Учебный проект Защита информации
Содержание |
Предмет
Информатика
Класс
10
Тема
Защита информации
I. Шифрование.'==Шифрование данных. Методы шифрования=='
Шифрование данных-это наиболее надежный способ защиты файлов. Шифрованием именуют хоть какой способ преломления текста при помощи специального метода, с тем чтоб начальное сообщение могли осознать лишь те люди, которые знают данный способ шифрования (практически ключ (key) к шифру). Применяемый метод может быть совсем прост, к примеру подмена одной буковки иной, которая отстоит от нее в алфавите на три позиции, но можно применять и очень сложные способы. Обычно, в цифровой связи употребляют сложные способы, так как вычислительная мощность компа дозволяет применить очень сложные методы даже к обычному тексту.
Кодирование и шифрование в равной мере применимы для того, чтоб предупредить чтение текста без особых средств. Все же, это совсем различные понятия.
МЕТОДЫ ШИФРОВАНИЯ
симметричные классические методы с секретным ключом, в которых для зашифровки и дешифрации требуется предъявление одного и того же ключа (пароля);При симметричном шифровании для шифрования и дешифрования обычного текста применяет один и этот же метод. Симметричное шифрование потрясающе работает, если файлы употребляет один юзер, и лишь он знает метод шифрования. Если же файл вместе употребляют несколько человек, надежность симметричного шифрования становится проблематической, так как они все должны знать один и этот же ключ. Шифрование трафика, центр сертификации ключей, шифрование данных.
асимметричные методы с открытым ключом, в которых для зашифровки и дешифрации требуется предъявление двух различных ключей (один объявляется секретным (приватным), а второй — открытым (публичным)), причем пара ключей всегда такова, что по публичному невозможно восстановить приватный, и ни один из них не подходит для решения обратной задачи.
Шифрование производится путем выполнения некоторой математической (или логической) операции (серии операций) над каждым блоком битов исходных данных (так называемая криптографическая обработка). Применяются также методы рассеивания информации, например обыкновенное разделение данных на нетривиально собираемые части, или стеганография, при которой исходные открытые данные размещаются определенным алгоритмом в массиве случайных данных, как бы растворяясь в нем. От произвольной трансформации данных шифрование отличается тем, что выполняемое им преобразование всегда обратимо при наличии симметричного или асимметричного ключа дешифрации.
Идентификация подлинности и контроль целостности основываются на том, что дешифрация данных с определенным ключом возможна только в случае, если они были зашифрованы с соответствующим (тем же или парным) ключом и не подверглись изменению в зашифрованном виде. Таким образом, если в случае симметричного метода обеспечена секретность (уникальность) двух копий одного ключа, а в случае асимметричного метода — секретность (уникальность) одного из пары ключей, успех операции дешифрации данных гарантирует их подлинность и целостность (разумеется, при условии надежности используемого метода и чистоты его программной или аппаратной реализации).
Шифрование — наиболее общий и надежный, при достаточном качестве программной или аппаратной системы, способ защиты информации, обеспечивающий практически все его аспекты, включая разграничение прав доступа и идентификацию подлинности («электронную подпись»). Однако существуют два обстоятельства, которые необходимо учитывать при использовании программных средств, реализующих данное направление. Во-первых, любое зашифрованное сообщение в принципе всегда может быть расшифровано (хотя время, затрачиваемое на это, подчас делает результат расшифровки практически бесполезным). Во-вторых, перед непосредственной обработкой информации и выдачей ее пользователю производится расшифровка — при этом информация становится открытой для перехвата.
