Нажмите здесь для того, чтобы попасть на главную страницу

Курсы фирмы 1С (Москва)

Курсы 1С в регионах (ЦСО)

Дистанционные курсы

Экзамены













ГлавнаяКурсы 1С, Экзамены 1СЕжегодная конференция «Использование программных продуктов 1С в учебных заведениях»

Ссылка на аккаунт в социальной сети twitterСсылка на аккаунт в социальной сети Вконтакте Версия для печати
Bookmark and Share

Ежегодная конференция «Использование программных продуктов 1С в учебных заведениях»

Год: 
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005

2010 г.

Cекция "Повышение эффективности управления образовательными учреждениями с использованием технологий "1С""

"51. Обеспечение безопасности персональных данных в информационных системах образовательных учреждений" (Хорев П.Б., Российский государственный университет, Москва)

В ближайшее время информационные системы образовательных учреждений должны быть приведены в соответствие с Федеральным законом "О персональных данных" [1]. В соответствие с рекомендациями Федеральной службы по техническому и экспортному контролю [2] мероприятия по защите персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) от несанкционированного доступа и неправомерных действий включают:

  • управление доступом;
  • регистрацию и учет;
  • обеспечение целостности;
  • контроль отсутствия недекларированных возможностей;
  • антивирусную защиту;
  • обеспечение безопасного межсетевого взаимодействия ИСПДн;
  • анализ защищенности;
  • обнаружение вторжений.

Подсистему управления доступом, регистрации и учета рекомендуется реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации операционных систем, электронных баз ПДн и прикладных программ. В частности, при создании ИСПДн на платформе "1С:Предприятие 8.1" должны использоваться следующие программные средства защиты [3]:

  • идентификация и аутентификация пользователей информационных систем и активизированных ими процессов;
  • авторизация субъектов (определение прав доступа субъекта к объекту с персональными данными);
  • аудит событий, имеющих отношение к безопасности персональных данных.

Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм (хеш-значений, электронной цифровой подписи), уведомлении о сбое в передаче пакета сообщения, повторе передачи не принятого пакета.

Подсистема контроля отсутствия недекларированных возможностей реализуется в большинстве случаев на базе систем управления базами данных, специальных средств защиты информации, антивирусных средств защиты информации.

Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, осуществляющей обработку этой информации, рекомендуется применять специальные средства антивирусной защиты. При выборе средств антивирусной защиты целесообразно учитывать следующие факторы:

  • совместимость указанных средств со штатным программным обеспечением ИСПДн;
  • степень снижения производительности функционирования ИСПДн по их основному назначению;
  • наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПДн;
  • возможность оперативного оповещения администратора безопасности информации в ИСПДн обо всех событиях и фактах проявления вредоносных программ;
  • наличие подробной документации по эксплуатации средства антивирусной защиты;
  • возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;
  • возможность наращивания состава средств защиты от вредоносных программ новыми дополнительными средствами без существенных ограничений работоспособности ИСПДн и "конфликта" с другими типами средств защиты.

Для осуществления разграничения доступа к ресурсам ИСПДн при взаимодействии с Интернетом применяется межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами (МЭ). Межсетевой экран устанавливается между защищаемой (внутренней) сетью и сетью Интернет (внешней сетью). Межсетевой экран должен входить в состав защищаемой сети. Для него путем настроек отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю и наоборот.

Подсистема анализа защищенности реализуется на основе использования средств тестирования (анализа защищенности, сканирования уязвимостей) и контроля (аудита) безопасности информации. Средства анализа защищенности применяются с целью контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяют оценить возможность проведения нарушителями атак на сетевое оборудование, контролируют безопасность (в том числе целостность) программного обеспечения. Результатом работы средства анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.

Средства обнаружения уязвимостей могут функционировать на уровне сети, уровне операционной системы и уровне приложения. По результатам сканирования уязвимостей системы вырабатывают рекомендации и меры, позволяющие устранить выявленные недостатки в обеспечении безопасности персональных данных.

Для выявления угроз несанкционированного доступа к ПДн за счет использования сети Интернет применяются системы обнаружения вторжений (атак). Такие системы строятся с учетом особенностей реализации атак, этапов их развития и основаны на целом ряде методов обнаружения атак.

Для защиты ПДн от утечки по техническим каналам применяются организационные и технические мероприятия, направленные на исключение утечки речевой и визуальной информации, утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН). Например, увеличение звукоизоляции дверей достигается применением уплотняющих прокладок, обивкой полотен дверей специальными материалами.

Литература

  1. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
  2. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. http://www.fstec.ru/_spravs/recomend.doc.
  3. Хорев П.Б. Методы и средства обеспечения информационной безопасности в системе "1С:Предприятие 8.1". Новые информационные технологии в образовании: Доклады и выступления участников девятой Международной научно-практической конференции Новые информационные технологии в образовании "Комплексная модернизация процесса обучения и управления образовательными учреждениями с использованием технологий "1С". М.: 2009. Стр. 96-101.



© ООО "1С"
Все права защищены. Все торговые марки являются собственностью их правообладателей.

Адрес: Москва, ул. Селезнёвская, д.21.
Режим работы: 9:30 - 18:00 (по рабочим дням)
Телефон: (495) 737-92-57
Факс: (495) 681-44-07