Защита информации в пенсионном фонде российской федерации

Защита информации в Пенсионном фонде Российской Федерации Управление по защите информации

Содержание презентации Нормативно-правовая база защиты информации в ПФР Задачи, направления и основные мероприятия защиты Архитектура корпоративной сети ПФР Схема защиты корпоративной сети ПФР Информационное взаимодействие ПФР Иерархия органов защиты информации ПФР Структура подразделений по защите информации ПФР

Федеральные законы Об информации, информационных технологиях и о защите информации (от 27 июля 2006 года № 149-ФЗ) О персональных данных (от 27 июля 2006 года № 152-ФЗ) Об электронной цифровой подписи (от 10 января 2002 года № 1-ФЗ) Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования (от 1 апреля 1996 года № 27-ФЗ) О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений (от 30 апреля 2008 года № 56-ФЗ) О страховых взносах в Пенсионной фонд Российской Федерации, ФCC Российской Федерации, Федеральный ФОМС и территориальные ФОМС (от 24.07.2009 №212-ФЗ)

Нормативные акты органов исполнительной власти Положение об обеспечении безопасности персональных данных при их обработке в ИСПД (постановление Правительства Российской Федерации от 17 ноября 2007 года № 781) Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (постановление Правительства Российской Федерации от 29 декабря 2007 года № 957) Порядок проведения классификации ИСПД (приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 года № 55/86/20) Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (приказ Гостехкомиссии России от 30 августа 2002 года № 282) Положение о разработке, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005) (приказ Директора ФСБ от 9 февраля 2005 года № 66) Положение о методах и способах защиты информации в информационных системах персональных данных (приказ ФСТЭК России от 05 февраля 2010 г. № 58) Методические рекомендации ФСБ России по защите ИСПД (№ 149/54-144 от 2008 года)

Нормативные акты ПФР Концепция безопасности информации автоматизированной информационной системы ПФР Инструкция по организации защиты информации автоматизированной информационной системы ПФР Инструкция по организации криптографической защиты информации в Пенсионном фонде Российской Федерации Модель угроз безопасности персональных данных при их обработке в информационной системе ПФР Акт классификации информационной системы персональных данных ПФР Положение о порядке работы с документированной информацией конфиденциального характера в системе ПФР Перечень сведений ограниченного доступа, не составляющих государственной тайны Порядок формирования списков лиц, допущенных к сведениям о плательщиках страховых взносов и к персональным данным

Задачи защиты информации Сохранение конфиденциальности данных Сохранение целостности данных Обеспечение аутентичности (легитимности) данных Обеспечение доступности данных

Направления защиты информации Санкционирование доступа к ресурсам (конфиденциальность, целостность, доступность, аутентичность) Криптографическая защита (конфиденциальность, аутентичность) Защита от вредоносных программ (конфиденциальность, целостность, доступность) Резервное копирование информационных ресурсов (целостность, доступность) Мониторинг состояния ресурсов (анализ эффективности защиты и разработка направлений её совершенствования)

Санкционирование доступа к ресурсам Допуск к работе с ресурсами (перечень ресурсов; таблица допуска к ресурсам; списки лиц, допущенных к ПДн и сведениям о ПСВ) Санкция на вход в систему (пароль, загрузка только с НМЖД, минимизация прав пользователя, опечатывание системного блока, доверенная загрузка) Санкция на доступ к сетевым ресурсам (пароль, сертификат) Безопасное хранение аутентифицирующих данных (электронные ключи) Блокирование портов ввода-вывода (программное или механическое)

Архитектура Системы персонифицированного учёта (СПУ)

Криптографическая защита Шифрование информации, передаваемой по информационно-телекоммуникационным сетям (ViPNet; Верба): абонентское шифрование; канальное шифрование; центр управления ViPNet-сетью. Шифрование хранимой информации (Safe Disk, Secret Disk); Применение электронной цифровой подписи (применение Домен-К, Верба-OW; понимание Крипто-Про, ): Удостоверяющий центр ПФР (ViPNet, Верба); регистрационные центры в отделениях ПФР; доверенные Удостоверяющие центры (ИнфоТеКС Интернет Траст, МО ПНИЭИ, ТУСУР);

Общая схема защиты корпоративной ИТС ПФР

Защита от вредоносных программ

Резервное копирование информационных ресурсов Копирование на съёмные носители (различная периодичность, учёт процедур копирования, комплект носителей; раздельное хранение копий, назначение ответственных, их дублёров); Дублирование ресурсов на уровне вычислительных средств (рассредоточение мест положения средств); Дублирование на уровне функциональных систем (СПУ на базе серверов iSeries дублируется на уровне отделений системой на базе Intel-серверов); Процедура восстановления ресурса из резервной копии (коллегиальность, документальное оформление)