С точки зрения качества защиты информации шифрование можно условно разделить на «сильное», или «абсолютное», практически не вскрываемое без знания пароля, и «слабое», затрудняющее доступ к данным, но практически (при использовании современных ЭВМ) вскрываемое тем или иным способом за реальное время без знания исходного пароля. Источник
Программы для шифрования данных
II. Защита от вирусов
TRUE CRYPT - ПРОГРАММА ДЛЯ ШИФРОВАНИЯ ДАННЫХ
Официальный сайт программы: http://www.truecrypt.org Последняя версия TrueCrypt (2009-11-23): 6.3a Вес установочного файла: 3.2 MB Статус: freeware TrueCrypt – одна из лучших программ для шифрования данных, обладающая теми возможностями, которые сохранят ваши данные в секрете и защитят их от воровства. Распространяется по принципу Open Source, т. е. всем желающим доступен ее исходный код. Поддерживает 11 алгоритмов шифрования данных в защищенном паролем томе. Вы можете хранить секретные данные в файле (контейнере) или на целом разделе диска, а также на flash-карте, дискете и других съемных устройствах хранения данных. True Type предлагает мощнейшую защиту зашифрованных данных: система двойных паролей, стирание следов шифрования, включая следы работы с мышью и нажатий кнопок клавиатуры, и, наконец, обеспечение двух уровней правдоподобного отрицания наличия зашифрованных данных. То есть, во-первых, с помощью "Мастера создания томов TrueCrypt" после обычного зашифрованного тома вы можете создать так называемый скрытый том (стеганография), который создается внутри обычного. Доступ к такому тому может получить только тот, кто знает о его существовании. То есть, даже если злоумышленники узнают пароль к вашему обычному тому, то все равно они не смогут получить доступ к данным в скрытом томе. Во-вторых, ни один том TrueCrypt не может быть идентифицирован (тома TrueCrypt невозможно отличить от набора случайных данных, то есть файл нельзя связать с TrueCrypt как с программой, его создавшей). Смонтированный с помощью "Мастера создания томов TrueCrypt" том TrueCrypt подобен обычному логическому диску, поэтому с ним можно работать с помощью обычных утилит проверки и дефрагментации файловой системы. Для доступа к зашифрованным данным можно применять пароль в виде ключевой фразы, ключевого файла (случайно сгенерированного пароля, который хранится в файле) или их комбинации. Кроме простого хранения секретных файлов в защищенном контейнере, можно установить в него почтовый клиент, ICQ и другие программы. В результате вся ваша секретная переписка остается на защищенном томе. Хотя интерфейс программы нельзя назвать интуитивно понятным (однако "Мастер создания томов TrueCrypt" все же дает необходимые пояснения), возможность программы шифрования на лету и бесплатное распространение безо всяких условий делает True Type весьма привлекательным продуктом. Основные возможности программы На сайте программы можно скачать языковый пакет для перевода интерфейса на русский язык. Русская локализация находится по адресу: http://www.truecrypt.org/localizations.php. Чтобы русифицировать программу, сначала установите её. Для установки программы запустите TrueCrypt Setup.exe, в появившемся окне нажмите кнопку Install. В конце установки вам будет предложено открыть инструкцию для начинающего пользователя TrueCrypt (на английском языке) в интернете. Можете почитать её позже. ВАЖНО! Не запускайте программу сразу после её установки. Сначала её нужно русифицировать. Для этого извлеките из архива и скопируйте языковой файл (Language.ru.xml) в каталог программы True Crypt (обычно это папка C:\Program Files\TrueCrypt\). Всё, теперь интерфейс программы будет на русском языке. Можете запустить TrueType из меню Пуск или с помощью ярлычка на Рабочем столе и ознакомиться с ней.
Программу TrueCrypt можно скачать по адресу (официальный сайт) http://www.truecrypt.org/downloads
→ смотрите по теме в разделе "статьи":
Безопасность в Интернете - Информационная Гигиена
→ в раздел Программы Интерфейс программ для шифрования данных, в основном, довольно прост. В программе можно найти несколько алгоритмов шифрования, различные настройки, а также некоторые углубленные функции, такие, как ввод пароля на экранной клавиатуре (для защиты от кейлоггеров), создание зашифрованных архивов и генерацию паролей. В наборе есть не только программы для шифрования файлов, но и специальные утилиты для хранения текстовых данных вводимых вами. В таких программах очень удобно хранить логины, пароли и другую конфиденциальную информацию. Некоторые утилиты из этого набора направлены на установку пароля на папки, и работают немного подругому. Они не создают зашифрованные хранилища, а лишь блокируют доступ к папке. Эти папки остаются видны в файловом менеджере, но при попытке их открытия выпадает запрос на ввод пароля. Описание Crypt4Free
Crypt4Free - бесплатная утилита, которая позволяет зашифровывать любые файлы на любых носителях. Для этого в программе имеются два алгоритма - Blowfish ( с 448 битным ключом) и DESX (со 128 битным ключом).
