Безопасность пдн при их обработке в испдн могут обеспечивать
Порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации.
Настоящий порядок определяет действия персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.
2.1. Допуск пользователей для работы на компьютерах ИСПДн осуществляется на основании приказа, который издается руководителем ЛПУ (далее руководитель), и в соответствии со списком лиц, допущенных к работе в ИСПДн. С целью обеспечения ответственности за нормальное функционирование и контроль работы средств защиты информации в ИСПДн руководителем назначается администратор информационной безопасности; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности назначается ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн.
2.2. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, которая создается ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн и утверждается руководителем организации. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей.
2.3. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в ИСПДн.
2.4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю.
2.5. Запись информации, содержащей ПДн, может, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей.
2.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПДн. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения.
2.7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ в помещение, в котором производится обработка ПДн, аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:
- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;
- знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПДн;
- хранить в тайне свой пароль (пароли) и с установленной периодичностью менять свой пароль (пароли);
- хранить в установленном порядке свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе, или ящике, закрывающемся на ключ;
- выполнять требования Положения по организации антивирусной защиты в полном объеме.
Немедленно известить ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн и (или) администратора информационной безопасности в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
- нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к данным защищаемым СВТ;
- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;
- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;
- некорректного функционирования установленных на компьютеры технических средств защиты;
- непредусмотренных отводов кабелей и подключенных устройств.
2.8. Пользователю категорически запрещается:
- использовать компоненты программного и аппаратного обеспечения персонального компьютера в неслужебных целях;
- вносить какие-либо изменения в конфигурацию аппаратных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;
- осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;
- записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.);
- оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
- оставлять без личного присмотра свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;
- размещать средства ИСПДн так, чтобы существовала возможность визуального считывания информации.
2.9. Лица, ответственные за защиту персональных данных в ЛПУ.
Ответственный за обработку ПДн - штатный сотрудник определяющий уровень доступа и ответственность лиц участвующих в обработке ПДн. Назначается приказом по учреждению.
Ответственный за обеспечение безопасности персональных данных – штатный сотрудник (или подразделение) отвечающий за проведение мероприятий, связанных с защитой ПДн (организационных и технических), а также осуществляющий контроль соблюдения требований по защите ПДн в подразделениях. Назначается приказом по учреждению.
Администратор информационной безопасности – штатный сотрудник, ответственный за защиту автоматизированной системы (АС) от несанкционированного доступа (НСД) к информации. Назначается приказом по учреждению.
2.10. Администратор информационной безопасности (при его отсутствии ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн) обязан:
- знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС) установленных и смонтированных в ИСПДн, перечень используемого программного обеспечения (далее - ПО) в ИСПДн;
- контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах;
- производить необходимые настройки подсистемы управления доступом установленных в ИСПДн СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:
· реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);
· вводить описания пользователей ИСПДн в информационную базу СЗИ от НСД;
· своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц;
· контролировать доступ лиц в помещение в соответствии со списком сотрудников, допущенных к работе в ИСПДн;
· проводить инструктаж сотрудников - пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации;
· контролировать своевременное (не реже чем один раз в течение 60 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам ИСПДн;
· обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПДн;
· осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;
· настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе в ИСПДн;
· вводить в базу данных СЗИ от несанкционированного доступа описания событий, подлежащих регистрации в системном журнале;
· проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в месяц;
· организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации;
· сопровождать подсистемы обеспечения целостности информации в ИСПДн;
· периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;
· восстанавливать программную среду, программные средства и настройки СЗИ при сбоях совместно с лицами, ответственными за техническое обеспечение.
· вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;
· контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;
· периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования:
· проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;
· сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств ИСПДн;
· контролировать соответствие документально утвержденного состава аппаратной и программной части ИСПДн реальным конфигурациям ИСПДн, вести учет изменений аппаратно-программной конфигурации;
· обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПДн и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);
· присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПДн;
· вести журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн;
· поддерживать установленный порядок проведения антивирусного контроля согласно требованиям настоящего Положения;
· в случае отказа средств и систем защиты информации принимать меры по их восстановлению;
· докладывать ответственному за обработку персональных данных о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;
· вести документацию на ИСПДн в соответствии с требованиями нормативных документов.