Мониторинг состояния информационных ресурсов Система персонифицированного учёта – комплекс «Астра» Резервная система персонифицированного учёта – комплекс «КонДоР СПУ» Антивирусная защита – центр управления средствами «Лаборатории Касперского» и центр управления средствами «Доктор Веб» Система обнаружения компьютерных атак – специальная система в составе центра анализа и сенсоров в отделениях

Основные мероприятия защиты Организационные Разработка системы нормативных документов Определение перечня защищаемых ресурсов Ограничение доступа к ресурсам Персональная ответственность сотрудников за безопасность обрабатываемых данных Профессиональная подготовка специалистов по защите Создание контролируемой зоны и организация пропускного режима Определение порядка информа-ционного взаимодействия Технические Разграничение прав доступа к ресурсам Оборудование зданий и помещений системами безопасности Применение корпоративной информационно-телекоммуникационной сети Защита от вредоносных программ Шифрование (криптозащита) данных Применение ЭЦП Автоматизированный мониторинг состояния ресурсов

Информационное взаимодействие ПФР Органы ЗАГС Трансферагенты Трансферагенты Трансферагенты Администрация Президента Федеральная налоговая служба Фонд социального страхования Кредитные учреждения Негосударственные пенсионные фонды Уполномоченные органы субъектов РФ Органы ЗАГС Управляющие компании Трансферагенты

Организационная иерархия защиты информации в ПФР Председатель Правления ПФР Заместитель Председателя Правления ПФР Управление по защите информации Отделение ПФР Управление (отдел) ПФР Управляющий отделением Отдел (группа) по защите информации Начальник Управления (отдела) Администратор защиты информации

Концепция безопасности информации АИС ПФР Утверждена постановлением Правления ПФР от 26 июля 2008 года № 1п ДСП Концепция определяет: цель и стратегию достижения требуемого уровня безопасности информации АИС ПФР; основные направления достижения безопасности информации; принципы реализации и функционирования системы защиты информации; объекты защиты; меры по обеспечению безопасности информации.

Инструкция по организации защиты информации АИС ПФР Утверждена постановлением Правления ПФР от 26 июля 2008 года № 1п ДСП) Инструкция определяет: цели и задачи, объекты, мероприятия и методы защиты информации; порядок руководства защитой и органы защиты информации; задачи подразделений ИД ПФР и отделений ПФР, обязанности должностных лиц по организации защиты информации; основные обязанности пользователя; классификацию ресурсов и особенности их защиты; задачи и мероприятия и средства защиты от НСД; организацию защиты от вредоносных программ; порядок авторизации пользователей; порядок применения машинных носителей информации; порядок копирования информационных ресурсов; требования к прикладным программным продуктам; формы документов.

Инструкция по организации криптозащиты в ПФР Утверждена постановлением Правления ПФР от 16 октября 2008 года № 2п ДСП Определяет: организацию и обеспечение безопасности обработки информации с использованием криптосредств; порядок обращения с криптосредствами и криптоключами к ним; мероприятия при компрометации криптоключей; порядок обеспечения безопасности информации с использованием криптосредств при взаимодействии со сторонними организациями и передаче по каналам связи; размещение, оборудование, охрана и организация режима специальных помещений; формы документов.

Модель угроз безопасности ПДн при их обработке в АИС ПФР Утверждена Председателем Правления ПФР Согласована с ФСТЭК России Определяет для персональных данных: перечень угроз безопасности; возможные последствия нарушения безопасности; объекты угроз (основные ресурсы, содержащие ПДн, перечень информации способствующей доступу к ПДн); основные формы реализации угроз каждой из характеристик безопасности ПДн в АИС ПФР; модель нарушителя безопасности; перечень актуальных угроз безопасности.

Настоящий документ определяет цели обработки персональных данных Пенсионным фондом Российской Федерации (ПФР), принципы их обработки и перечень органов ПФР, выполняющих обработку персональных данных, а также содержит сведения о передаче персональных данных взаимодействующим организациям и о реализуемых требованиях к защите персональных данных.

Правила, порядок, процедуры и практические приемы обработки и защиты персональных данных определяются системой законодательных актов Российской Федерации, нормативных правовых актов ПФР, распорядительных актов отделений ПФР и подведомственных отделениям территориальных органов ПФР.

Цели обработки персональных данных

Обработка персональных данных осуществляется ПФР в следующих целях:

индивидуальный (персонифицированный) учет застрахованных лиц в системе обязательного пенсионного страхования;

пенсионное обеспечение граждан;

ведение федеральных регистров лиц, имеющих право на дополнительные меры государственной поддержки и государственной социальной помощи;

администрирование страховых взносов в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования;

обеспечение прав и льгот Героев Советского Союза, Героев Социалистического Труда, Героев Российской Федерации, полных кавалеров ордена Славы, полных кавалеров ордена Трудовой Славы и членов их семей;

обеспечение социальной защиты ветеранов и инвалидов Великой Отечественной войны и ветеранов и инвалидов боевых действий;

рассмотрение обращений граждан;

регулирование трудовых отношений и иных непосредственно связанных с ними отношений с работниками системы ПФР;

выполнение других задач, возлагаемых на ПФР законодательством Российской Федерации.