Обращаться с Crypt4Free довольно просто - достаточно задать пароль перед шифрованием файла и нажать кнопку "Start". Причём, пароль можно как придумать самому, так и сгенерировать автоматически, а для дополнительной защиты от кейлоггеров вводить его можно с помощью виртуальной клавиатуры.
Одновременно с шифрованием Crypt4Free может упаковывать файлы в zip-архивы, которые при необходимости возможно в один клик отправлять по электронной почте. Кроме того, программа может работать в тесной интеграции с почтовым клиентом и отправлять текстовые сообщения в зашифрованном виде.
Также в Crypt4Free имеется механизм безвозвратного стирания важных файлов ("Quick Wipe"), после применения которого они уже не подлежат восстановлению.
Ключевые особенности и функции программы Использование двух мощных алгоритмов шифрования: Blowfish ( 448 бит) и DESX (128 бит). Полная поддержка .ZIP (создание .zip архивов, просмотр и извлечение содержимого). Файловый шредер - после создания зашифрованного файла оригинальный файл уничтожается без возможности восстановления, не оставляя при этом вообще никаких следов. Возможность отсылать зашифрованные файлы по электронной почте (MAPI). Возможность шифровать текстовые сообщения для отправки их с помощью почтового клиента и других программ (Outlook Express, Eudora, ICQ и т.д). Возможность назначать загадку с Вашим паролем в зашифрованном файле. Встроенный упаковщик для уменьшения размера зашифрованных файлов. Поддержка скинов. Легкий в использовании и освоении графический интерфейс, разработанный, чтобы избавить конечного пользователя от любых сложностей при шифровании. Как правило , у нас на портале представлена новейшая версия программы Crypt4Free. Для загрузки программы нажмите здесь и загрузите нужный файл. Лицензия программы - Freeware. Если программа платная и вы думаете как взломать программу ( и др.) - советуем обратить внимание на пробный период или возможность покупки софта. Попробуйте похожий софт из раздела Шифрование.
Программа IPTunnelManager используется для создания IP-связи с опциями сжатия и шифрования трафика. Таким образом, программа позволяет Вам создавать безопасное подключение для любого приложения или сервиса, используя TCP/IP (HTTP, FTP, SMTP, POP, NNTP, SNPP, Telnet и т.д.).
Программа особенно необходима для тех TCP/IP сервисов и приложений (например, FTP, Telnet, различные DBMS), которые открыто передают пароли, при установлении подключения между клиентом и сервером.
Программа IPTunnelManager начинает шифровать трафик с момента установления TCP/IP подключения, вот поэтому абсолютно все данные, которыми обмениваются клиент и сервер зашифрованы. Более того, программа IPTunnelManager защищает переданные данные от внесения в них изменений, путем проверки целостности переданных данных, используя 128-битовый MAC-алгоритм.
Сжатие данных обеспечивает ощутимое (в 3 раза меньше) уменьшение тома данных, переданных через сеть. Для того, чтобы создать безопасное подключение, программа не требует открытия дополнительных портов и кроме того, она не передает коды через сеть (так как использует синхронный алгоритм шифрования трафика). Таким образом, один и тот же пароль используется для авторизирования клиента и шифрования данных.
Компьютерный вирус
Виды вирусов
Существует большое количество различных компьютерных вирусов. Одни из них, могут просто заставлять двигаться курсор мыши, другие, могут украсть ваши личные данные и даже повредить работу всей операционной системы. Давайте рассмотрим основные виды компьютерных вирусов.