2.11.Администратор информационной безопасности и ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн имеют право:
- требовать от сотрудников - пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн;
- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов ИСПДн;
- требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;
- участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год - ФСТЭК России
Методика | 303 КБ | 69757 | |
Методика | 196 КБ | 7137 |
Федеральная служба
по техническому и экспортному контролю
Утверждена
Заместителем директора ФСТЭК России
14 февраля 2008 г.
Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.
В книге всего пронумеровано 10 страниц, для служебного пользования
Введение
Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781, с учетом действующих нормативных документов ФСТЭК России по защите информации. Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных:
государственных или муниципальных ИСПДн;
ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением;
ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд.
Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн.
1. Общие положения
Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г. «О персональных данных» ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн и(или) потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.
Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по техническим каналам (технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн, технические каналы перехвата информации при ее передаче по каналам связи, технические каналы утечки акустической (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения.
Детальное описание угроз, связанных с утечкой ПДн по техническим каналам, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Выявление технических каналов утечки ПДн осуществляется на основе нормативных и методических документов ФСТЭК России.
Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:
нарушитель;
носитель вредоносной программы;
аппаратная закладка.
Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители подразделяются на два типа:
нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;
нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители.
Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПДн, подключенные к сетям общего пользования.
Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн и мер по контролю порядка проведения работ.
Угрозы несанкционированного доступа от внешних нарушителей реализуются с использованием протоколов межсетевого взаимодействия.
Детальное описание угроз, связанных с несанкционированным доступом в ИСПДн персональных данных, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса составляются специальные опросные листы.
Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень. На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн.
2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.
Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.
Таблица 1
Показатели исходной защищенности ИСПДн
Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | ||
Высокий | Средний | Низкий | |
1. По территориальному размещению: | |||
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; | – | – | + |
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); | – | – | + |
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; | – | + | – |
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; | – | + | – |
локальная ИСПДн, развернутая в пределах одного здания | + | – | – |
2. По наличию соединения с сетями общего пользования: | |||
ИСПДн, имеющая многоточечный выход в сеть общего пользования; | – | – | + |
ИСПДн, имеющая одноточечный выход в сеть общего пользования; | – | + | – |
ИСПДн, физически отделенная от сети общего пользования | + | – | – |
3. По встроенным (легальным) операциям с записями баз персональных данных: | |||
чтение, поиск; | + | – | – |
запись, удаление, сортировка; | – | + | – |
модификация, передача | – | – | + |
4.По разграничению доступа к персональным данным: | |||
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; | – | + | – |
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; | – | – | + |
Окончание таблицы 1
Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | ||
Высокий | Средний | Низкий | |
ИСПДн с открытым доступом | – | – | + |
5. По наличию соединений с другими базами ПДн иных ИСПДн: | |||
интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); | – | – | + |
ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн | + | – | – |
6. По уровню обобщения (обезличивания) ПДн: | |||
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); | + | – | – |
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; | – | + | – |
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) | – | – | + |
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: | |||
ИСПДн, предоставляющая всю базу данных с ПДн; | – | – | + |
ИСПДн, предоставляющая часть ПДн; | – | + | – |
ИСПДн, не предоставляющая никакой информации. | + | – | – |
Исходная степень защищенности определяется следующим образом.
1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).
2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.
3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.
При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент, а именно:
0 – для высокой степени исходной защищенности;
5 – для средней степени исходной защищенности;
10 – для низкой степени исходной защищенности.
Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:
маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент, а именно:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением
.
По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:
если , то возможность реализации угрозы признается низкой;
если , то возможность реализации угрозы признается средней;
если , то возможность реализации угрозы признается высокой;
если , то возможность реализации угрозы признается очень высокой.
Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:
низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 2.
Таблица 2
Правила отнесения угрозы безопасности ПДн к актуальной
Возможность реализации угрозы | Показатель опасности угрозы | ||
Низкая | Средняя | Высокая | |
Низкая | неактуальная | неактуальная | актуальная |
Средняя | неактуальная | актуальная | актуальная |
Высокая | актуальная | актуальная | актуальная |
Очень высокая | актуальная | актуальная | актуальная |
С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.
Изменения, вызванные принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- Признается утратившим силу постановление правительства от 17 ноября 2007 г. № 781;
- Дано понятие безопасности персональных данных;
- Определено, что выбор средств защиты для систем защиты ПДн осуществляются оператором в соответствии с НПА, принятыми ФСБ и ФСТЭК.
- Дана новая классификация (5 типов ИСПДн);
- Введены 3 типа угроз безопасности персональных данных;
- Введены 4 уровня защищенности персональных данных;
- Установлены требования по обеспечению каждого уровня защищенности.
Фактически перестают действовать руководящие документы ФСБ и ФСТЭК, базировавшиеся на ПП-781:
- Приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г. N 55/86/20 «Порядок проведения классификации информационных систем персональных данных;
- Приказ ФСТЭК от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
- Руководящий документ ФСТЭК от 15 февраля 2008 г. «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- Руководящий документ 8 Центра ФСБ России N 149/54-144 от 21 февраля 2008 г. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
- Руководящий документ 8 центра ФСБ России N 149/6/6-622 21 февраля 2008 года «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».
Изменение подхода к сертификации:
- Принятые в начале 2012 года руководящие документы ФСТЭК по системам обнаружения вторжений (СОВ) и средствам антивирусной защиты (САЗ) привязаны в 4 классам ИСПДн – указанные РД были предназначены для разработчиков средств защиты, заявителей на сертификацию, а также испытательных лабораторий и органов по сертификации. ;
- принятый 4 года назад подход по указанию в сертификатах ФСТЭК класса ИСПДн, для которого возможно применение прошедшего оценку соответствия средства защиты теперь невозможно;
- судьба уже выданных сертификатов на средства защиты непонятна.
Безопасность персональных данных
Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Выбор средств защиты ПДн
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Новая классификация ИСПДн
ПО ВИДУ ОБРАБАТЫВАЕМЫХ ПДн
- ИСПДн обрабатывающая специальные категории ПДн (ИСПДн-С)
ПДн касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни субъектов
- ИСПДн обрабатывающая биометрические ПДн (ИСПДн-Б)
сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных
- ИСПДн обрабатывающая общедоступные ПДн (ИСПДн-О)
ПДн полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»
- ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)
если не обрабатываются ПДн, указанные в абзацах первом - третьем настоящего пункта
ПО ПРИНАДЛЕЖНОСТИ ОБРАБАТЫВАЕМЫХ ПДн
- ИСПДн обрабатывающая ПДн сотрудников оператора
ПДн только указанных сотрудников (кадры). В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. Могут быть специальные, общедоступные и иные.
Типы угроз безопасности ПДн
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
3 типа угроз ПДн:
Угрозы 1-го типа (уровень системы) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа (уровень приложения) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа (уровень пользователя) актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».
Уровни защищенности ИСПДн
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Необходимость обеспечения определенного уровня защищенности определяется типом ИСПДн, типом актуальных угроз и количеством субъектов, ПДн которых обрабатываются в ИСПДн.
Необходимость обеспечения определенного уровня защищенности ПДн устанавливается при наличие хотя бы одного из условий
угрозы 1 типа | угрозы 2 типа | угрозы 3 типа | |
ИСПДн-С | 1 | - | - |
ИСПДн-Б | 1 | 2 | 3 |
ИСПДн-О | 2 | - | 4 |
ИСПДн-И | 1 | - | - |
ИСПДн – С. Не сотрудников | - | 2 < 100000 > 1 | 3 < 100000 > 2 |
ИСПДн-С сотрудников | - | 2 | 3 |
ИСПДн-О Не сотрудников | - | 3 < 100000 > 2 | - |
ИСПДн-О сотрудников | - | 3 | - |
ИСПДн-И сотрудников | - | 3 | 4 |
ИСПДн-И Не сотрудников | - | 3 < 100000 > 2 | 4 < 100000 > 3 |
Необходимость обеспечения определенного уровня защищенности ПДн устанавливается при наличие хотя бы одного из условий.