Перечень действий с персональными данными

ПФР и его территориальные органы осуществляют сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. Обработка персональных данных осуществляется как с использованием, так и без использования средств автоматизации.

Хранение персональных данных осуществляется в течение срока, определенного законодательством Российской Федерации.

Принципы обработки персональных данных

Обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации и ограничивается достижением конкретных целей, определенных законодательством Российской Федерации в сфере обработки персональных данных.

Обработке подлежат персональные данные, которые отвечают целям их обработки.

Не допускается избыточность обработки персональных данных.

При обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки.

Источники персональных данных

Органам ПФР персональные данные предоставляются в соответствии с законодательством Российской Федерации:

субъектами персональных данных или их представителями;

страхователями (плательщиками страховых взносов) или их представителями;

взаимодействующими с ПФР органами исполнительной власти, кредитными организациями, негосударственными пенсионными фондами, управляющими компаниями, внебюджетными фондами, иностранными компетентными органами в рамках реализации международных договоров (соглашений) Российской Федерации и другими органами и организациями в целях обеспечения пенсионных прав граждан;

Передача персональных данных

Предоставление обрабатываемых персональных данных производится в соответствии с законодательством Российской Федерации органам исполнительной власти, кредитным организациям, негосударственным пенсионным фондам, управляющим компаниям, внебюджетным фондам, иностранным компетентным органам в рамках реализации международных договоров (соглашений) Российской Федерации, судебным органам и другим взаимодействующим организациям.

ПФР осуществляет в соответствии с международными договорами Российской Федерации трансграничную передачу персональных данных субъектов персональных данных, проживающих за ее границей, в целях их пенсионного страхования (обеспечения).

Распространение персональных данных работников системы ПФР производится с их согласия, персональных данных остальных категорий субъектов персональных данных - в соответствии с требованиями законодательства Российской Федерации и международных договоров (соглашений) Российской Федерации.

Состав органов ПФР, осуществляющих обработку персональных данных

Цель и содержание обработки персональных данных определяет ПФР, обработку данных осуществляют органы ПФР:

Исполнительная дирекция ПФР;

Ревизионная комиссия ПФР;

Межрегиональный информационный центр Пенсионного фонда Российской Федерации;

(в ред. расп. от 04.12.2017 N 690р)

отделения ПФР по субъектам Российской Федерации;

подведомственные отделениям территориальные органы ПФР.

Реализуемые требования к защите персональных данных

Реализация требований к защите персональных данных от неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными ПФР осуществляется правовыми, организационными и техническими (программно и аппаратно реализуемыми) мерами.

7.1. Правовые меры:

заключение соглашений об информационном обмене с взаимодействующими организациями и включение в них требований об обеспечении конфиденциальности предоставляемых персональных данных;

издание актов ПФР, рекомендаций и инструкций по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

7.2. Организационные меры:

документальное оформление требований к безопасности обрабатываемых данных;

назначение лица, ответственного за организацию обработки персональных данных;

издание системы нормативных (руководящих) документов по организации защиты данных;

распределение ответственности по вопросам защиты данных между должностными лицами и работниками органов системы ПФР;

установление персональной ответственности работников органов системы ПФР за обеспечение безопасности обрабатываемых данных;

контроль выполнения подразделениями, должностными лицами и работниками органов ПФР требований нормативных документов по защите данных;

своевременное выявление угроз безопасности данных и принятие соответствующих мер защиты;

регламентирование порядка применения средств ввода-вывода данных и контроль его выполнения;

содержание штата специалистов по защите информации, организация системы их профессиональной подготовки и повседневной деятельности;

придание мероприятиям защиты информации характера обязательных элементов производственного процесса ПФР, а требованиям по их исполнению - элементов производственной дисциплины;

доведение до работников ПФР требований по защите данных и обучение их правилам работы в АИС.

7.3. Технические (программно и аппаратно реализуемые) меры:

резервное копирование информационных ресурсов;

применение прикладных программных продуктов, отвечающих требованиям защиты данных;

организация контроля доступа в помещения и здания ПФР, их охрана в нерабочее время;

систематический анализ безопасности данных и совершенствование системы их защиты;

применение технических средств защиты, сертифицированных компетентными государственными органами (организациями) на соответствие требованиям безопасности;

своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;

оптимальная настройка операционной системы и прикладного программного обеспечения вычислительных средств, применяемых для обработки данных;

использование корпоративной информационно-телекоммуникационной сети для обеспечения информационного взаимодействия органов ПФР;

шифрование данных при передаче и хранении (криптографическая защита);

использование электронной подписи;

применение межсетевых защитных (фильтрующих) экранов;

антивирусный мониторинг и детектирование;

