|
|
Обзор
Рынок ИТ: итоги 2008Компания «Инфорион» разработала технический проект системы обеспечения информационной безопасности (СОИБ) одной из центральных систем OSS/BSS крупного оператора связи. Частью системы обеспечения информационной безопасности является система защиты персональных данных (СЗПДн), разработанная в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и иных нормативно-правовых актов в сфере защиты субъектов персональных данных.
Проект выполнен в интересах одной из крупнейших телекоммуникационных компаний России, ведущего оператора фиксированной связи в масштабах федерального округа с населением 13,5 млн. человек. Уровень цифровизации местной сети – 61,5%. Монтированная емкость оборудования широкополосного доступа превышает 500 тыс. хDSL-портов. В компании работает более 22 тысяч сотрудников.
Внедрение в ИТ-инфраструктуре телекоммуникационной компании новой системы OSS/BSS, ориентированной на повышение качества обслуживания абонентов и автоматизацию целого ряда важнейших бизнес-процессов, потребовало уделить должное внимание вопросам обеспечения информационной безопасности, поскольку система заняла одну из ключевых позиций в производственной деятельности компании. Дополнительным фактором риска явилось наличие во вновь создаваемой информационной системе значительного объема персональных данных, необходимость защиты которых явно указана в действующем законодательстве. Таким образом, при выполнении проекта решались две важнейшие задачи: обеспечение информационной безопасности (конфиденциальности, целостности, доступности) информационной системы и дополнительная защита обрабатываемых в ней персональных данных в рамках выполнения требований действующего законодательства.
Помимо значительного масштаба объекта защиты (большое количество разнообразного сложного оборудования и приложений, несколько сотен пользователей, наличие удаленных технологических площадок, значительная сетевая инфраструктура) важное значение с точки зрения проектирования системы безопасности играло то обстоятельство, что в системе планировалось обрабатывать персональные данные (ПДн). Эта особенность и задала основной вектор проектирования СОИБ, который был сформулирован следующим образом: ввиду наличия требований к обеспечению информационной безопасности (ИБ) системы в целом и требований к защите ПДн в составе СОИБ разрабатывается система защиты персональных данных (СЗПДн). При этом, разумеется, соблюдаются все требования законодательства по защите ПДн.
Для выполнения работ была создана рабочая группа, состоящая из представителей компании-заказчика, компании-головного исполнителя работ по защищаемой системе и компании-интегратора в области информационной безопасности.
В период проектирования СОИБ защищаемая система находилась в стадии разработки. Это обстоятельство отразилось на ходе проекта и выразилось в сложности получения необходимого объема исходных данных, поскольку следствием нахождения информационной системы в стадии «активная разработка» явилась низкая степень документированности архитектуры и технических решений, постоянные пересогласования вариантов интеграции составных частей, отсутствие ясности в организационных вопросах и тому подобные факторы, влияющие в конечном итоге на качество выполнения работ по защите информации. Для минимизации рисков, сопровождающих подобную ситуацию, было введено т.н. «запаздывающее» планирование работ по направлению ИБ, когда проектирование СОИБ выполнялось с некоторой задержкой (2-3 недели) относительно разработки самого объекта защиты. Кроме того, проектировщики СОИБ буквально «погрузились» в техпроект защищаемой системы, для чего потребовалось привлечь группу самых высококвалифицированных экспертов, обладающих необходимыми знаниями в ИТ-сфере, а так же уделить особое внимание координации работ и взаимодействию с целым рядом рабочих коллективов, занятых в создании ИС (в том числе в рамках нескольких независимых компаний).
В конечном итоге приложенные на начальной стадии работ усилия по сбору исходных данных позволили в заданные сроки осуществить разработку необходимых технических решений и организационных мер по защите информации.
Создание СЗПДн, пусть и в рамках более масштабной СОИБ, требовало соблюдения всех установок, заложенных в федеральное законодательство и методические документы регуляторов. Для того, чтобы адекватно реализовывать такие установки именно там, где это необходимо, потребовалось произвести уточнение границ объекта защиты. На основе определения, приведенного в Федеральном законе № 152-ФЗ «О персональных данных» были четко выделены и зафиксированы те элементы защищаемой ИС, которые образуют информационную систему персональных данных (ИСПДн). Как и следовало ожидать, границы ИСПДн не совпали с границами ИС в целом. Это обстоятельство позволило отказаться от некоторых избыточных технических решений, поскольку необходимость обеспечивать выполнение требований по защите ПДн в масштабах всей ИС сменилась необходимостью реализовать эти требования только в рамках ИСПДн как ее составной части. Дальнейшее проектирование СОИБ велось с учетом наличия в ней СЗПДн, а так же принципа «СОИБ – для защиты ИС в целом, СЗПДн – для защиты ИСПДн, сформированной в составе ИС».