Требования | 1 | 2 | 3 | 4 |
Регулярный контроль за выполнением требований Контроль за выполнением настоящих требований организуется и проводится оператором самостоятельно и (или) с привлечением лицензиатов ФСТЭК. | * | * | * | * |
Физ.безопасность и контроль доступа Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения | * | * | * | * |
Безопасность носителей Обеспечение сохранности носителей персональных данных | * | * | * | * |
Перечень допущенных лиц Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей | * | * | * | * |
Сертифицированные СЗИ Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз | * | * | * | * |
Назначение ответственного за безопасность ПДн Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн | * | * | * | - |
Контроль доступа к эл. журналу доступа. Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей | * | * | - | - |
Автоматическая регистрация в эл. журнале доступа Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИСПДн | * | - | - | - |
Создание структурного подразделения Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности | * | - | - |
Требования по обеспечению уровня защищенности
Для обеспечения 4-го уровня защищенности:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для обеспечения 3-го уровня защищенности:
а) выполнение требований, предусмотренных для 4-го уровня защищенности;
б) назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных
Для обеспечения 2-го уровня защищенности:
а) выполнение требований, предусмотренных для 3-го уровня защищенности;
б) доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности:
а) выполнение требований, предусмотренных для 2-го уровня защищенности;
б) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
в) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Контроль выполнения требований
Контроль за выполнением требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.
Проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Операторам на данный момент необходимо проверить себя по следующим вопросам:
Разработать/Внедрить если еще не сделали:
- Определить перечень носителей ПДн и требования по их хранению, использованию, транспортировке и уничтожению.
- Обеспечить физическую безопасность носителей ПДн и контроль доступа в помещения обработки ПДн. Хорошей практикой является наличие утвержденного списка лиц, допущенных в серверное помещение. Иногда регуляторы еще и спрашивают про перечень лиц, допущенных во все помещения, где производится обработка ПДн, но, на мой взгляд, это излишне.
- Назначить должностное лицо (работника), ответственного за обеспечение безопасности ПДн в ИСПДн. Надо различать ответственного за обработку и за обеспечение безопасности ПДн.
- Разработать и утвердить перечень лиц, допущенных к обработке ПДн.
- Для СЗПДн использовать СЗИ, прошедшие процедуру оценки соответствия.
- Определить процедуру регулярных проверок выполнения требований к СЗПДн (процедура внутреннего контроля).
Пересмотреть/Доработать с учетом новых данных:
- Пересмотреть протокол возможного ущерба субъектам ПДн.
- Пересмотреть и обновить Акты классификации ИСПДн с учетом уровней защищенности.
Быть готовым к пересмотру и доработке:
- Быть готовым к пересмотру модели угроз ИСПДн.
- Быть готовым к пересмотру всей СЗПДн и закупке новых СЗИ.
- Начать думать об электронном журнале (что это и какие технологии используются) и обеспечить его безопасность.
Последовательность действий при организации защиты ИСПДн
Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.
Операторы при обработке персональных данных обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
В силу требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных»:
- после дня вступления в силу указанного Федерального закона обработка ПДн, включенных в ИСПДн до дня его вступления в силу, осуществляется в соответствии с указанным Федеральным законом;
- ИСПДн, созданные до 01 января 2011 г., должны быть приведены в соответствие с требованиями указанного Федерального закона не позднее 01 июля 2011 г. (в ред. Федерального закона от 23 декабря 2010 г. № 359-ФЭ).