мониторинг процессов и действий пользователей наиболее важных аппаратных и информационных ресурсов;

оборудование зданий и помещений системами безопасности (пожарной и охранной сигнализации, пожаротушения, телевизионного наблюдения и т. п.);

хранение парольной и ключевой информации на индивидуальных электронных ключах;

применение средств обнаружения и предотвращения компьютерных атак;

(доп. расп. от 04.12.2017 N 690р)

применение в архитектуре вычислительных систем технологий и средств повышения надежности их функционирования и обеспечения безопасности информации;

применение средств технической укрепленности зданий и помещений;

Автор работы: Пользователь скрыл имя, 03 Марта 2014 в 18:57, курсовая работа

Краткое описание

Целью курсовой работы является изучение мер и способов защиты персональных данных в Пенсионном фонде Российской Федерации.
Предмет курсовой работы – это меры защиты персональных данных, в общем.
К объекту работы относится защита персональных данных на примере Пенсионного фонда Российской Федерации.
К задачам курсовой относятся изучение теоретических и практических аспектов защиты персональных данных в целом и в Пенсионном фонде Российской Федерации
Значение курсовой работы состоит в выявлении эффективности используемых способов защиты персональных данных в ПФР.

Содержание

Введение…………………………………………………………………………………………
3
1 Теоретические аспекты защиты персональных данных……………………………………
5
Основные понятия персональных данных………………………………………………..
5
Защита персональных данных……………………………………………………………..
7
Правовая защита персональных данных……………………………………………….
7
Организационная защита персональных данных…………………………………….
10
Практические аспекты защиты персональных данных в Пенсионном фонде Российской Федерации…………………………………………………………………….
13
Основные сведения о Пенсионном фонде России……………………………………….
13
Защита персональных данных на примере Пенсионного фонда Российской Федерации……………………………………………………………………………….
14
Заключение………………………………………………………………………………………
17
Список использованных источников…………………………………

Вложенные файлы: 1 файл

Курсовая работа Зашита персональных данных в ПФР.doc

2 этап. Выделяется бизнес-процессы, связанные с такими ситуациями.

3 этап. Определяется круг информационных систем и совокупность обрабатываемых персональных данных.

4 этап. Определяются категории персональных данных и предварительная классификация информационных систем.

5 этап. Проводится выработка предложений по снижению категорий обрабатываемых персональных данных.

6 этап. Происходит формирование актуальной модели угроз для каждой информационной системы персональных данных, подготавливается задание по созданию требуемой системы защиты.

7 этап. Проводится уточнение классов информационных систем и подготовка рекомендаций по использованию технических средств защиты персональных данных.

Но также для защиты персональных данных необходимо использовать принципы защиты персональных данных.

Принцип законности. Соблюдение законодательства в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.

Принцип максимальной дружественности и прозрачности. Принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой информационных систем, а также должны быть понятны и оправданы для пользователей.

Принцип превентивности. Меры по защите информации и внедряемые средства защиты информации (СЗИ) должны быть нацелены, прежде всего, на пресечение реализации угроз безопасности информации, а не на устранение последствий их проявления.

Принцип оптимальности и разумной разнородности. Осуществление оптимального выбора соотношения между различными методами и способами противодействия угрозам безопасности информации.

Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть разделены в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности.

Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации информационных систем, роста числа пользователей, изменения степени конфиденциальности и ценности информации.

Принцип доказательности и обязательности контроля. Реализация организационных мер внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

Принцип самозащиты и конфиденциальности самой системы защиты информации.

Принцип многоуровневости и равнопрочности. Реализация защиты информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом).

Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушением правил их использования.

Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования информационных систем.

Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных.

В итоге, можно сказать, что для эффективной защиты персональных данных необходимо, в первую очередь, придерживаться законодательства и нормативных актов Российской Федерации, проходить все этапы создания защиты персональных данных и придерживаться принципов, направленных на защиту персональных данных. А система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями и уменьшению прав, позволяя, в случае любого нарушения, определить круг виновных.

1.2.2 Организационная защита персональных данных

Мероприятия по защите персональных данных делятся на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

- ограничение числа работников, для которых открыт доступ к персональным данным;

- назначение ответственного лица, которое обеспечивает исполнение организацией законодательства;

- утверждение перечня документов, содержащих персональные данные;

- издание внутренних документов по защите персональных данных;

- ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами;

- проведение систематических проверок соответствующих знаний работников, которые обрабатывают персональные данные;

- рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

- утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

- утверждение порядка уничтожения информации;

- выявление и устранение нарушений требований по защите персональных данных;

- проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Меры по внешней защите персональных данных разделяются на:

- введение пропускного режима, порядка приема и учета посетителей;

- внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Законом также не установлены конкретные требования к количеству и содержанию локальных актов, которые принимаются в организации для решения вопросов обработки и защиты персональных данных.

