Рекомендации по проведению работ в подведомственных Рособразованию учреждениях по обеспечению защиты информационных систем персональных данных
|
Скачать 343.46 Kb.
|
Приложение 1РЕКОМЕНДАЦИИпо проведению работ в подведомственных Рособразованию учрежденияхпо обеспечению защиты информационных систем персональных данных.В соответствии с рекомендациями ФСТЭК России обеспечение защиты информационных систем персональных данных (ПДн) включает следующие стадии: 1 Предпроектная стадия •Обследование информационных систем ПДн •Разработка Плана мероприятий по обеспечению защиты ПДн •Разработка Технического задания 2 Стадия проектирования и реализации •Разработка Технического проекта •Внедрение технических средств защиты ПДн •Разработка нормативной и регламентирующей документации 3 Стадия ввода в действие •Опытная эксплуатация системы защиты ПДн •Приемо-сдаточные испытания • Оценка соответствия требованиям по безопасности информации •Обучение персонала •Подача уведомления о начале обработки персональных данных Для типовых систем обработки персональных данных реализация перечисленных работ, особенно в части проектирования систем защиты, существенно упрощается. 1. Проведение обследования На этапе обследования информационных систем ПДн выполняются следующие работы:
Результатами работ на этапе обследования являются:
Если затраты времени и средств на приведение информационных систем персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями окажутся слишком высокими, то следует оценить возможность обезличивания или понижения классов информационных систем и провести необходимые работы повторно. Наиболее эффективным способом приведению ИСПДн в соответствие с предъявляемыми требованиями является их обезличивание. Оно позволяет классифицировать ИСПДн по низшему классу К4 и самостоятельно определить необходимость и способы их защиты. Если обезличивание невозможно, то понизить требования по защите персональных данных можно путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ. После определения способов понижения требований по защите персональных данных и необходимого повторного обследования оформляются акты классификации ИСПДн, осуществляются определение и анализ типовых моделей угроз и требований, определение необходимых мер и средств защиты ПДн, а также внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн. Завершается предпроектная стадия формированием Плана выполнения работ по обеспечению защиты персональных данных. Предпроектная стадия является важнейшим этапом работ по обеспечению защиты персональных данных, во многом определяющим состав и эффективность реализации мероприятий и необходимые затраты. Поэтому на данном этапе целесообразно привлекать для анализа результатов обследования и консультаций специалистов в области защиты персональных данных. 2. Классификация информационных систем персональных данных и определение актуальных угроз их безопасности Для проведения классификации ИСПДн, определения категорий персональных данных и экспертной оценки угроз их безопасности целесообразно сформировать комиссию с привлечением специалистов в области информационной безопасности, в том числе по защите государственной тайны. Перечень типовых ИСПДн определен приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных» http://www.pd.rsoc.ru/low. Классификация ИСПДн осуществляется в зависимости от категории персональных данных (ПДн), не содержащих сведения, относящиеся к государственной тайне: категория 1 - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1; категория 3 - ПДн, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. Целесообразно отдельно определять категории ПДн, обрабатываемых в ИСПДн в электронном и в бумажном виде. В последнем случае следует руководствоваться постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687. Типовые ИСПДн, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных, относятся к классу 1 (К1), - к негативным последствиям – к классу 2 (К2), к незначительным негативным последствиям – к классу 3 (К3), для субъектов персональных данных, не приводит к негативным последствиям для субъектов персональных данных – к классу 4 (К4). Кроме того, при классификации учитываются объем и территория охвата субъектов персональных данных в порядке, приведенном в приказе ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
ИСПДн, обрабатывающие обезличенные или общедоступные персональные данные класса (категории 4) относятся к классу К4. В этом случае обязательные требования по защите ПДн не устанавливаются. Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" определены необходимые мероприятия по защите персональных данных. В их число входят определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем, и другие мероприятия. При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации (прежде всего, регламентирование доступа сотрудников к обработке персональных данных, парольная и антивирусная защита); б) своевременное обнаружение фактов несанкционированного доступа к персональным данным (прежде всего, регламентирование использования и регулярное обновление антивирусных средств); в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование (охрана и регламентирование использования технических средств); г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (прежде всего, путем хранения резервных копий на съемных маркированных носителях); д) постоянный контроль за обеспечением уровня защищенности персональных данных (осуществляемый, в основном, администраторами ИСПДн и иным персоналом). При этом следует иметь ввиду, что в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» основным обязательным требованием к ИСПДн является обеспечение конфиденциальности. Если право доступа субъекта к своим персональным данным, их изменения, блокирования или отзыва реализуются не самим субъектом непосредственно, а персоналом ИСПДн при обращении или по запросу субъекта или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, если в ИСПДн не обрабатываются персональные данные 1 категории и не предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки персональных данных, то другие требования (кроме конфиденциальности) менее критичны. Так, в случае выявления неправомерных действий с персональными данными для их устранения законом предусмотрено три рабочих дня с даты такого выявления. Следует учитывать, что требования к обработке персональных данных и к обработке иной конфиденциальной информации (например, коммерческой тайны) могут различаться. Применение к обработке персональных данных положений документов (например, СТР-К), действующих до вступления в силу Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», если эти положения в этом законе или последующих подзаконных актах изложены иначе, юридически некорректно. Если система не может быть отнесена к типовой, модель угроз специальной информационной системы разрабатывается на основе ГОСТ Р 51275-2006 специалистами в области информационной безопасности. Типовые модели угроз приводятся в «Базовой модели угроз безопасности персональных данных». Определение угроз безопасности персональных данных осуществляется на основе утвержденной ФСТЭК России «Базовой модели угроз безопасности персональных данных». Полный перечень угроз определен ГОСТ Р 51275-2006. Выбор типовой модели угроз осуществляется в зависимости от того, имеют ли ИСПДн подключение к сетям общего пользования и (или) сетям международного информационного обмена, а также от их структуры (автономные автоматизированные рабочие места, локальные сети, распределенные ИСПДн с удаленным доступом). Наименьшее количество угроз имеют автоматизированные рабочие места и локальные ИСПДн, не подключенные к сетям общего пользования. Если ИСПДн нераспределенные и соответствуют классу К3, то необходимые мероприятия по защите персональных данных могут быть осуществлены без привлечения специалистов в области информационной безопасности. Для каждой угрозы, приведенной в типовой модели, следует оценить возможную степень ее реализации. Если она окажется высокой, то это может потребовать применения соответствующих дополнительных технических средств защиты информации. Возможность реализации угрозы зависит от исходной защищенности ИСПДн и вероятности реализации угрозы. Вероятность реализации угрозы - определяемый экспертным путем показатель, характеризующий, насколько вероятной является реализация конкретной угрозы безопасности ПДн для каждой ИСПДн: маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, отсутствует физическое подключение к сети); низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, действия персонала оговорены в утвержденном регламенте или имеются средства защиты и инструкции по их применению); средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (например, средства защиты имеются, но инструкции по их применению отсутствуют): высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты. Исходная защищенность ИСПДн определяется в соответствии с утвержденной ФСТЭК России «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Расчет исходной защищенности ИСПДн осуществляется по таблице, приведенной в «Методике...», в зависимости от ряда показателей, по которым подразделяются ИСПДн. В соответствии с «Методикой...» осуществляется расчет возможности реализации угроз и оценка их опасности. Определяемый на основе опроса экспертов показатель опасности имеет три значения: низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных, что соответствует классу К3; средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных, что соответствует классу К2; высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных, что соответствует классу К1. Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных соответствуют классу К4. При использовании типовых моделей угроз и соответствующих им требований, приведенных в утвержденных ФСТЭК России «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» следует учитывать, что в ряде случаев возможности реализации отдельных угроз могут быть более высокими и потребовать дополнительных мер защиты персональных данных. Например, возможность реализации угроз увеличивается, если: - помещения не запираются; - при обработке персональных данных используются микрофон и динамики; - монитор не отвернут от окна и посетителей; - используются беспроводные устройства, в т.ч. клавиатура и мышь; - отсутствует парольная защита BIOS; - используются средства сетевого взаимодействия по электропроводке или беспроводные; - запуск неразрешенных приложений не контролируется. Актуальные угрозы определяются по приведенной в «Методике...» таблице в зависимости от их опасности и возможности реализации. При отсутствии дополнительных опасных факторов (например, перечисленных) для нераспределенных ИСПДн 3 класса анализ угроз можно провести при окончательном уточнении требований на этапе выбора и реализации системы защиты персональных данных. Исходя из составленного перечня актуальных угроз и класса ИСПДн на основе утвержденных ФСТЭК России «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные требования по защите ИСПДн и осуществляется выбор программных и технических средств защиты информации. Выписки из документов размещены на официальном сайте ФСТЭК России www.fstec.ru/_razd/_ispo.htm. Анализ актуальности угроз и защита персональных данных могут также осуществляться на основании Методических рекомендаций ФСБ России по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Однако для типовых ИСПДн 3 класса в большинстве случаев это потребует дополнительных затрат. Если аномально опасные угрозы не выявлены, то для ИСПДн 3 класса, как правило, можно ограничиться типовыми требованиями к средствам защиты, приведенными в выписке из «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» www.fstec.ru/_spravs/meropriaytiay.doc. В документе приводятся три варианта требований к ИСПДн 3 класса: - при однопользовательском режиме обработки; - при многопользовательском режиме обработки и равных правах доступа; - при многопользовательском режиме обработки и разных правах доступа. В последнем случае при подключении к Интернет нераспределенных ИСПДн класса К3 сертифицированные межсетевые экраны не указаны, как обязательные. Это существенно уменьшает затраты на реализацию системы защиты персональных данных, но требует настройки ИСПДн с учетом прав доступа конкретных пользователей. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Похожие:
 |
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
|
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных... |
 |
Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
О проведении работ по защите персональных данных в учреждениях здравоохранения... Фз «О персональных данных», нормативно-правовыми актами Российской Федерации и Калининградской области в сфере защиты персональных... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Техническое задание на выполнение работ по созданию системы защиты... Настоящий документ содержит техническое задание на выполнение работ по созданию системы защиты персональных данных и оценке эффективности... |
|
Методические рекомендации по обеспечению с помощью криптосредств... В частности, Методическими рекомендациями необходимо руководствоваться в следующих случаях |
|
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Инструкция администратора безопасности информационных систем персональных данных ООО ук «Атал» Администратор безопасности информационных систем персональных данных (далее – Администратор) назначается приказом ООО ук «Атал» (далее... |
|
Инжавинского района тамбовской области постановление Об утверждении Положения об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной... |
|
Обработки персональных данных и реализуемых требованиях к защите персональных данных Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,... |
|
Инструкция администратора информационных систем персональных данных Администратор информационных систем персональных данных (испдн) (далее – Администратор) назначается приказом директора мбоу сош с.... |
|
Приказ Фз «О персональных данных» и в целях обеспечения мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной... |