Особенность объекта защиты

Прежде всего, следует отметить нетривиальность объекта защиты, в роли которого выступила одна из центральных систем OSS/BSS. Помимо значительного масштаба этой информационной системы важную роль- с точки зрения проектирования системы безопасности – играло то обстоятельство, что в системе планировалось обрабатывать персональные данные. Эта особенность и задала основной вектор проектирования СОИБ: ввиду наличия требований к обеспечению информационной безопасности (ИБ) системы в целом и требований к защите ПД в составе СОИБ разрабатывается СЗПД- система защиты персональных данных.В период проектирования СОИБ защищаемая система сама находилась в стадии разработки.

Изучение объекта защиты

Известна аксиома: разработка СОИБначинается с изучения объекта
защиты. Важность аудита как самой информационной системы (ИС), так и
ИТ-инфраструктуры сложно переоценить. Хотелось бы отметить
особенность рассматриваемого примера выполнения проекта, которая,
очевидно, является характерной трудностью проведения подобных работ.
Эта особенность связана с предоставлением исходных данных по
защищаемой системе, которая, напомним, в нашем случае сама находится в
стадии разработки, а не относится к уже существующим системам. Как
следствие — низкая степень документированности архитектуры и технических
решений, постоянные пересогласования вариантов интеграции составных
частей, отсутствие ясности в организационных вопросах и тому подобные
факторы, влияющие в конечном счете на качество выполнения работ по
защите информации. В данном случае можно рекомендовать, во-первых,
«запаздывающее» планирование работ по направлению ИБ, когда
проектирование СОИБидет с некоторой задержкой (как правило, 2-3 недели)
относительно разработки самого объекта защиты. Во-вторых,
проектировщикам СОИБ следует буквально "погрузиться" в техпроект
защищаемой системы. Разумеется, для этого следует обладать необходимыми
знаниями в ИТ-сфере и, что не менее важно, -иметь способность наладить
взаимодействие с целым рядом рабочих групп (в том числе в рамках
нескольких независимых компаний), занятых в создании ИС. В данном
проекте экспертам в области безопасности приходилось вести активную
работу и с заказчиком, и с подрядчиком, и со всеми контрагентами,
привлеченными головным исполнителем.

Обработка персональных данных и определение их перечня

Важный вопрос, который должен решить для себя оператор, - установление необходимости обработки персональных данных и определение их перечня. В рассматриваемом примере необходимость обработки диктовалась как
технологией обслуживания клиентов, так и положениями Федерального
закона № 126-ФЗ "О связи", устанавливающего возможность обработки
телекоммуникационной компанией информации об абонентах. Положения
статьи 53 упомянутого закона легли в основу перечня персональных данных,
обрабатываемых в защищаемой ИСПД, зафиксировавшего состав ПД и
правовые основания для их обработки.

Как известно, во главу угла при выполнении работ по защите ПД
ставится классификация ИСПД. Разумеется, при создании СОИБ, имеющей в
своем составе СЗПД, это мероприятие в отношении последней имеет статус
обязательного. Важным фактором, влияющим на этот процесс, явилось
качество проведенного аудита. В нормативной базе по защите ПД
регуляторы предусмотрели достаточно гибкий инструмент, позволяющий
повысить соответствие системы защиты тем угрозам, которые действуют в
отношении ПД в конкретной ИС. Этим инструментом является разделение
ИСПД на типовые и специальные, а также. классификация последних на
основе модели угроз безопасности ПД. В рассматриваемом случае группа
проектирования совместно со специалистами заказчика пришла к выводу,
что защищаемая ИСПД является специальной, поскольку в ней вне
зависимости от необходимости обеспечения конфиденциальности ПД
требуется обеспечить хотя бы одну из характеристик безопасности
персональных данных, отличную от конфиденциальности. Составленная в
соответствии с методическими документами ФСТЭК,частная модель угроз
безопасности ПД позволила, во-первых, адекватно определить класс системы
и, во-вторых, выделить именно те угрозы, которые являются актуальными и
от которых следует защищаться.