Существует список документов, которые необходимо иметь каждой компании:

общий документ, который определяет политику фирмы в отношении обработки персональных данных;
список лиц, обрабатывающих персональные данные;
приказ о назначении сотрудника, ответственного за организацию обработки персональных данных;
положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В этом документе прописаны меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);
локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Также существуют организационные и технические меры, которые предназначены:

для защиты персональных данных. Список мер:

- утверждение требований к помещению, где хранятся персональные данные. При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных;

- ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

Таким образом, для безопасности доступа к персональным данным, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных. Также необходимо выбрать внешние и внутренние меры для обеспечения безопасности персональных данных.

Презентация была опубликована 8 лет назад пользователемnapf.ru

Презентация на тему: " Защита информации в Пенсионном фонде Российской Федерации Управление по защите информации." — Транскрипт:

1 Защита информации в Пенсионном фонде Российской Федерации Управление по защите информации

2 Содержание презентации Нормативно-правовая база защиты информации в ПФР Задачи, направления и основные мероприятия защиты Архитектура корпоративной сети ПФР Схема защиты корпоративной сети ПФР Информационное взаимодействие ПФР Иерархия органов защиты информации ПФР Структура подразделений по защите информации ПФР

3 Федеральные законы Об информации, информационных технологиях и о защите информации (от 27 июля 2006 года 149-ФЗ) О персональных данных (от 27 июля 2006 года 152-ФЗ) Об электронной цифровой подписи (от 10 января 2002 года 1-ФЗ) Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования (от 1 апреля 1996 года 27-ФЗ) О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений (от 30 апреля 2008 года 56-ФЗ) О страховых взносах в Пенсионной фонд Российской Федерации, ФCC Российской Федерации, Федеральный ФОМС и территориальные ФОМС (от ФЗ)

4 Нормативные акты органов исполнительной власти Положение об обеспечении безопасности персональных данных при их обработке в ИСПД (постановление Правительства Российской Федерации от 17 ноября 2007 года 781) Положения о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами (постановление Правительства Российской Федерации от 29 декабря 2007 года 957) Порядок проведения классификации ИСПД (приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 года 55/86/20) Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (приказ Гостехкомиссии России от 30 августа 2002 года 282) Положение о разработке, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (ПКЗ-2005) (приказ Директора ФСБ от 9 февраля 2005 года 66) Положение о методах и способах защиты информации в информационных системах персональных данных (приказ ФСТЭК России от 05 февраля 2010 г. 58) Методические рекомендации ФСБ России по защите ИСПД ( 149/ от 2008 года)

5 Нормативные акты ПФР Концепция безопасности информации автоматизированной информационной системы ПФР Инструкция по организации защиты информации автоматизированной информационной системы ПФР Инструкция по организации криптографической защиты информации в Пенсионном фонде Российской Федерации Модель угроз безопасности персональных данных при их обработке в информационной системе ПФР Акт классификации информационной системы персональных данных ПФР Положение о порядке работы с документированной информацией конфиденциального характера в системе ПФР Перечень сведений ограниченного доступа, не составляющих государственной тайны Порядок формирования списков лиц, допущенных к сведениям о плательщиках страховых взносов и к персональным данным

6 Задачи защиты информации Сохранение конфиденциальности данных Сохранение целостности данных Обеспечение аутентичности (легитимности) данных Обеспечение доступности данных

7 Направления защиты информации Санкционирование доступа к ресурсам (конфиденциальность, целостность, доступность, аутентичность) Криптографическая защита (конфиденциальность, аутентичность) Защита от вредоносных программ (конфиденциальность, целостность, доступность) Резервное копирование информационных ресурсов (целостность, доступность) Мониторинг состояния ресурсов (анализ эффективности защиты и разработка направлений её совершенствования)

8 Санкционирование доступа к ресурсам Допуск к работе с ресурсами (перечень ресурсов; таблица допуска к ресурсам; списки лиц, допущенных к ПДн и сведениям о ПСВ) Санкция на вход в систему (пароль, загрузка только с НМЖД, минимизация прав пользователя, опечатывание системного блока, доверенная загрузка) Санкция на доступ к сетевым ресурсам (пароль, сертификат) Безопасное хранение аутентифицирующих данных (электронные ключи) Блокирование портов ввода-вывода (программное или механическое)

9 Архитектура Системы персонифицированного учёта (СПУ)

10 Криптографическая защита Шифрование информации, передаваемой по информационно-телекоммуникационным сетям (ViPNet; Верба): абонентское шифрование; канальное шифрование; центр управления ViPNet-сетью. Шифрование хранимой информации (Safe Disk, Secret Disk); Применение электронной цифровой подписи (применение Домен-К, Верба-OW; понимание Крипто-Про, ): Удостоверяющий центр ПФР (ViPNet, Верба); регистрационные центры в отделениях ПФР; доверенные Удостоверяющие центры (ИнфоТеКС Интернет Траст, МО ПНИЭИ, ТУСУР);

