника находятся на локальном рабочем месте или в автоматизированной системе, в которой он работает. Так же у каждого подразделения Банка на файловом сервере Банка существует раздел, в котором хранится информация, необходимая нескольким сотрудникам подразделения и которая велика по размеру для передачи по электронной почте Банка.

Когда новый сотрудник устраивается на работу в Банк, его прямой руководитель направляет заявку через систему ServiceDesk в отдел системного администрирования о предоставлении доступа к внутрибанковскому ресурсу и после одобрения заявки сотрудником отдела информационной безопасности сотрудник отдела системного администрирования открывает новому сотруднику доступ к запрошенному ресурсу.

Нередко возникают ситуации, в которых работа нескольких подразделений Банка пересекается и для обмена информацией этим подразделениям нужен отдельный на файловом сервере Банка.


Для создания этого раздела руководитель проекта, начальник одного из отделов, задействованных в процессе работы над проектом создаёт заявку через систему ServiceDesk на создание общего ресурса и доступа к этому ресурсу определённых сотрудников своего подразделения, работающих над совместным проектом и начальника подразделения с которым сотрудничает в рамках проекта. После одобрения сотрудником отдела информации сотрудник отдела системного администрирования создаёт запрошенный ресурс и предоставляет к нему доступ заявленных сотрудников. Каждый начальник подразделения, участвующего в проекте запрашивает доступ только для тех сотрудников, которые находятся у него в подчинении.

2.3.4 Порядок работы сотрудников с электронной почтой


Ранее, до создания базовой политики безопасности, каждый сотрудник сам определял степень опасности писем и файлов, пришедших по электронной почте с внешних почтовых серверов.

После создания базовой политики безопасности, каждому пользователю вменяется в обязанности каждый файл, полученный по электронной почте от внешних почтовых серверов пересылать в отдел информационной безопасности для проверки его на наличие вредоносного программного обеспечения, степень опасности писем сотрудник определяет самостоятельно. Если сотрудник Банка подозревает, что во входящем сообщении содержится спам или фишинг, он обязан отправить письмо полностью, то есть содержащее в себе всю служебную информацию об отправителе, его почтовый ящик и IP-адрес, в отдел информационной безопасности. После анализа подозрительного письма и при подтверждении
угрозы этого письма отдели информационной безопасности направляет адрес отправителя письма в отдел системного администрирования, и сотрудник отдела системного администрирования заносит адрес отправителя письма в чёрный список.

2.3.5 Парольная политика Банка


Для предотвращения несанкционированного доступа к информационным ресурсам Банка, а также к информационным системам персональных
данных, в Банке установлена следующая парольная политика:

  • Длина пароля – не менее 8 символов;

  • Сложность пароля – латинские и /или кириллические символы, верхний и нижний регистр, специальные символы;

  • Срок действия пароля – 1 месяц;

  • Невозможность повторения пароля в течении трёх месяцев.


При обучении сотрудников им разъясняются правила хранения паролей:

  • Не записывать пароли на бумажный или цифровой носитель;

  • Вводить пароль от рабочего места или при входе в систему без посторонних лиц, которые могут запомнить или записать, не заметно для пользователя, пароль;

  • Всегда блокировать рабочее место, при отлучении от него.



2.3.6 Правила доступа сотрудников к персональным данным


Согласно статьи 89 главы 14 Трудового Кодекса Российской Федерации, сотрудник Банка имеет право на доступ к своим персональным данным, но допускается к обработке персональных
данных других сотрудников Банка или клиентов Банка только для исполнения своих должностных обязанностей.

Для обеспечения контроля за доступом в информационным системам персональных
данных, в банке установлены следующие правила доступа к информационным системам персональных
данных:

  • Только сотрудники, в чьи должностные обязанности входит обработка персональных
данных имеют доступ к ИСПДн;

  • Доступ к ИСПДн разрешён только с локального рабочего места сотрудника, работающего с персональными данными;

  • В Банке создан документ, определяющий пофамильно сотрудников, которым разрешен доступ к персональным данным сотрудников и клиентов Банка с указанием Информационной системы персональных
данных и перечнем персональных
данных, разрешённых для обработки сотрудником.