Компьютерный вирус – программа, скрытно работающая в системе, с целью нанесения вреда компьютеру. Вирус способен самостоятельно создавать и распространять свои копии.
Основные виды компьютерных вирусов
Червь Червь – программа, которая делает копии самой себя. Ее вред заключается в захламлении компьютера, из-за чего он начинает работать медленнее. Отличительной особенностью червя является то, что он не может стать частью другой безвредной программы.
Троянская программа (троянский конь, троян) Троянская программа маскируется в других безвредных программах. До того момента как пользователь не запустит эту самую безвредную программу, троян не несет никакой опасности. Тронская программа может нанести различный ущерб для компьютера. В основном трояны используются для кражи, изменения или удаления данных. Отличительной особенностью червя является то, что он не может самостоятельно размножаться.
Программы – шпионы Шпионы собирают информацию о действиях и поведении пользователя. В основном их интересует информация (адреса, пароли).
Зомби Зомби позволяют злоумышленнику управлять компьютером пользователя. Компьютеры – зомби могут быть объединены в сеть и использоваться для массовой атаки на сайты или рассылки спама. Пользователь может не догадываться, что его компьютер зомбирован и используется злоумышленником
Программы – блокировщики (баннеры) Это программа, которая блокирует пользователю доступ к операционной системе. При загрузке компьютера появляется окно, в котором пользователя обвиняют в скачивание нелицензионного контента или нарушение авторских прав. И под угрозой полного удаления всех данных с компьютера требуют отослать смс на номер телефона или просто пополнить его счет. Естественно после того как пользователь выполнит эти требования банер никуда не исчезнет.
Вредоносная программа (Malware) – это любое программное обеспечение, созданное для получения несанкционированного доступа к компьютеру и его данным, с целью хищения информации или нанесению вреда. Термин “Вредоносная программа” можно считать общим для всех типов компьютерных вирусов, червей, троянских программ и тд.
Все представленные виды компьютерных вирусов могут, в той или иной степени, нанести вред вашему компьютеру.
Антивирусные программы
Доктор Веб (Dr. Web 7) - одна из первых появившихся на нашем рынке программ антивирусного сегмента. В первую очередь здесь отличный сканер, оптимизированный под любые многоядерные процессоры и применение высокоэффективной технологии лечения уже зараженного компьютерными вирусами (активными) компьютера. Используется система автоматической блокировки в случае столкновения с подозрительными программами, будь они даже еще в архивах. К сожалению, начинающему пользователю не всегда легко разобраться в настройках программы. Сам интерфейс до сих пор уже многие годы особо не меняет свой классический внешний вид, который по нашим меркам можно охарактеризовать как скромный. Другим значимым минусом можно назвать отсутствие в стандартном пакете программы модуля антиспама, который приходится приобретать уже отдельно.
Антивирус ESET NOD 32 – это весьма известный среди отечественных Интернет пользователей программный продукт. Главная отличительная черта его - низкий уровень потребления системных ресурсов, что не влияет на его эффективность как антивируса. Уровень высокой защиты все равно сохраняется. В наличии здесь и опция расширенной эвристики, блокирующей неизвестные еще программе компьютерные угрозы, и система защиты такого соединения передачи данных, как Wi-Fi. Эта замечательная программа способна к глубокому анализу работы вашего компьютера и быстро выявляет разнообразные нежелательные процессы, которые могут в последствии привести к серьезным проблемам. В наличии модуль постоянного обновления баз данных, антиспама. Работает антивирус на высокой скорости. В общем, эта программа по всем основным параметрам эксплуатации каких-либо серьезных недостатков не имеет.