11 Общая схема защиты корпоративной ИТС ПФР

12 Защита от вредоносных программ

13 Резервное копирование информационных ресурсов Копирование на съёмные носители (различная периодичность, учёт процедур копирования, комплект носителей; раздельное хранение копий, назначение ответственных, их дублёров); Дублирование ресурсов на уровне вычислительных средств (рассредоточение мест положения средств); Дублирование на уровне функциональных систем ( СПУ на базе серверов iSeries дублируется на уровне отделений системой на базе Intel-серверов); Процедура восстановления ресурса из резервной копии (коллегиальность, документальное оформление)

14 Мониторинг состояния информационных ресурсов Система персонифицированного учёта – комплекс «Астра» Резервная система персонифицированного учёта – комплекс «КонДоР СПУ» Антивирусная защита – центр управления средствами «Лаборатории Касперского» и центр управления средствами «Доктор Веб» Система обнаружения компьютерных атак – специальная система в составе центра анализа и сенсоров в отделениях

16 Основные мероприятия защиты Организационные Разработка системы нормативных документов Определение перечня защищаемых ресурсов Ограничение доступа к ресурсам Персональная ответственность сотрудников за безопасность обрабатываемых данных Профессиональная подготовка специалистов по защите Создание контролируемой зоны и организация пропускного режима Определение порядка информа- ционного взаимодействия Технические Разграничение прав доступа к ресурсам Оборудование зданий и помещений системами безопасности Применение корпоративной информационно- телекоммуникационной сети Защита от вредоносных программ Шифрование (криптозащита) данных Применение ЭЦП Автоматизированный мониторинг состояния ресурсов

17 Информационное взаимодействие ПФР Органы ЗАГС Доверенные УЦ Силовые структуры Трансферагенты Силовые структуры Страхователи Почта России Администрация Президента Доверенные УЦ Федеральная налоговая служба Фонд социального страхования Кредитные учреждения Негосударствен ные пенсионные фонды Уполномоченные органы субъектов РФ Органы ЗАГС Управляющие компании Трансферагенты Управления Федерального казначейства

18 Организационная иерархия защиты информации в ПФР Председатель Правления ПФР Заместитель Председателя Правления ПФР Управление по защите информации Отделение ПФР Управление (отдел) ПФР Управляющий отделением Отдел (группа) по защите информации Начальник Управления (отдела) Администратор защиты информации

19 Концепция безопасности информации АИС ПФР Утверждена постановлением Правления ПФР от 26 июля 2008 года 1п ДСП Концепция определяет: цель и стратегию достижения требуемого уровня безопасности информации АИС ПФР; основные направления достижения безопасности информации; принципы реализации и функционирования системы защиты информации; объекты защиты; меры по обеспечению безопасности информации.

20 Инструкция по организации защиты информации АИС ПФР Утверждена постановлением Правления ПФР от 26 июля 2008 года 1п ДСП) Инструкция определяет: цели и задачи, объекты, мероприятия и методы защиты информации; порядок руководства защитой и органы защиты информации; задачи подразделений ИД ПФР и отделений ПФР, обязанности должностных лиц по организации защиты информации; основные обязанности пользователя; классификацию ресурсов и особенности их защиты; задачи и мероприятия и средства защиты от НСД; организацию защиты от вредоносных программ; порядок авторизации пользователей; порядок применения машинных носителей информации; порядок копирования информационных ресурсов; требования к прикладным программным продуктам; формы документов.

21 Инструкция по организации криптозащиты в ПФР Утверждена постановлением Правления ПФР от 16 октября 2008 года 2п ДСП Определяет: организацию и обеспечение безопасности обработки информации с использованием криптосредств; порядок обращения с криптосредствами и криптоключами к ним; мероприятия при компрометации криптоключей; порядок обеспечения безопасности информации с использованием криптосредств при взаимодействии со сторонними организациями и передаче по каналам связи; размещение, оборудование, охрана и организация режима специальных помещений; формы документов.

22 Модель угроз безопасности ПДн при их обработке в АИС ПФР Утверждена Председателем Правления ПФР Согласована с ФСТЭК России Определяет для персональных данных: перечень угроз безопасности; возможные последствия нарушения безопасности; объекты угроз (основные ресурсы, содержащие ПДн, перечень информации способствующей доступу к ПДн); основные формы реализации угроз каждой из характеристик безопасности ПДн в АИС ПФР; модель нарушителя безопасности; перечень актуальных угроз безопасности.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Черсков Д. А., Зауголков И. А.

Работа посвящена разработке мер по защите информации ограниченного доступа в Пенсионном фонде РФ от угроз , направленных на нарушение конфиденциальности, целостности информации и отказ в обслуживании.

Текст научной работы на тему «Обеспечение защиты информации ограниченного доступа в районном отделении пенсионного фонда»

налов, которые в любой момент времени хотят быть в курсе того, что происходит. Тем не менее, потребители получают потрясающую утилиту, которая позаботится обо всем, даже о создании разных версий измененных файлов.