Важный вопрос, который потребовалось решить совместно с оператором – установление необходимости обработки ПДн и определение их перечня. В рамках проектируемой СОИБ/СЗПДн необходимость обработки персональных данных продиктована как технологией обслуживания клиентов, так и положениями федерального закона № 126-ФЗ «О связи», устанавливающего возможность обработки телекоммуникационной компанией информации об абонентах. Положения статьи 53 упомянутого закона легли в основу перечня персональных данных, обрабатываемых в защищаемой ИСПДн, зафиксировавшего состав ПДн и правовые основания для их обработки.
Во главу угла при выполнении работ по защите ПДн ставится классификация ИСПДн. Разумеется, при создании СОИБ, имеющей в своем составе СЗПДн, это мероприятие в отношении последней имеет статус обязательного. Группа проектирования совместно со специалистами заказчика пришла к выводу, что защищаемая ИСПДн является специальной, поскольку в ней вне зависимости от необходимости обеспечения конфиденциальности ПДн требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности. Составленная в соответствии с методическими документами ФСТЭК частная модель угроз безопасности ПДн позволила, во-первых, адекватно определить класс системы и, во-вторых, выделить именно те угрозы, которые являются актуальными и от которых следует защищаться.
Собственно техническое проектирование СОИБ/СЗПДн проведено в классическом, хорошо зарекомендовавшем себя стиле, на основе выбора оптимальных вариантов реализации тех или иных подсистем (сервисов) информационной безопасности. Проблем с выбором сертифицированных СЗИ, отвечающих перечню актуальных угроз ПДн, так же не возникло: на рынке представлено достаточно большое число решений, и проектировщикам осталось подобрать наиболее подходящее по требованиям и условиям применения.
Особенностью рассматриваемого примера явилась разработка двух групп технических решений по обеспечению ИБ. Первая группа решений ориентировалась на защиту центрального ядра системы и головного филиала оператора, вторая – на защиту типового регионального филиала (их в структуре бизнеса насчитывается девять).
Знание существующей у заказчика системы мер по защите информации позволило использовать уже имеющиеся СЗИ и нормативные документы во вновь создаваемой системе обеспечения безопасности и тем самым снизить конечную стоимость СОИБ и длительность ее разработки, а так же избежать излишних трудностей для оператора при внедрении новых, ранее не использовавшихся СЗИ.
Важное место в проекте отведено организационным мерам, для чего были разработаны необходимые нормативные документы. Поскольку система защиты создавалась не в «чистом поле», важным моментом явилась гармоничная интеграция вновь разрабатываемых документов в существующую нормативную базу заказчика. Подробная информация об имеющихся в организации документах в области защиты информации не только обеспечила построение целостной взаимодополняющей нормативной базы, но и позволила использовать существующие положения при подготовке новых документов по защите информации, включая ПДн. Разумеется, особенности выполнения проекта, связанные с «инкапсуляцией» СЗПДн в СОИБ, внесли свой вклад в нормативную составляющую: помимо документов, обязательных к разработке и определенных требованиями ФСТЭК, были подготовлены дополнительные руководства, например – частная политика ИБ защищаемой системы.
В ходе выполнения работ подготовлен законченный технический проект системы обеспечения информационной безопасности с входящей в ее состав системой защиты персональных данных. Помимо документов технического уровня разработана необходимая нормативная база, включающая положения, регламенты и инструкции, ориентированные на обеспечение информационной безопасности и защиту персональных данных. Разработана частная модель угроз безопасности ПДн, а информационной системе персональных данных присвоен соответствующий класс. Кроме того, в состав технического проекта включены предложения по модернизации ИТ-инфраструктуры заказчика. Технический проект СОИБ/СЗПДн прошел экспертизу в организации, аккредитованной ФСТЭК в качестве аттестационного центра и получил положительное заключение о возможности проведения аттестации объекта информатизации по требованиям безопасности информации. Таким образом, проекту системы дан «зеленый свет» к реализации и запуску в коммерческую эксплуатацию.
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP