Особенность объекта защиты
Прежде всего, следует отметить нетривиальность объекта защиты, в роли которого выступила одна из центральных систем OSS/BSS. Помимо значительного масштаба этой информационной системы важную роль- с точки зрения проектирования системы безопасности – играло то обстоятельство, что в системе планировалось обрабатывать персональные данные. Эта особенность и задала основной вектор проектирования СОИБ: ввиду наличия требований к обеспечению информационной безопасности (ИБ) системы в целом и требований к защите ПД в составе СОИБ разрабатывается СЗПД- система защиты персональных данных.В период проектирования СОИБ защищаемая система сама находилась в стадии разработки.
Изучение объекта защиты
Известна аксиома: разработка СОИБначинается с изучения объекта
защиты. Важность аудита как самой информационной системы (ИС), так и
ИТ-инфраструктуры сложно переоценить. Хотелось бы отметить
особенность рассматриваемого примера выполнения проекта, которая,
очевидно, является характерной трудностью проведения подобных работ.
Эта особенность связана с предоставлением исходных данных по
защищаемой системе, которая, напомним, в нашем случае сама находится в
стадии разработки, а не относится к уже существующим системам. Как
следствие — низкая степень документированности архитектуры и технических
решений, постоянные пересогласования вариантов интеграции составных
частей, отсутствие ясности в организационных вопросах и тому подобные
факторы, влияющие в конечном счете на качество выполнения работ по
защите информации. В данном случае можно рекомендовать, во-первых,
«запаздывающее» планирование работ по направлению ИБ, когда
проектирование СОИБидет с некоторой задержкой (как правило, 2-3 недели)
относительно разработки самого объекта защиты. Во-вторых,
проектировщикам СОИБ следует буквально "погрузиться" в техпроект
защищаемой системы. Разумеется, для этого следует обладать необходимыми
знаниями в ИТ-сфере и, что не менее важно, -иметь способность наладить
взаимодействие с целым рядом рабочих групп (в том числе в рамках
нескольких независимых компаний), занятых в создании ИС. В данном
проекте экспертам в области безопасности приходилось вести активную
работу и с заказчиком, и с подрядчиком, и со всеми контрагентами,
привлеченными головным исполнителем.
Обработка персональных данных и определение их перечня
Важный вопрос, который должен решить для себя оператор, - установление необходимости обработки персональных данных и определение их перечня. В рассматриваемом примере необходимость обработки диктовалась как
технологией обслуживания клиентов, так и положениями Федерального
закона № 126-ФЗ "О связи", устанавливающего возможность обработки
телекоммуникационной компанией информации об абонентах. Положения
статьи 53 упомянутого закона легли в основу перечня персональных данных,
обрабатываемых в защищаемой ИСПД, зафиксировавшего состав ПД и
правовые основания для их обработки.
Как известно, во главу угла при выполнении работ по защите ПД
ставится классификация ИСПД. Разумеется, при создании СОИБ, имеющей в
своем составе СЗПД, это мероприятие в отношении последней имеет статус
обязательного. Важным фактором, влияющим на этот процесс, явилось
качество проведенного аудита. В нормативной базе по защите ПД
регуляторы предусмотрели достаточно гибкий инструмент, позволяющий
повысить соответствие системы защиты тем угрозам, которые действуют в
отношении ПД в конкретной ИС. Этим инструментом является разделение
ИСПД на типовые и специальные, а также. классификация последних на
основе модели угроз безопасности ПД. В рассматриваемом случае группа
проектирования совместно со специалистами заказчика пришла к выводу,
что защищаемая ИСПД является специальной, поскольку в ней вне
зависимости от необходимости обеспечения конфиденциальности ПД
требуется обеспечить хотя бы одну из характеристик безопасности
персональных данных, отличную от конфиденциальности. Составленная в
соответствии с методическими документами ФСТЭК,частная модель угроз
безопасности ПД позволила, во-первых, адекватно определить класс системы
и, во-вторых, выделить именно те угрозы, которые являются актуальными и
от которых следует защищаться.
При разработке системы защиты персональных данных выделяют 3 подгруппы:
1.Выбор технических средств
2.Выбор программного обеспечения
3.Разработка нормативных документов
Практическая часть
По каждой подсистеме защиты персональных данных наберем группу экспертов,из 5 человек:
· Техническая группа ей ставится цель — Выбор технических
средств, для защиты персональных данных.
· группа программистов — Выбор программного обеспечения, для защиты персональных данных.
· группа юристов – Разработка нормативных документов.
Далее, для каждой группы составим тест, экспертам необходимо будет проранжировать каждый вариант из вопроса.
Для технической и группы программистов в тесте будет предложено
несколько вариантов для каждой проблемы.
Например: Какой выбрать антивирус:
1 Eset Smart Security 4.0.
2 Dr.Web 4.44
3 Kaspersky Internet Security 2009 (8.0.0.454)
4 и.д.
Группе юристов будет предложено несколько вариантов
нормативных документов, из которых они выберут самые подходящий, также
им будет дана возможность внести в него изменения.
Далее проведем обработку данных, почитаем коэффициент
конкордации, если W будет превышать 0,85, будем читать что эксперты сошлись во мнении и возьмем на реализацию тот вариант ответа который
получил больше всего первых мест.
Если W будет меньше 0,85 то возьмем 3 варианта получивших лучшие
оценки и проведем тестирование заново.
Для группы юристов после выбора нормативных документов, им
будет предложено внести изменения которые можно оценить с помощью
номинальной шкалы, если вариант наберет больше половины голосов, то это изменение принимается, если меньше то откланяется.
Вывод
Во-первых, наиболее важными и ответственными этапами создания СОИБ
СОИБ и СЗПД являются предпроектное обследование и классификация
ИСПД -это те отправные точки, на которые опираются все дальнейшие
действия по разработке технических решений и организационных
документов. Во-вторых, следует максимально использовать возможности,
заложенные регуляторами в нормативную базу. В-третьих, собственно
разработка системы защиты не является чем-то из ряда вон выходящим, но
требует от специалистов-детальных знаний о защищаемой системе, а также о
функциональных возможностях и характеристиках СЗИ. Наконец, подход,
при котором система защиты персональных данных рассматривается как
составная часть СОИБ,а защищаемая ИСПД—как составная часть более
масштабной информационной системы, является вполне работоспособным и
позволяет, с одной стороны, реализовать требования к обеспечению ИБ
системы в целом, с другой - обеспечить защиту входящей в нее ИСПД,
совмещая разработку соответствующих технических решений и
нормативных документов в рамках одного проекта.
Литература
1. Анфилатов В.С. и др. Системный анализ в управлении: Учебное пособие/Под ред.А.А.Емельянова.-М.:Финансы и статистика,2002 г.
2. Волкова В.Н., Денисов А.А. Теория систем: Учебное пособие. М.: Высшая школа, 2006.
3. Введение в системный анализ: Учеб. Пособие для студ. агроном. спец./ А.М. Гатаулин; Московская с.-х. академия им. К.А. Тимирязева. М.: МСХА, 2005.
4. Добров Г.М., Ершов Ю.В., Левин Е.И., Смирнов Л.П. Экспертные оценки в научно-техническом прогнозировании. Киев: Наукова думка, 1974. 263 с.
5. Диксон Дж, Проектирование систем: изобретательство, анализ, принятие решений. М.: Мир, 1969. 323 с.
6. Исаев В.В. Общая теория систем: Учебное пособие. СПб.: СПбГИЭУ, 2001.
7. Плашенков В.В., Основы системного анализа: Учебное пособие.- Череповец: ЧГУ, 2002.-170 с.