Безопасность пдн при их обработке в испдн могут обеспечивать


Порядок работы персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации.

Настоящий порядок определяет действия персонала ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.

2.1. Допуск пользователей для работы на компьютерах ИСПДн осуществляется на основании приказа, который издается руководителем ЛПУ (далее руководитель), и в соответствии со списком лиц, допущенных к работе в ИСПДн. С целью обеспечения ответственности за нормальное функционирование и контроль работы средств защиты информации в ИСПДн руководителем назначается администратор информационной безопасности; с целью контроля выполнения необходимых мероприятий по обеспечению безопасности назначается ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн.

2.2. Пользователь имеет право в отведенное ему время решать поставленные задачи в соответствии с полномочиями доступа к ресурсам ИСПДн. Полномочия пользователей к информационным ресурсам определяются в матрице доступа, которая создается ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн и утверждается руководителем организации. При этом для хранения информации, содержащей ПДн, разрешается использовать только машинные носители информации, учтенные в Журнале учета машинных носителей.

2.3. Пользователь несет ответственность за правильность включения и выключения средств вычислительной техники (СВТ), входа в систему и все действия при работе в ИСПДн.

2.4. Вход пользователя в систему может осуществляться по выдаваемому ему электронному идентификатору или по персональному паролю.

2.5. Запись информации, содержащей ПДн, может, осуществляется пользователем на съемные машинные носители информации, соответствующим образом учтенные в Журнале учета машинных носителей.

2.6. При работе со съемными машинными носителями информации пользователь каждый раз перед началом работы обязан проверить их на отсутствие вирусов с использованием штатных антивирусных программ, установленных на компьютерах ИСПДн. В случае обнаружения вирусов пользователь обязан немедленно прекратить их использование и действовать в соответствии с требованиями данного Положения.

2.7. Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ в помещение, в котором производится обработка ПДн, аппаратным средствам, программному обеспечению и данным ИСПДн, несет персональную ответственность за свои действия и обязан:

- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами ИСПДн;

- знать и строго выполнять правила работы со средствами защиты информации, установленными на компьютерах ИСПДн;

- хранить в тайне свой пароль (пароли) и с установленной периодичностью менять свой пароль (пароли);

- хранить в установленном порядке свое индивидуальное устройство идентификации (ключ) и другие реквизиты в сейфе, или ящике, закрывающемся на ключ;

- выполнять требования Положения по организации антивирусной защиты в полном объеме.

Немедленно известить ответственного за обеспечение безопасности персональных данных при их обработке в ИСПДн и (или) администратора информационной безопасности в случае утери индивидуального устройства идентификации (ключа) или при подозрении компрометации личных ключей и паролей, а также при обнаружении:

- нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на составляющих узлах и блоках СВТ или иных фактов совершения в его отсутствие попыток несанкционированного доступа (далее - НСД) к данным защищаемым СВТ;

- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн;

- отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию СВТ, выхода из строя или неустойчивого функционирования узлов СВТ или периферийных устройств (сканера, принтера и т.п.), а также перебоев в системе электроснабжения;

- некорректного функционирования установленных на компьютеры технических средств защиты;

- непредусмотренных отводов кабелей и подключенных устройств.

2.8. Пользователю категорически запрещается:

- использовать компоненты программного и аппаратного обеспечения персонального компьютера в неслужебных целях;

- вносить какие-либо изменения в конфигурацию аппаратных средств ИСПДн или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные архивом дистрибутивов установленного программного обеспечения;

- осуществлять обработку ПДн в присутствии посторонних (не допущенных к данной информации) лиц;

- записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных машинных носителях информации (гибких магнитных дисках и т.п.);

- оставлять включенным без присмотра компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

- оставлять без личного присмотра свое персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации;

- размещать средства ИСПДн так, чтобы существовала возможность визуального считывания информации.

2.9. Лица, ответственные за защиту персональных данных в ЛПУ.