За рубежом очень популярен антивирусный продукт от Norton Int. Security. Программа поддерживает несколько классических модулей (Insight, Sonar 4) и использует ряд разработанных собственноручно компанией-производителем программных технологий защиты, получивших уже не одну положительную оценку в виде наград и отзывов во всемирно известных специализированных изданиях. Стоит выделить преимущества технологии импульсного обновления базы данных антивируса и наличие двухстороннего брандмауэра. Вместе с этим все эти опции не влияют на работу оперативной памяти, ведь ее расход остается низким. Особенно он эффективен для работы в информационной паутине благодаря применению встроенных в браузер модулей проверки интерактивных ссылок в Интернете, то есть их репутации. Сам же интерфейс признан весьма удобным. Нелишне упомянуть систему проверки электронной почты и модуль так называемого «родительского контроля». Эта программа позволяет обезопасить себя от доступа третьих лиц к вашей конфиденциальной информации во время осуществления интерактивных покупок. В целом явных минусов в этом программном обеспечении пока не выявлено.
Определенной известностью пользуется разработка в сфере антивирусного программного оборудования BitDefender. Эту программу некоторые причисляют к одной из лучших в данном сегменте. Это объясняется ее быстродействием и хорошими показателями защиты компьютера от нападок вредоносных программ компьютерных вирусов и прочего. В программном пакете имеются эффективные модули антишпиона, антиспама и системы блокировки фишинга. Единственной недоработкой здесь можно назвать изрядное увеличение нагрузки на процессор и другие системные ресурсы во время проведения сканирования, особенно выборочного.
Теперь стоит уделить наше внимание рассмотрению бесплатных антивирусных программных продуктов, что также имеют и более эффективные версии, предоставляющиеся уже на платной основе.
Одним из самых эффективных из бесплатных предложений на рынке антивирусных программ считается Comodo. Программа способна просеивать и автоматически блокировать любые подозрительные действия вредоносных компьютерных программ вплоть до запрета. Базы данных, несмотря на бесплатное распространение программы, обновляются с завидной оперативностью. Главным минусом описанной программы является отсутствие классических для платных версий компонентов, а в целом программа не потребляет много энергии и проста в эксплуатации. Ее можно вполне порекомендовать для домашнего использования.
Антивирус Avira, то есть его бесплатная облегченная версия для домашнего, так сказать, применения имеет тоже своих почитателей. Здесь присутствуют модули сканирования файлов на наличие вредоносных программ, правда, брандмауэр отсутствует. Это вызывает необходимость использовать посторонние файерволы, если часто приходится бродить в просторах Интернет паутины. В пакете предусмотрена опция автоматического постоянного обновления данных баз антивируса.
Аvast седьмой тоже представлен бесплатной версией программы антивируса. Достоинство этой версии - наличие мощного антивирусного ядра. Это позволяет проводить сканирование с завидной эффективностью, защищая свой компьютер от связанных с влиянием вредоносных программ проблем. Ежесуточно база данных программы-антивируса обновляется. Среди слабых сторон данного программного обеспечения можно выделить такие классические для бесплатных версий, как отсутствие брандмауэра. Все равно, используя в комплексе, посторонние файерволы, эту программу можно использовать с высокой эффективностью, особенно когда речь идет о домашнем использовании. В таком случае она еще может даже соперничать с некоторыми платными версиями известных производителей программ антивирусов.
Kaspersky Internet Security для всех устройств — единое комплексное решение для защиты любых устройств на платформах Windows®, Android™ и Mac OS.