Утилита Back2zip отличается невероятно быстрой установкой. Сразу же после установки Back2zip сама создает новое задание для резервного копирования, предположив, что самые важные файлы вы храните в папке «Мои документы». Кроме этого, программа создает папку MyBackup на диске, отличном от используемого, и тут же начинает копировать в нее содержимое директории «Мои документы».

Утилита Comodo BackUp столь функциональна, что может достойно конкурировать со многими коммерческими аналогами. Пользователь получает возможность создавать разные задания для резервного копирования, отдельно настраивать каждое из них, запускать в ручном или автоматическом режимах.

Резервная копия базы данных состоит из файла базы данных (файл с расширением BKP) и всех ^-файлов, требуемых для приведения BKP-файла к согласованному состоянию во время резервирования. Вне зависимости от типа выполняемого резервного копирования резервируемые данные должны быть неповрежденными [5].

В ходе выполнения данной работы было раскрыто содержание понятия «резервирования данных», были описаны основные методы резервирования, схемы ротации носителей резервных копий, а также были рассмотрены и описаны возможностей программно-

го обеспечения представленного сегодня на рынке программного обеспечения

1. Внедрение систем резервного копирования [Электронный ресурс]. URL: http://www.glo-balit.ru

2. Резервного копирования (часть 1) [Электронный ресурс]. URL: http://storusint.com

3. Функции Windows 7. Apхивация и восстановление [Электронный ресурс]. URL: http:// windows.microsoft.com

4. Справка по семейству продуктов Acronis [Электронный ресурс]. URL: http://www.acronis.ru

5. Стратегии резервного копирования и восстановления баз данных SQLBase [электронный ресурс]. URL: http://www.interface.ru

6. Зуев М.С., Баранов n.A. Шифрование данных. Aлгоpитм ГОСТ 28147-89: учеб. пособие [Электронный ресурс] // Федеральный депозитарий электронных изданий. Регистрационное свидетельство № 19565 от 14 июля 2010 г. № гос. регистрации 0321001202

7. Медведева О.Н., Зуев М.С. Электронное учебное пособие «Информатика для англоязычных студентов» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научнопрактической конференции Anfflffr. С. 67-69.

8. Зуев М.С., Пелихосов A.A. Электронное учебное пособие «Разработка защищенного web-приложения на основе технологии AJAX» // Гаудеамус. Тамбов, 2011. № 2(18). Материалы XV международной научно-практической конференции AnfflffT С. 37-38.

9. Хребтов Р.И., Зуев М.С. Разработка web-приложения, использующего защищенные базы данных // Гаудеамус. 2011. № 2(18). Материалы XV международной научно-практической конференции AnfflffT С. 148-149.

ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА В РАЙОННОМ ОТДЕЛЕНИИ ПЕНСИОННОГО ФОНДА

Д.А. Черсков, И.А. Зауголков

Работа посвящена разработке мер по защите информации ограниченного доступа в Пенсионном фонде РФ от угроз, направленных на нарушение конфиденциальности, целостности информации и отказ в обслуживании.

Ключевые слова: уязвимость, угроза, расчет рисков, объект защиты, ограниченный доступ.

Усиление зависимости общества от ин- мен информацией с использованием сетей

формационных технологий, интенсификация международного информационного обмена

информационных процессов, свободный об- создает дополнительные угрозы для нанесе-

Психолого-педагогический журнал Гаудеамус, №2 (20), 2012

ния вреда обществу. Одной из наиболее острых проблем указанного плана выступает проблема надежной защиты информационных систем и информации. Целью исследования является разработка мер защиты информации ограниченного доступа в Управлении Пенсионным фондом РФ в г. Моршан-ске и Моршанском районе в соответствии с законодательством.

Для реализации поставленной цели необходимо выполнить следующие задачи:

- провести исследования информационной системы;

- проанализировать информационные процессы, методы и средства защиты информации на предприятии;

- разработать модели объекта защиты, угроз безопасности информации;

- произвести анализ возможных каналов утечки информации;

- разработать предложения по созданию комплексной системы информационной безопасности, обеспечивающей устойчивое и безопасное функционирование в условиях реального множества воздействий;

- разработать пакет основных организационно-распорядительных документов, регламентирующих деятельность различных подразделений и категорий сотрудников по вопросам обеспечения информационной безопасности.

В ходе проведения работы было выполнено:

1. Проанализированы информационные системы предприятия.

2. Классифицирована информация на ресурсах по степени конфиденциальности.

3. Выявлено 5 категорий автоматизированных рабочих мест, проанализированы права доступа для работы с конфиденциальной информацией.

4. Рассмотрены действующие системы защиты ресурсов и информации на предприятии от возможных угроз.

5. Проведено моделирование возможных угроз и уязвимостей на информационные ресурсы.