Ответственный за обработку ПДн - штатный сотрудник определяющий уровень доступа и ответственность лиц участвующих в обработке ПДн. Назначается приказом по учреждению.

Ответственный за обеспечение безопасности персональных данных – штатный сотрудник (или подразделение) отвечающий за проведение мероприятий, связанных с защитой ПДн (организационных и технических), а также осуществляющий контроль соблюдения требований по защите ПДн в подразделениях. Назначается приказом по учреждению.

Администратор информационной безопасности – штатный сотрудник, ответственный за защиту автоматизированной системы (АС) от несанкционированного доступа (НСД) к информации. Назначается приказом по учреждению.

2.10. Администратор информационной безопасности (при его отсутствии ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн) обязан:

- знать состав основных и вспомогательных технических систем и средств (далее - ОТСС и ВТСС) установленных и смонтированных в ИСПДн, перечень используемого программного обеспечения (далее - ПО) в ИСПДн;

- контролировать целостность печатей (пломб, защитных наклеек) на периферийном оборудовании, защищенных СВТ и других устройствах;

- производить необходимые настройки подсистемы управления доступом установленных в ИСПДн СЗИ от НСД и сопровождать их в процессе эксплуатации, при этом:

· реализовывать полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (файлам, каталогам, принтеру и т.д.);

· вводить описания пользователей ИСПДн в информационную базу СЗИ от НСД;

· своевременно удалять описания пользователей из базы данных СЗИ при изменении списка допущенных к работе лиц;

· контролировать доступ лиц в помещение в соответствии со списком сотрудников, допущенных к работе в ИСПДн;

· проводить инструктаж сотрудников - пользователей компьютеров по правилам работы с используемыми техническими средствами и системами защиты информации;

· контролировать своевременное (не реже чем один раз в течение 60 дней) проведение смены паролей для доступа пользователей к компьютерам и ресурсам ИСПДн;

· обеспечивать постоянный контроль выполнения сотрудниками установленного комплекса мероприятий по обеспечению безопасности информации в ИСПДн;

· осуществлять контроль порядка создания, учета, хранения и использования резервных и архивных копий массивов данных;

· настраивать и сопровождать подсистемы регистрации и учета действий пользователей при работе в ИСПДн;

· вводить в базу данных СЗИ от несанкционированного доступа описания событий, подлежащих регистрации в системном журнале;

· проводить анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам не реже одного раза в месяц;

· организовывать печать файлов пользователей на принтере и осуществлять контроль соблюдения установленных правил и параметров регистрации и учета бумажных носителей информации;

· сопровождать подсистемы обеспечения целостности информации в ИСПДн;

· периодически тестировать функции СЗИ от НСД, особенно при изменении программной среды и полномочий исполнителей;

· восстанавливать программную среду, программные средства и настройки СЗИ при сбоях совместно с лицами, ответственными за техническое обеспечение.

· вести две копии программных средств СЗИ от НСД и контролировать их работоспособность;

· контролировать отсутствие на магнитных носителях остаточной информации по окончании работы пользователей;

· периодически обновлять антивирусные средства (базы данных), контролировать соблюдение пользователями порядок и правила проведения антивирусного тестирования:

· проводить работу по выявлению возможных каналов вмешательства в процесс функционирования ИСПДн и осуществления несанкционированного доступа к информации и техническим средствам вычислительной техники;

· сопровождать подсистему защиты информации от утечки за счет побочных электромагнитных излучений и наводок, контролировать соблюдение требований по размещению и использованию технических средств ИСПДн;

· контролировать соответствие документально утвержденного состава аппаратной и программной части ИСПДн реальным конфигурациям ИСПДн, вести учет изменений аппаратно-программной конфигурации;

· обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации технического обслуживания ИСПДн и отправке его в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях с составлением соответствующего акта);

· присутствовать (участвовать) в работах по внесению изменений в аппаратно-программную конфигурацию ИСПДн;

· вести журнал учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств на компьютерах ИСПДн;

· поддерживать установленный порядок проведения антивирусного контроля согласно требованиям настоящего Положения;

· в случае отказа средств и систем защиты информации принимать меры по их восстановлению;

· докладывать ответственному за обработку персональных данных о неправомерных действиях пользователей, приводящих к нарушению требований по защите информации;

· вести документацию на ИСПДн в соответствии с требованиями нормативных документов.