Простой способ защитить все устройства* Вы можете защитить любую комбинацию устройств под управлением Windows, Mac OS или Android при помощи единого кода активации. Возможно приобретение лицензии для использования продукта на 2, 3 или 5 устройствах. В период действия лицензии вы можете переустанавливать защиту с одного устройства на другое. Блокирование любых интернет-угроз Kaspersky Internet Security эффективно блокирует мошеннические и вредоносные веб-сайты и надежно защищает от вредоносных и шпионских программ, а также кражи личных данных. Будьте уверены в своей безопасности, выходя в интернет с любого устройства. Безопасные онлайн-платежи Анти-Фишинг (Windows/Android/Mac OS), Безопасная клавиатура для ввода финансовых данных (Windows/Mac OS) и технология Безопасные платежи (Windows) обеспечивают защиту при пользовании системами онлайн-банкинга и платежными системами PayPal, Яндекс.Деньги и др., а также при совершении покупок в интернете. Защита общения в интернете и SMS Антивирусные и антифишинговые технологии блокируют вредоносные и фишинговые ссылки, передаваемые в социальных сетях ВКонтакте, Facebook, Twitter и др., по почте и другими способами, а также предупреждают о наличии подозрительных ссылок в SMS-сообщениях. А модули Анти-Спам и Анти-Баннер фильтруют нежелательный контент. Родительский контроль Модуль Родительский контроль для компьютеров под управлением Windows и Mac OS позволяет родителям контролировать использование интернета детьми: блокировать сайты с нежелательным содержанием, ограничивать время, проводимое в интернете, а также предотвращать передачу личных данных посторонним. Универсальная защита Решение оптимизировано для работы на платформах Windows, Mac OS и Android и мгновенно блокирует любые интернет-угрозы. Какое бы устройство вы ни использовали, чтобы искать информацию, оплачивать покупки или общаться в социальных сетях — Kaspersky Internet Security надёжно защищает вас, ваше устройство и ваши ценные данные.
Защита персональных данных
Особенности обеспечения защиты персональных данных на интернет-порталах
Защита персональных является важным направлением деятельности множества компаний. Эта деятельность ориентирована на защиту прав субъектов персональных данных, а так же на выполнение требований, установленных нормативными правовыми актами в данной области.
Достаточно остро проблема защиты персональных данных (ПДн) затрагивает деятельность интернет-порталов, предлагающих физическим лицам различные услуги и интернет-сервисы, такие как:
on-line продажа товаров и оказание услуг; сетевые игры; социальные сети и профессиональные сообщества.
Трудности при выполнении требований регуляторов1 возникают уже на этапе классификации информационной системы персональных данных (ИСПДн), формулирования целей и определения правового основания обработки ПДн. Другой организационной проблемой является получение согласия субъекта ПДн на обработку его персональных данных. Часто в подобных системах возникает вопрос с трансграничной передачей ПДн.
К основным особенностям, удорожающим и усложняющим технические аспекты создания системы защиты персональных данных интернет-порталов, следует отнести:
распределенную информационно-вычислительную архитектуру ИСПДн; значительный объем обрабатываемых ПДн; применение специализированных технологий и программно-технических средств, не обладающих сертификатами соответствия по требованиям безопасности информации; различные подходы к реализации ИТ-инфраструктуры портала (от аренды вычислительных мощностей центров обработки данных (ЦОД) до использования собственного серверного комплекса).
Таким образом, важно не только создать систему защиты персональных данных в соответствии с действующими требованиями регуляторов, но и сформировать надлежащее организационное обеспечение.
Для решения проблемы получения согласия субъекта ПДн на обработку его персональных данных могут применяться договоры публичной оферты, предусмотренные статьей 437 Гражданского кодекса РФ. Текст соответствующего соглашения размещается на сайте оператора, при этом указывается его статус и то обстоятельство, что соглашение заключается между оператором и пользователем (субъектом ПДн) в форме договора присоединения. Акцептом условий размещенного на сайте соглашения как правило является совокупное осуществление пользователем действий, необходимых для регистрации на интернет-портале (так называемые конклюдентные действия). В тексте оферты следует указать, что ее акцепт означает полное и безоговорочное принятие пользователем всех условий соглашения без каких-либо изъятий и/или ограничений и равносилен заключению двухстороннего письменного соглашения о предоставлении доступа к сервисам Интернет-портала (п. 3 ст. 434 ГК РФ). Пользователь производит акцепт соглашения после ознакомления с его условиями (в составе которых содержатся положения о согласии на обработку персональных данных). Как правило, устанавливается, что срок акцепта не ограничен, а соглашение может быть расторгнуто в установленном порядке. Такой подход позволяет говорить о получении согласия, поскольку в регистрационной системе портала фиксируется выполнение конклюдентных действий, свидетельствующих об акцепте соглашения. Следует отметить, что приведенный подход требует от оператора предусматривать процедуру верификации пользователя (субъекта ПДн) с использованием контактной информации, предоставленной при регистрации.
В качестве основания для обработки ПДн рекомендуется указывать Федеральный закон, постановление Правительства Российской Федерации, иной нормативный правовой акт, закрепляющий основание и порядок обработки персональных данных. Интернет-магазины используют в качестве такого НПА «Правила продажи товаров дистанционным способом», утвержденные постановлением Правительства РФ от 27 сентября 2007 г. N 612. Если деятельность организации, содержащей интернет-портал, лицензируется, в качестве основания может быть указана соответствующая лицензия. Универсальным основанием является и устав организации, в котором закреплены цели ее деятельности, в т.ч. требующие обработки ПДн.
Обеспечение безопасности ПДн в соответствии с требованиями руководящих и методических документов ФСТЭК ФСБ России для ИСПДн, представляющих собой интернет-порталы, зачастую сопряжено с большими трудностями ввиду повсеместного использования сторонних ЦОД при размещении технических средств, а также невозможностью использования дополнительных («наложенных») средств защиты информации, что в большинстве случаев обусловлено спецификой технологического процесса обработки информации.
Исходя из типовой распределенной архитектуры Интернет-портала, что основные угрозы связаны прежде всего с сетевыми воздействиями, направленными на различные узлы портала, а так же со злонамеренными действиями обслуживающего персонала.
С технической точки зрения в 90 % случаев можно утверждать, что большинство подсистем безопасности, необходимых к реализации в СЗПДн в соответствии с требованиями регуляторов, уже существуют в системном и прикладном программном обеспечении интернет-портала (веб-сервер, система управления базами данных, сервер приложений). К подсистемам СЗПДн, функции которых уже реализованы, как правило относятся:
подсистема управления доступом (частично — включая средства обеспечения безопасности межсетевого взаимодействия); подсистема регистрации и учета; подсистема обеспечения целостности;
При этом основной задачей оператора ПДн является «легализация» существующих механизмов безопасности (подтверждение их соответствия требованиям РД и МД регуляторов). Это подтверждение на практике реализуется с помощью сертификации встроенных механизмов защиты программного обеспечения информационной системы на соответствие требованиям безопасности информации. Наличие сертифицированного «программного ядра» портала совместно с использованием услуг аттестованных центров обработки данных позволит сэкономить на защите ИСПДн и отказаться от повсеместного использования наложенных средств защиты.
В целях выполнения требований законодательства и создания эффективной и отвечающей современным условиям системы защиты персональных данных компания «ЦИБ» предлагает комплексный подход, позволяющий наиболее рационально преодолеть трудности, возникающие при создании СЗПДн интернет-портала.
Основой подхода является комплекс услуг и технических решений включающих:
консалтинговые услуги в области соблюдения законности обработки ПДн; подготовку необходимой организационно-распорядительной документации, определяющей правила, требования, порядок обработки и обеспечения безопасности ПДн; разработку требований к ИТ-инфраструктуре центра обработки данных; поиск оптимального ЦОД с точки зрения безопасности и производительности для реализации Интернет-портала (либо помощь в получении подтверждения соответствия требованиям безопасности информации); доработку механизмов безопасности портала до требований РД и МД регуляторов; сертификацию программного комплекса портала; аттестацию развернутого Интернет-портала по требованиям безопасности информации (по усмотрению оператора).
Результатом приведенного перечня работ является пакет организационно-распорядительных документов по организации обработки и защите ПДн и система защиты персональных данных, созданная в соответствии с требованиями, предусмотренными руководящими и методическими документами.
Подход, предлагаемый компанией «ЦИБ», позволит создать оптимальную систему защиты персональных данных в Вашей организации.
