Сергей Терехов – Защита персональных данных курс лекций (страница 7)
Внешний нарушитель № 1, разъезжает по населенному пункту мимо промышленных, торговых и иных зданий, пытаясь с помощью мобильного компьютера подключиться по беспроводному доступу к информационным системам. Воздействуя на уязвимости № 1 и № 2 реализует угрозу и копирует базу данных с нарушением конфиденциальности для последующего анализа в спокойной обстановке в тиши своего кабинета.
Внешний нарушитель № 2 для закрепления изученного материала (не отдавая отчет о наличие закона, запрещающего подобные действия) сканирует с помощью сетевого сканера диапазон IP адресов, обнаруживает «живой» сервер предприятия, эксплуатируя уязвимость № 3. Желая пошутить, удаляет полностью или частично базу данных – нарушение доступности, воздействуя на уязвимость № 1.
Не вдаваясь подробно в методики оценки рисков (см., например, документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»), сконцентрируем внимание на угрозе воздействия студента и отнесем риск нарушения доступности к высокому риску. Возможный ущерб от данной угрозы складывается из:
Потери времени работников бухгалтерии на восстановление информации вручную;
Задержки выплаты заработной платы – это негативные последствия для работников предприятия. Особо недовольные сотрудники могут подать в суд и потребовать моральной компенсации, мотивируя это сильными душевными переживаниями.
Привлечения внимание Роскомнадзора (вследствие предыдущего пункта), который организует внеплановую выездную проверку выполнения требований Федерального закона «О персональных данных» и наложит административное или уголовное наказание на руководителя предприятия.
Еще большие потери для предприятия могут быть понесены от действий внешнего нарушителя № 1.
1.11.5.
Контрмеры
Руководство предприятия, внимательно ознакомившись с оценкой рисков данного примера, вряд ли примет решение о принятие их, что означает не предпринимать никаких защитных мер. Сомнительно, чтобы страховая компания заключила договор о страховании в столь невыгодной для нее ситуации, поэтому перенести риск тоже не удастся. Можно, конечно, убрать риск, прекратив автоматизированную обработку персональных данных, и вернувшись к ручному расчету зарплаты!
Вероятнее всего здравомыслящий руководитель даст указание о мероприятиях, которые должны либо полностью удалить уязвимости, либо снизить их влияние на риски.
Возможные варианты мероприятий в порядке предпочтения перечислены ниже:
Разграничить правила доступа к общему ресурсу таким образом, чтобы пользователи информационной системы имели минимальные права доступа, но достаточные для выполнения обязанностей. В простейшем случае это реализуется штатными средствами операционной системы, основанной на парольной аутентификации. Доступ других сотрудников предприятия и внешних нарушителей будет отвергнут операционной системой на этапах идентификации и аутентификации.
Включить шифрование трафика и процедуру аутентификации между компьютером сотрудника отдела сбыта и точкой доступа. Это позволит исключить несанкционированный доступ нарушителя № 1 в сеть предприятия.
Настроить маршрутизатор таким образом, чтобы только пакеты протокола удаленного доступа к рабочему столу (RDP) перенаправлялись из Интернет на файловый сервер, и установить усложненный пароль удаленного доступа для сотрудника из сопровождающей фирмы.
Установить программы автоматического регулярного создания архивов, обрабатываемых данных и восстановления данных из архивов после инцидентов информационной безопасности.
Тщательно подбирать персонал и исключать возможность неоправданной мотивации сотрудников к противоправным действиям в отношении предприятия.
Предложенные здесь контрмеры, конечно, не являются исчерпывающими. Их цель продемонстрировать, что незначительные усилия могут снизить (или совсем исключить) некоторые уязвимости и, в конечном счете, уменьшить риск.
1.12.
Заключение
В лекции рассмотрены основные понятия информационной безопасности, приведены иллюстративные и практические примеры их применения. Защита персональных данных не выбивается из общего контекста информационной безопасности, хотя и обладает некоторой спецификой. Этой отличительной чертой является обязательность защиты для практически каждого предприятия. Общих знаний по информационной безопасности, изложенных в этой лекции, должно быть достаточно для адекватного понимания как Федерального закона «О персональных данных», так и для Постановлений правительства РФ, уточняющих и детализирующих статьи закона.
1.13.
Вопросы для самопроверки
Инспектор отдела кадров повторно получила приказ по предприятию от забывчивого секретаря о наложении взыскания на нерадивого администратора безопасности. Является ли приказ
Нет, инспектор уже занес запись о взыскании в трудовую книжку администратора безопасности;
Нет, приказ не может быть информацией;
Да, информация – это любые сведения, независимо от их интерпретации получателем.
Вы купили справочник абонентов телефонной компании. Являетесь ли Вы обладателем персональных данных абонентов, перечисленных в справочнике:
Нет, между мной и субъектом персональных данных не заключен договор, предусматривающей мое право на разрешение или ограничение доступа к его персональным данным;
Да, я законно приобрел справочник в магазине;
Затрудняюсь ответить, не хватает знаний.
Системный администратор (или администратор безопасности) установил для учетной записи главного бухгалтера по его просьбе пустой пароль. Уменьшился ли уровень безопасности данных, к которым имеет доступ главный бухгалтер:
Нет, никто не знает имени учетной записи главного бухгалтера, кроме него самого;
Нет, потому что никто кроме главного бухгалтера не знает, где хранятся его данные;
Да, имя учетных данных нетрудно узнать, так как они не скрыты от любых пользователей компьютера и не требуется подтверждение (аутентификация) подлинности пользователя в процессе входа в операционную систему.
Системный администратор установил для пользователя сложный 18 символьный пароль, содержащий бессмысленный набор символов, состоящий из больших и малых алфавитно-цифровых, служебных символов со сменой раскладки клавиатуры с русской на латинскую, например, ваJtl##;jkjллолоEt&. Теперь сисадмин уверен в высокой безопасности информационной системы. Так ли это?
Да, потребуется колоссальное время (несколько лет или десятков лет) для подбора такого пароля даже специализированными программами, скорость подбора которых несколько миллионов вариантов паролей в сек.;
Нет, напротив. Обычный пользователь будет вынужден записать этот пароль и хранить «под рукой», следовательно, высока вероятность обнаружения его нарушителем.
Придумайте пример, когда требуется обеспечить только конфиденциальность информации, а остальные характеристики безопасности будут не важны.
Приведите пример однопользовательской информационной системы без разграничения прав доступа к информации.
Вас пригласил руководитель малого предприятия для консультации. Он объяснил, что в информационных системах его предприятия обрабатывается только общедоступная информация. Он уверен, что ему по этой причине не требуется обеспечивать защиту информации. Прав ли он:
Конечно, да. К общедоступной информации доступ не ограничен, поэтому не требуется никакой защиты данной информации;
Нет. Общедоступность снимает необходимость обеспечивать конфиденциальность информации, другие характеристики безопасности (целостность и доступность) по-прежнему требуют защиты.
Специалисты предприятия оценили стоимость информационных активов в 10000 рублей. Руководитель предприятия поручил системному администратору выбрать средства защиты информационных активов. Системный администратор принес смету работ по защите информации, общая стоимость которых составляет 90000 руб. Вам поручили проверить правильность расчетов системного администратора:
Вы проверили цены средств защиты и установили, что стоимость работ может быть снижена до 70000 руб., о чем и проинформировали руководителя; Вы установили, что некоторое средство защиты недостаточно функционально и посоветовали поменять его на другое средство защиты
Вы не стали анализировать предложения системного администратора и сразу вынесли вердикт о его ошибке. Какая это ошибка?
Руководитель предприятия, осознав чрезвычайную важность информационной безопасности, предложил Вам выявить все уязвимости в информационной системе и разработать такую систему защиты, чтобы она обеспечила 100% безопасность и после ее внедрения не было бы необходимости в дополнительных расходах на защиту. Вы ему ответили, что:
Готовы взяться за создание проекта по защите информации и стоимость его сообщите после предпроектного исследования информационной системы;
Готовы обеспечить 100 % безопасность, но со временем потребуются дополнительные вложения для нейтрализации новых уязвимостей;
Не можете обеспечить 100 % безопасность, остальные условия выполните.
Откажетесь от создания проекта на таких условиях. Почему?
Что такое контрмеры:
Это меры, предпринятые для устранения возможности неконтролируемого пребывания посторонних лиц при обработке информации;