Инструментальный анализ системы защиты ПДн

Инструментальный анализ системы защиты ПДн
Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных» вступил в силу от 27 июля 2006 г., претерпел ряд поправок, но действителен и обязателен к исполнению операторами ПДн.

Как проверить, что ИСПДн не только соответствует требованиям нормативных документов, но и по-настоящему защищена от утечек и несанкционированного доступа к данным?

Подобные проверки осуществляются методами инструментального анализа, в результате которых составляется отчет о проведенном анализе, формируются рекомендации по устранению уязвимостей и приведению ИСПДн в соответствие требованиям нормативно-методических документов.

Рассмотрим несколько примеров

Пример 1

Основным документом, определяющим технические требования к защите ПДн является приказ ФСТЭК России от 5 февраля 2010 года «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».

Требование
Согласно п. 4.2 пп. а) для ИСПДн 1 класса при многопользовательском режиме обработки ПДн и равных правах доступа к ним пользователей должна осуществляться идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов

Проверка
Методами инструментального анализа проверяется возможность входа в систему без аутентификации (без логина и пароля), по паролю по умолчанию, примитивному паролю («1», «111…1», паролю, совпадающему с логином и пр.), возможность задать пароль короче 6 символов, состоящий из одних цифр, состоящий из одних букв.

Пример 2

Требование
Согласно п. 4.3 пп. а) для ИСПДн 1 класса при многопользовательском режиме обработки ПДн и разных правах доступа к ним пользователей должен осуществляться контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа

Проверка
С помощью средств анализа сетевого трафика формируется карта логического взаимодействия (L3) пользователей и узлов ИСПДн. Полученную карту легко сравнить с матрицей доступа, утвержденной в организации, в результате чего станет ясно, как реально обстоят дела с доступом к защищаемым ресурсам.

Приведенные примеры лишь частично отражают возможности компании «Перспективный мониторинг» в области подготовки ИСПДн к проверкам регуляторов.

Татьяна Кузьменко,
менеджер по развитию
ЗАО «Перспективный мониторинг»