6. Произведен расчет рисков по угрозе конфиденциальности, целостности, отказе в обслуживании ресурсов по отделам, при этом были определены критичности ресурсов, критичности угроз, вероятности уязвимостей.

Выявлены следующие угрозы и уязвимости:

1. Угроза конфиденциальности:

- Уязвимость 1 - отсутствие регламента доступа в помещения с ресурсами, содержащими ценную информацию;

- Уязвимость 2 - существующая система видеонаблюдения охватывает не все важные объект;

- Уязвимость 3 - отсутствие контроля за персоналом, обслуживающим ресурсы с ценной информацией.

2. Угроза целостности:

- Уязвимость 1 - отсутствие авторизации для внесения изменений в систему электронной почты;

- Уязвимость 2 - отсутствие регламента работы с системой криптографической защиты электронной корреспонденции;

- Уязвимость 3 - не используется опломбирование системных блоков.

3. Угроза отказа в обслуживании:

- Уязвимость 1 - не производится техническое обслуживание носителей данных;

- Уязвимость 2 - несоблюдение условий эксплуатации оборудования;

- Уязвимость 3 - не производится своевременная замена оборудования.

4. Угроза ресурсов по отделам:

- Уязвимость 1 - отсутствие системы замещения кадров при нетрудоспособности сотрудника;

- Уязвимость 2 - отсутствуют необходимые проверки сотрудников при приеме на работу (на предмет психологических отклонений).

Для расчета рисков использовались следующие формулы:

СТк = 1 - П (1 - Тк,) -

уровень угрозы по

всем уязвимостям, через которые реализуется данная угроза;

СТЬЯ = 1 - П (1 - СТЬ) 1 - общий уровень

угроз на ресурс;

В результате всех расчетов была получена сумма, составляющая 970140 руб. Данные показатели являются средними, что говорит об эффективности средств защиты информации в организации.

Далее проведено моделирование объекта защиты, злоумышленника, путей его про-

никновения, проанализированы технические каналы утечки информации, возможные угрозы, уязвимости, через которые они могут быть реализованы, а также вред, который они могут нанести информации ограниченного доступа.

Проанализировав все полученные данные, можно сделать вывод, что информация ограниченного доступа в «Управления Пенсионным фондом РФ в г. Моршанске и Моршанском районе» имеет средний уровень исходной защищенности, следовательно, необходимо предусмотреть дополнительную защиту, направленную на обеспечении информации ограниченного доступа.

Предложенные организационные, инженерно-технические и программно-аппаратные меры и средства по защите информации ограниченного доступа в Управлении Пенсионным фондом РФ в г. Моршанске и Моршан-ском районе существенно снижают риски утечки конфиденциальной информации в результате реализации угроз. Были разработаны:

- инструкция о порядке действий в нештатных ситуациях,

- инструкция по организации антивирусной защиты,

- инструкция по организации парольной защиты,

- должностная инструкция администратора информационной безопасности.

Для блокирования технических каналов утечки предложено применять портативный широкополосный генератор радиошума «Норд», сетевой генератор шума Соната -РС1, средство защиты информации от несанкционированного доступа «Dallas Lock 7.7», антивирус Касперского 8.0 для Windows Servers Enterprise Edition и сейф Valberg бастион 50 EL.

Предложенные средства отвечают всем критериям качества, а также имеют необходимые сертификаты. Поэтому их использование в организации крайне необходимо для ее стабильного функционирования.

1. О персональных данных: федер. закон от 27.07.2006 № 152-ФЗ (ред. от 25.07.2011) [Электронный ресурс]. URL: http://www.consultant.ru

КОМПЛЕКСНОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В работе приведен анализ существующей информационной системы персональных данных на машиностроительном предприятии и разработан комплекс мер по ее совершенствованию.

Ключевые слова: конфиденциальная информация, несанкционированный доступ, средства защиты информации.

В наше время средства несанкционированного доступа к информации получили широкое распространение. И поэтому каждое предприятие, имеющее конфиденциальную информацию, должно предпринимать серьезные меры для сохранения конфиденциальности информации, так как попадание такой информации в руки злоумышленника может привести к негативным последствиям для предприятия. Своевременный анализ системы безопасности может существенно сократить риск воздействия на информацию со стороны злоумышленника и некомпетентных сотрудников, а также от факторов, по тем или иным причинам не зависящим от человека [1].

Конфиденциальная информация формируется организацией в процессе всего периода ее функционирования на рынке. Она касается деятельности организации, ее клиентов, деловых партнеров, конкурентов, контактных аудиторий. Порядок сбора, накопления и хранения информации о собственной деятельности определяется требованиями внутри организации и должен быть зафиксирован в соответствующих внутренних регламентах (инструкциях, положениях и т.п.).

Для обеспечения информационной безопасности в организации разрабатывается и реализуется система защиты информации (СЗИ). Создание СЗИ является одной из ос-

Читайте также: