Технический и организационный аспекты защиты персональных данных на примере МОУ СОШ №9

Система защиты персональных данных при их обработке в информационных системах является достаточно уязвимой перед нарушителями – инсайдерами, нарушителями – сторонними пользователями и необходимо принятие мер по совершенствованию технологии разграничения доступа и идентификации пользователей.2.4. Программная компонента защиты персональных данных в условиях МОУ СОШ №92.4.1. Защита документов MS OfficeКак было показано при анализе объектов защиты персональных данных, в условиях МОУ СОШ 9 значительный их объем обрабатывается в приложениях MSOffice.При этом документы хранятся на файловых ресурсах в общем доступе, что создает опасность утечки содержащихся в них сведений.Таким образом, для обеспечения защиты персональных данных, хранящихся в документах MSOfficeпредлагается использование внутренней системы защиты MSOffice, а также использование почтовых клиентов вместо браузерных приложений.В существующих системах документооборота обеспечение конфиденциальности может быть реализовано через:- установку паролей к документам Word (в версиях 2010 и выше) через меню «Защита документа»;- ограничение возможностей доступа к документам MSOfficeс использованием встроенных средств через меню «Защита документа» (рисунок 3);Рисунок – Режимы ограничения доступа к документам MSOffice- обеспечение конфиденциальности документооборота возможно средствами разграничения доступа к файловой системе (где к файловым ресурсам выставляется доступ для пользователей, которым он необходим);- при пересылке и хранении конфиденциальных документов также используется архивирование с паролем, который передается отдельно адресатам сообщений;- использование средств криптографии (простановка электронной подписи, либо шифрование конфиденциального документа).К парольной защите устанавливается ряд требований:- периодичность смены пароля (не реже 1 раза в год);- длина пароля – не менее 8 символов;- наличие символов в различной раскладке, использование буквенно-символьных сочетаний, букв в различных регистрах;- обеспечение конфиденциальности паролей (передача пароля другим сотрудникам недопустима).2.4.2. Рекомендации по внедрению программно-аппаратных средствВ настоящее время для обеспечения защиты информации используется множество средств, включающих инженерно-технические, программные решения. Проведем краткий обзор некоторых из них.Программные средства защиты информацииПрограммная система защиты должна обеспечивать комплекс мер по исключению несанкционированного доступа к системе извне. Программные системы включают компоненты:- системы антивирусной защиты;- криптографические системы;- системы обеспечения сетевой защиты, включая системы шифрования трафика, управления доступом пользователей к сетевым ресурсам;- системы обеспечения комплексной защиты информации. В рамках данной работы рассмотрим предложение о внедрении системы управления электронными ключами пользователей, используемыми при их авторизации в системе.JaCartaManagementSystem (JMS) - программный комплекс централизованного управления индивидуальными ключами (ПК ЦУИК). Одна из основных функций JMS – управление жизненным циклом ключевых носителей. Также JMS позволяет организовать двухфакторную аутентификацию пользователей в домене посредством взаимодействия с доменным центром сертификации MicrosoftCertificateAuthority (MSCA). MSCA позволяет каждой доменной учетной записи генерировать сертификат, по которому происходит проверка подлинности пользователя. С помощью JMS закрытый ключ сертификата записывается на ключевой носитель. А благодаря штатным средствам Windows предоставляется возможность авторизации в системе с помощью смарт-карты (под смарт-картой понимаются ключевые носители независимо от формфактора - eToken, JaCarta и т.д.). В такой системе JMS выступает в качестве «посредника» между пользователем и MSCA, автоматически формирует запросы на выпуск, обновление, отзыв сертификатов.JMS состоит из следующих основных компонентов: серверная часть, консоль администрирования и клиентская часть (агент). Мониторинг системы оценки защищенности ИС осуществляется путем внедрения системы SecretNet. Данный программный продукт служит как для анализа текущего состояния системы, так и защиты эталонного состояния, которое также можно задать средствами данного программного продукта. На рисунке 4 показан режим аудита системных журналов операционной системы.Рисунок - Журнал системы, сформированный с использованием ПО SecretNetКак показано на рисунке 4, исследуемая система в рамках исследуемого промежутка времени не подвергалась атакам на систему информационной безопасности, анализ журналов показывает нулевую статистику отказов и нарушений безопасности. При этом в системном журнале присутствуют записи со статусом "Предупреждение" и "Ошибка", что говорит о наличии уязвимостей операционной системы.На рисунке 5 показан режим контроля программ в ПО SecretNet. Рисунок - Режим контроля программ в ПО SecretNetПротокол контроля событий, связанных с изменением реестра операционной системы, показан на рисунке 6.Рисунок - Протокол контроля событий, связанных с изменением реестра операционной системыКак показано на рисунке 3, в моделируемой системе отсутствуют события, связанные с контролем реестра операционной системы, которые были бы связаны с активностью вредоносного ПО, а также события, не контролируемые средством защиты данных SecretNet.На рисунке 7 показан протокол активности системных файлов, сформированный с использованием ПО SecretNet.Рисунок - Протокол активности системных файлов, сформированный с использованием ПО SecretNetКак показано на рисунке 7, все процессы, запущенные из системной области, являются контролируемыми системой защиты SecretNet, неопознанные процессы отсутствуют.При моделировании системы для задания эталона необходимо использовать соответствующий режим, настройки которого задаются в режиме, показанном на рисунке 9. Также с использованием ПО SecretNet можно производить генерацию задач, как прикладных или системных, так и задач обеспечения информационной безопасности.Таким образом, с использованием протоколов системы SecretNetвозможно получать данные о состоянии защищенности системы на основе анализа журналов, статистики запуска опасных и запрещенных процессов и др. Полученные данные возможно обрабатывать с использованием методов экспертных оценок или обработки весовых коэффициентов.ЗАКЛЮЧЕНИЕВ рамках данной работе проведен анализ системы защиты персональных данных в условиях образовательного учреждения. В рамках проведенного анализа существующего законодательства в указанной области было показано, что в организациях, деятельность которых связана с необходимостью обработки персональных данных необходимо принятие мер организационного и технического характера по обеспечению их защищенности.Комплекс мероприятий определяется в соответствии с категорией обрабатываемой информации. Нарушение указанных требований предполагает наложение штрафных санкций на руководство организации.Было показано, что в условиях МОУ СОШ 9 производится обработка персональных данных о контингенте учащихся, а также сотрудниках образовательного учреждения. В ходе анализа существующей системы защиты персональных данныхМОУ СОШ 9 было показано, что в образовательном учреждении в целом соблюдаются требования к организационному и техническому обеспечению защиты информации. Вместе с этим, имеется ряд нарушений, связанных с недостаточностью обеспечения системы защиты документов MSOffice, хранящихся на файловом сервере, а также отсутствует система мониторинга сетевой активности приложений, которые потенциально могут создавать опасности утечки данных.Предложено использовать систему шифрования документов средствами MSOffice, что позволит защитить документацию от несанкционированного доступа, также предлагается внедрение системы «SecretNet» для мониторинга сетевой активности приложений.Предложенные меры позволят повысить эффективность системы защиты персональных данных МОУ СОШ 9.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВМихалевич Е.В. Обработка персональных данных: анализ законодательства и судебной практики / Е.В. Михалевич. - Москва : ФГБУ "Редакция "Российской газеты", 2019. - 143 с. Такатлы Д. А. Защита персональных данных / Д. А. Такатлы. - Петропавловск-Камчатский: Дальневосточный филиал Федерального государственного бюджетного образовательного учреждения высшего образования "Всероссийская академия внешней торговли Министерства экономического развития Российской Федерации", 2016. - 92 с.Овчинникова Т. А. Ответственность за нарушение требований законодательства РФ о персональных данных: монография / Т. А. Овчинникова . - Хабаровск : Изд-во ТОГУ, 2018. – 81с.Благодаров А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.Аникин Д. В. Информационная безопасность и защита информации : учебное пособие / Д.В. Аникин. - Барнаул : Изд-во Алтайского государственного университета, 2018. - 196 с.Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова. - Ухта : УГТУ, 2016. - 69 с.Горев А. И., Симаков А. А. Обработка и защита информации в компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А. Симаков. - Омск :ОмА МВД России, 2016. - 87 с. Каратунова Н. Г. Защита информации. Курс лекций. - Краснодар: КСЭИ, 2014. - 188 с. Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва: Горячая линия - Телеком, 2016. - 304 с. Королев Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Михайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.Никифоров С. Н. Защита информации : защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров. - Санкт-Петербург :СПбГАСУ, 2017. - 76 с.