2.11.Администратор информационной безопасности и ответственный за обеспечение безопасности персональных данных при их обработке в ИСПДн имеют право:

- требовать от сотрудников - пользователей ИСПДн соблюдения установленной технологии обработки информации и выполнения инструкций по обеспечению безопасности и защите информации в ИСПДн;

- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения защиты, несанкционированного доступа, утраты, модификации, порчи защищаемой информации и технических компонентов ИСПДн;

- требовать прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации;

- участвовать в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год - ФСТЭК России

Методика303 КБ69757
Методика196 КБ7137

Федеральная служба

по техническому и экспортному контролю

Утверждена

Заместителем директора ФСТЭК России

14 февраля 2008 г.

Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.

В книге всего пронумеровано 10 страниц, для служебного пользования

Введение

Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного  постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781, с учетом действующих нормативных документов ФСТЭК России по защите информации. Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных:

государственных или муниципальных ИСПДн;

ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением;

ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд.

Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн.

1. Общие положения

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий  при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г. «О персональных данных» ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн и(или) потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.

Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по техническим каналам (технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн, технические каналы перехвата информации при ее передаче по каналам связи, технические каналы утечки акустической (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения.

Детальное описание угроз, связанных с утечкой ПДн по техническим каналам, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Выявление технических каналов утечки ПДн осуществляется на основе нормативных и методических документов ФСТЭК России.

Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:

нарушитель;

носитель вредоносной программы;

аппаратная закладка.

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители подразделяются на два типа:

нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;

нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители.

Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПДн, подключенные к сетям общего пользования.

Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн и мер по контролю порядка проведения работ.

Угрозы несанкционированного доступа от внешних нарушителей реализуются с использованием протоколов межсетевого взаимодействия.

Детальное описание угроз, связанных с несанкционированным доступом в ИСПДн персональных данных, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса составляются специальные опросные листы.

Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования  перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень. На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн.

2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.

Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.

Таблица 1

Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению:

распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;

+

городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);

+

корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;

+

локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;

+

локальная ИСПДн, развернутая в пределах одного здания

+

2. По наличию соединения с сетями общего пользования:

ИСПДн, имеющая многоточечный выход в сеть общего пользования;

+

ИСПДн, имеющая одноточечный выход в сеть общего пользования;

+

ИСПДн, физически отделенная от сети общего пользования

+

3. По встроенным (легальным) операциям с записями баз персональных данных:

чтение, поиск;

+

запись, удаление, сортировка;

+

модификация, передача

+

4.По разграничению доступа к персональным данным:

ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;

+

ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;

+

Окончание таблицы 1

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

ИСПДн с открытым доступом

+

5. По наличию соединений с другими базами ПДн иных ИСПДн:

интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);

+

ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн

+

6. По уровню обобщения (обезличивания) ПДн:

ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);

+

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;

+

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)

+

7. По объему  ПДн, которые предоставляются  сторонним пользователям ИСПДн без предварительной обработки:

ИСПДн, предоставляющая всю базу данных с ПДн;

 +

ИСПДн, предоставляющая часть ПДн;

+

ИСПДн, не предоставляющая никакой информации.

+

Исходная степень защищенности определяется следующим образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности,  к общему количеству решений), а остальные – низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент, а именно:

0 – для высокой степени исходной защищенности;

5 – для средней степени исходной защищенности;

10 – для низкой степени исходной защищенности.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:

маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент, а именно:

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением

.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

если , то возможность реализации угрозы признается низкой;

если , то возможность реализации угрозы признается средней;

если , то возможность реализации угрозы признается высокой;

если , то возможность реализации угрозы признается очень высокой.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 2.

Таблица 2

Правила отнесения угрозы безопасности ПДн к актуальной

Возможность реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

Изменения, вызванные принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

  • Признается утратившим силу постановление правительства от 17 ноября 2007 г. № 781;
  • Дано понятие безопасности персональных данных;
  • Определено, что выбор средств  защиты для систем защиты ПДн осуществляются оператором в соответствии с  НПА, принятыми ФСБ и ФСТЭК.
  • Дана новая классификация (5 типов ИСПДн);
  • Введены 3 типа угроз  безопасности персональных данных;
  • Введены 4 уровня защищенности персональных данных;
  • Установлены требования по обеспечению каждого уровня защищенности.

Фактически перестают действовать руководящие документы ФСБ и ФСТЭК, базировавшиеся на ПП-781:

  • Приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г. N 55/86/20 «Порядок проведения классификации информационных систем персональных данных;
  • Приказ ФСТЭК от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
  • Руководящий документ ФСТЭК от 15 февраля 2008 г. «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Руководящий документ 8 Центра ФСБ России N 149/54-144 от 21 февраля 2008 г. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
  • Руководящий документ 8 центра ФСБ России N 149/6/6-622 21 февраля 2008 года «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».
Изменение подхода к сертификации:
  • Принятые в начале 2012 года руководящие документы ФСТЭК по системам обнаружения вторжений (СОВ) и средствам антивирусной защиты (САЗ) привязаны в 4 классам ИСПДн – указанные РД были предназначены для разработчиков средств защиты, заявителей на сертификацию, а также испытательных лабораторий и органов по сертификации. ;
  • принятый 4 года назад подход по указанию в сертификатах ФСТЭК класса ИСПДн, для которого возможно применение прошедшего оценку соответствия средства защиты теперь невозможно;
  • судьба уже выданных сертификатов на средства защиты непонятна.
Безопасность персональных данных

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Выбор средств защиты ПДн

Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

Новая классификация ИСПДн

ПО ВИДУ ОБРАБАТЫВАЕМЫХ ПДн

  • ИСПДн обрабатывающая специальные категории ПДн (ИСПДн-С)

ПДн касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни субъектов

  • ИСПДн обрабатывающая биометрические ПДн (ИСПДн-Б)

сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных

  • ИСПДн обрабатывающая общедоступные ПДн (ИСПДн-О)

ПДн полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О  персональных данных»

  • ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)

если не обрабатываются ПДн, указанные в абзацах первом - третьем настоящего пункта

ПО ПРИНАДЛЕЖНОСТИ ОБРАБАТЫВАЕМЫХ ПДн

  • ИСПДн обрабатывающая ПДн сотрудников оператора

ПДн только указанных сотрудников (кадры). В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. Могут быть специальные, общедоступные и иные.

Типы угроз безопасности ПДн

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

3 типа угроз ПДн:

Угрозы 1-го типа (уровень системы) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа (уровень приложения) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа (уровень пользователя) актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

Уровни защищенности ИСПДн

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Необходимость обеспечения определенного уровня защищенности определяется типом ИСПДн, типом актуальных угроз и количеством субъектов, ПДн которых обрабатываются в ИСПДн.

Необходимость обеспечения определенного уровня защищенности ПДн устанавливается при наличие хотя бы одного из условий 

 

угрозы 1 типа

угрозы 2 типа

угрозы 3 типа

ИСПДн-С

1

-

-

ИСПДн-Б

1

2

3

ИСПДн-О

2

-

4

ИСПДн-И

1

-

-

ИСПДн – С. Не сотрудников

-

2  < 100000 > 1

3 < 100000 > 2

ИСПДн-С сотрудников

-

2

3

ИСПДн-О Не сотрудников

-

3 < 100000 > 2

-

ИСПДн-О сотрудников

-

3

-

ИСПДн-И сотрудников

-

3

4

ИСПДн-И Не сотрудников

-

3 < 100000 > 2

4 < 100000 > 3

Необходимость обеспечения определенного уровня защищенности ПДн устанавливается при наличие хотя бы одного из условий.

Требования

1

2

3

4

Регулярный контроль за выполнением требований

Контроль за выполнением настоящих требований организуется и проводится оператором самостоятельно и (или) с привлечением лицензиатов ФСТЭК.

*

*

*

*

Физ.безопасность и контроль доступа

Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

*

*

*

*

Безопасность носителей

Обеспечение сохранности носителей персональных данных

*

*

*

*

Перечень допущенных лиц

Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей

*

*

*

*

Сертифицированные СЗИ

Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

*

*

*

*

Назначение ответственного за безопасность ПДн

Назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн

*

*

*

-

Контроль доступа к эл. журналу доступа.

Обеспечение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

*

*

-

-

Автоматическая регистрация в эл. журнале доступа

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИСПДн

*

-

-

-

Создание структурного подразделения

Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

*

-

-

Требования по обеспечению уровня защищенности

Для обеспечения 4-го уровня защищенности:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для обеспечения 3-го уровня защищенности:

а) выполнение требований, предусмотренных для 4-го уровня защищенности;

б) назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных

Для обеспечения 2-го уровня защищенности:

а) выполнение требований, предусмотренных для 3-го уровня защищенности;

б) доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Для обеспечения 1-го уровня защищенности:

а) выполнение требований, предусмотренных для 2-го уровня защищенности;

б) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

в) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Контроль выполнения требований

Контроль за выполнением требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.

Проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Операторам на данный момент необходимо проверить себя по следующим вопросам:

Разработать/Внедрить если еще не сделали:

  • Определить перечень носителей ПДн и требования по их хранению, использованию, транспортировке и уничтожению. 
  • Обеспечить физическую безопасность носителей ПДн и контроль доступа в помещения обработки ПДн. Хорошей практикой является наличие утвержденного списка лиц, допущенных в серверное помещение. Иногда регуляторы еще и спрашивают про перечень лиц, допущенных во все помещения, где производится обработка ПДн, но, на мой взгляд, это излишне.
  • Назначить должностное лицо (работника), ответственного за обеспечение безопасности ПДн в ИСПДн. Надо различать ответственного за обработку и за обеспечение безопасности ПДн.
  • Разработать и утвердить перечень лиц, допущенных к обработке ПДн.
  • Для СЗПДн использовать СЗИ, прошедшие процедуру оценки соответствия.
  • Определить процедуру регулярных проверок выполнения требований к СЗПДн (процедура внутреннего контроля).

Пересмотреть/Доработать с учетом новых данных:

  • Пересмотреть протокол возможного ущерба субъектам ПДн.
  • Пересмотреть и обновить Акты классификации ИСПДн с учетом уровней защищенности.

Быть готовым к пересмотру и доработке:

  • Быть готовым к пересмотру модели угроз ИСПДн.
  • Быть готовым к пересмотру всей СЗПДн и закупке новых СЗИ.
  • Начать думать об электронном журнале (что это и какие технологии используются) и обеспечить его безопасность.

Последовательность действий при организации защиты ИСПДн

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

Операторы при обработке персональных данных обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

В силу требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных»:

  • после дня вступления в силу указанного Федерального закона обработка ПДн, включенных в ИСПДн до дня его вступления в силу, осу­ществляется в соответствии с указанным Федеральным законом;
  • ИСПДн, созданные до 01 января 2011 г., должны быть приве­дены в соответствие с требованиями указанного Федерального закона не позднее 01 июля 2011 г. (в ред. Федерального закона от 23 декабря 2010 г. № 359-ФЭ).

На основании принятых во исполнение положений Федерального закона № 152-ФЗ «О персональных данных», нормативно-правовых актов и методических документов операторы, эксплуатирующие ИСПДн, обязаны выполнить следующую последовательность действий для приведения ИСПДн в соответствие требованиям законодательства Российской Федерации:

При назначении ответственных лиц необходимо обратить особое внимание на то, что основной задачей их деятельности будет не обработка ПДн в ИСПДн, а выполнение требований по обеспечению безопасности ПДн, реализация методов и способов защиты ПДн в ИСПДн.

  1. Определить состав обрабатываемых ПДн, цели и условия их обра­ботки, сроки хранения ПДн различных категорий. Результат оформить в виде Перечня персональных данных, подлежащих защите. Подробно в статье инвентаризация и категорирование персональных данных.
  2. В соответствии с требованиями п. 6 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении По­ложения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» провести классификацию действующих ИСПДн. Подробно этот вопрос рассмотрен в статье Классификация информационных систем персональных данных.
  3. В соответствии с требованиями части 1 статьи 22 Федерального закона № 152-ФЗ «О персональных данных», зарегистрироваться в качестве оператора ПДн - подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченный орган по защите прав субъектов ПДн. Регистрация в качестве оператора персональных данных.
  4. В соответствии с требованиями ст. 6 Федерального закона № 152-ФЗ «О персональных данных» получить согласие субъектов ПДн на обработку их ПДн, если иное не предусмотрено указанным законом (см. статью получение согласия субъекта персональных данных).
  5. В соответствии с требованиями п. 14 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» утвердить список лиц, допущенных к обработке ПДн.

Рекомендуется список допущенных лиц оформить в виде разрешительной системы доступа к информационным ресурсам, программным и техническим средствам информационных систем персональных данных, которая включает уровень прав доступа допущенных лиц к ресурсам ИСПДн. Разрешительная система доступа доводится до всех сотрудников оператора, допущенных к обработке ПДн, под роспись.

  1. Подготовить и утвердить должностные инструкции в составе:

Инструкции определяют должностные обязанности всех лиц, допущенных к ИСПДн и доводятся до соответствующих сотрудников, под роспись.

  1. В соответствии с требованиями п. 16 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» для специальных ИСПДн (по решению оператора для типовых ИСПДн) разработать и утвердить модель УБПДн при их обработке в ИСПДн. Порядок разработки модели угроз.
  2. В соответствии с требованиями «Положения о методах и способах защиты информации в информационных системах персональных данных», утвержденного приказом ФСТЭК России от 5 февраля 2010 г. № 58 и на основании частной модели угроз безопасности ПДн при их обработке в ИСПДн (в случае ее разработки) реализовать методы и способы защиты ПДн в ИСПДн.

Методы и способы защиты персональных данных в соответствии с классом

  1. В соответствии с требованиями п. 15 постановления Правитель­ства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» реализо­вать регистрацию запросов пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам автоматизированными средствами ИСПДн в электронном журнале обращений, с целью обеспече­ния своевременного обнаружения фактов НСД к ПДн.

Поскольку программное обеспечение, обрабатывающее ПДн, зачас­тую средств логирования запросов и получения по ним отчетов не имеет, необходимо использовать дополнительные (внешние) средства регистра­ции действий пользователей ИСПДн.

  1. В соответствии с требованиями п. 12 постановления Правитель­ства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» подгото­вить и утвердить Регламент учета средств защиты информации, эксплуата­ционной и технической документации к ним, электронных носителей пер­сональных данных.

Регламент устанавливает порядок учета и хранения применяемых опе­ратором СЗИ, а также электронных носителей ПДн и доводится до всех со­трудников, допущенных к обработке ПДн, под роспись. Проект регламента.

  1. Подготовить и утвердить для каждого типа применяемых СЗИ инструкции по их использованию, предназначенные для ответственных за обеспечение безопасности ПДн, администраторов безопасности ИСПДн и пользователей ИСПДн.
  2. Разработать и утвердить Положение по обеспечению безопасно­сти ПДн при их обработке в ИСПДн.

Положение определяет порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн и содержит общие принципы защиты ПДн.

Войдите или зарегистрируйтесь, чтобы оставлять комментарии.Забыли пароль?


Смотрите также