 

При разработке системы защиты персональных данных выделяют 3 подгруппы:

1.Выбор технических средств

2.Выбор программного обеспечения

3.Разработка нормативных документов

 

 

Практическая часть

По каждой подсистеме защиты персональных данных наберем группу экспертов,из 5 человек:

· Техническая группа ей ставится цель — Выбор технических

средств, для защиты персональных данных.

· группа программистов — Выбор программного обеспечения, для защиты персональных данных.

· группа юристов – Разработка нормативных документов.

 

 

Далее, для каждой группы составим тест, экспертам необходимо будет проранжировать каждый вариант из вопроса.

Для технической и группы программистов в тесте будет предложено

несколько вариантов для каждой проблемы.

Например: Какой выбрать антивирус:

1 Eset Smart Security 4.0.

2 Dr.Web 4.44

3 Kaspersky Internet Security 2009 (8.0.0.454)

4 и.д.

Группе юристов будет предложено несколько вариантов
нормативных документов, из которых они выберут самые подходящий, также
им будет дана возможность внести в него изменения.

Далее проведем обработку данных, почитаем коэффициент

конкордации, если W будет превышать 0,85, будем читать что эксперты сошлись во мнении и возьмем на реализацию тот вариант ответа который
получил больше всего первых мест.

Если W будет меньше 0,85 то возьмем 3 варианта получивших лучшие

оценки и проведем тестирование заново.

Для группы юристов после выбора нормативных документов, им

будет предложено внести изменения которые можно оценить с помощью

номинальной шкалы, если вариант наберет больше половины голосов, то это изменение принимается, если меньше то откланяется.

 

Вывод

Во-первых, наиболее важными и ответственными этапами создания СОИБ
СОИБ и СЗПД являются предпроектное обследование и классификация
ИСПД -это те отправные точки, на которые опираются все дальнейшие
действия по разработке технических решений и организационных
документов. Во-вторых, следует максимально использовать возможности,
заложенные регуляторами в нормативную базу. В-третьих, собственно
разработка системы защиты не является чем-то из ряда вон выходящим, но
требует от специалистов-детальных знаний о защищаемой системе, а также о
функциональных возможностях и характеристиках СЗИ. Наконец, подход,
при котором система защиты персональных данных рассматривается как
составная часть СОИБ,а защищаемая ИСПД—как составная часть более
масштабной информационной системы, является вполне работоспособным и
позволяет, с одной стороны, реализовать требования к обеспечению ИБ
системы в целом, с другой - обеспечить защиту входящей в нее ИСПД,
совмещая разработку соответствующих технических решений и
нормативных документов в рамках одного проекта.

Литература

1. Анфилатов В.С. и др. Системный анализ в управлении: Учебное пособие/Под ред.А.А.Емельянова.-М.:Финансы и статистика,2002 г.

2. Волкова В.Н., Денисов А.А. Теория систем: Учебное пособие. М.: Высшая школа, 2006.

3. Введение в системный анализ: Учеб. Пособие для студ. агроном. спец./ А.М. Гатаулин; Московская с.-х. академия им. К.А. Тимирязева. М.: МСХА, 2005.

4. Добров Г.М., Ершов Ю.В., Левин Е.И., Смирнов Л.П. Экспертные оценки в научно-техническом прогнозировании. Киев: Наукова думка, 1974. 263 с.

5. Диксон Дж, Проектирование систем: изобретательство, анализ, принятие решений. М.: Мир, 1969. 323 с.

6. Исаев В.В. Общая теория систем: Учебное пособие. СПб.: СПбГИЭУ, 2001.

7. Плашенков В.В., Основы системного анализа: Учебное пособие.- Череповец: ЧГУ, 2002.-170 с.