На основании принятых во исполнение положений Федерального закона № 152-ФЗ «О персональных данных», нормативно-правовых актов и методических документов операторы, эксплуатирующие ИСПДн, обязаны выполнить следующую последовательность действий для приведения ИСПДн в соответствие требованиям законодательства Российской Федерации:
При назначении ответственных лиц необходимо обратить особое внимание на то, что основной задачей их деятельности будет не обработка ПДн в ИСПДн, а выполнение требований по обеспечению безопасности ПДн, реализация методов и способов защиты ПДн в ИСПДн.
- Определить состав обрабатываемых ПДн, цели и условия их обработки, сроки хранения ПДн различных категорий. Результат оформить в виде Перечня персональных данных, подлежащих защите. Подробно в статье инвентаризация и категорирование персональных данных.
- В соответствии с требованиями п. 6 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» провести классификацию действующих ИСПДн. Подробно этот вопрос рассмотрен в статье Классификация информационных систем персональных данных.
- В соответствии с требованиями части 1 статьи 22 Федерального закона № 152-ФЗ «О персональных данных», зарегистрироваться в качестве оператора ПДн - подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченный орган по защите прав субъектов ПДн. Регистрация в качестве оператора персональных данных.
- В соответствии с требованиями ст. 6 Федерального закона № 152-ФЗ «О персональных данных» получить согласие субъектов ПДн на обработку их ПДн, если иное не предусмотрено указанным законом (см. статью получение согласия субъекта персональных данных).
- В соответствии с требованиями п. 14 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» утвердить список лиц, допущенных к обработке ПДн.
Рекомендуется список допущенных лиц оформить в виде разрешительной системы доступа к информационным ресурсам, программным и техническим средствам информационных систем персональных данных, которая включает уровень прав доступа допущенных лиц к ресурсам ИСПДн. Разрешительная система доступа доводится до всех сотрудников оператора, допущенных к обработке ПДн, под роспись.
- Подготовить и утвердить должностные инструкции в составе:
Инструкции определяют должностные обязанности всех лиц, допущенных к ИСПДн и доводятся до соответствующих сотрудников, под роспись.
- В соответствии с требованиями п. 16 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» для специальных ИСПДн (по решению оператора для типовых ИСПДн) разработать и утвердить модель УБПДн при их обработке в ИСПДн. Порядок разработки модели угроз.
- В соответствии с требованиями «Положения о методах и способах защиты информации в информационных системах персональных данных», утвержденного приказом ФСТЭК России от 5 февраля 2010 г. № 58 и на основании частной модели угроз безопасности ПДн при их обработке в ИСПДн (в случае ее разработки) реализовать методы и способы защиты ПДн в ИСПДн.
Методы и способы защиты персональных данных в соответствии с классом
- В соответствии с требованиями п. 15 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» реализовать регистрацию запросов пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам автоматизированными средствами ИСПДн в электронном журнале обращений, с целью обеспечения своевременного обнаружения фактов НСД к ПДн.
Поскольку программное обеспечение, обрабатывающее ПДн, зачастую средств логирования запросов и получения по ним отчетов не имеет, необходимо использовать дополнительные (внешние) средства регистрации действий пользователей ИСПДн.
- В соответствии с требованиями п. 12 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» подготовить и утвердить Регламент учета средств защиты информации, эксплуатационной и технической документации к ним, электронных носителей персональных данных.
Регламент устанавливает порядок учета и хранения применяемых оператором СЗИ, а также электронных носителей ПДн и доводится до всех сотрудников, допущенных к обработке ПДн, под роспись. Проект регламента.
- Подготовить и утвердить для каждого типа применяемых СЗИ инструкции по их использованию, предназначенные для ответственных за обеспечение безопасности ПДн, администраторов безопасности ИСПДн и пользователей ИСПДн.
- Разработать и утвердить Положение по обеспечению безопасности ПДн при их обработке в ИСПДн.
Положение определяет порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн и содержит общие принципы защиты ПДн.
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.Забыли пароль?