Общий порядок организации обеспечения безопасности персональных данных
Цели защиты информации:
предотвращение утечки информации по ТКУИ;
предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в ИС;
соблюдение правового режима использования массивов, программ обработки информации;
обеспечение полноты, целостности, достоверности информации в системах обработки;
сохранение возможности управления процессом обработки и пользования информацией.
Задачи защиты информации:
предотвращение перехвата информации передаваемой по каналам связи, техническими средствами;
предотвращения утечки обрабатываемой информации за счет ПЭМИН и электроакустических преобразований;
исключения НСД к информации;
предотвращение специальных программно-технических воздействий, на информацию и СВТ;
выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации;
предотвращения перехвата техническими средствами речевой информации из помещений и объектов.
Защита конфиденциальной информации - это деятельность собственника информации или уполномоченных им лиц по:
обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;
предотвращению утечки и/или утраты информации;
охранению полноты, достоверности, целостности защищаемой информации;
сохранению конфиденциальности информации в соответствии с правилами, установленными законодательными и другими нормативными актами.
Организация защиты конфиденциальной информации
процесс и результат взаимного согласования разнородных мероприятий, методов, приемов и средств защиты информации, реализуемых в интересах её безопасности.
ОТВЕТСТВЕННОСТЬ за обеспечение требований по технической защите информации ограниченного доступа возлагается НА РУКОВОДИТЕЛЕЙ ОРГАНИЗАЦИЙ, эксплуатирующих объекты информатизации.
Организация работ по защите информации
Методическое руководство и контроль за эффективностью предусмотренных мер защиты информации
Научно-техническое руководство и непосредственная организация работ по созданию (модернизации) СЗИ объекта информатизации
Организация обеспечения безопасности ПДн - формирование совокупности осуществляемых на всех стадиях жизненного цикла ИСПДн согласованных по цели, задачам, месту и времени мероприятий, направленных на предотвращение и парирование угроз безопасности ПДн в ИСПДн, на восстановление нормального функционирования ИСПДн после нейтрализации угрозы, с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.
Классификация УЩЕРБА в зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн
Связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.
Непосредственный ущерб
Связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн.
Возникает за счет незаконного использования ПДн или за счет несанкционированной модификации этих данных.
Может проявляться в виде:
незапланированных и (или) непроизводительных финансовых или материальных затратах субъекта;
потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).
Порядок организации обеспечения безопасности персональных данных
оценка обстановки
обоснование требований по обеспечению безопасности
формулирование задач защиты
разработка замысла обеспечения безопасности
выбор целесообразных способов (мер и средств) защиты в соответствии с задачами и замыслом защиты
решение вопросов управления обеспечением безопасности и контроля эффективности защиты
обеспечение реализации принятого замысла защиты
планирование мероприятий по защите
организация и проведение работ по созданию системы защиты персональных данных
разработка документов, регламентирующих вопросы организации обеспечения безопасности и эксплуатации системы защиты персональных данных;
развертывание и ввод в опытную эксплуатацию СЗПДн;
доработка СЗПДн по результатам опытной эксплуатации.
Оценка обстановки
Комплексное обследование ИСПДн - основа оценки.
Анализ информационных ресурсов
состав, содержание и местонахождение
категорирование информации
оценка выполнения обязанностей по обеспечению безопасности персональных данных оператором
Анализ уязвимых звеньев и возможных угроз безопасности ПДн
Основные угрозы:
уничтожение и хищение аппаратных средств и носителей
утечка информации по каналам ПЭМИН;
перехват при передаче по проводным линиям связи
хищение, модификация, блокирование информации за счет НСД с применением программно-аппаратных
электромагнитное воздействие на элементы ИСПДн
непреднамеренные действия пользователей
сбои в программном обеспечении
угрозы неатропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания)
угрозы стихийного характера
Оценка ущерба от реализации угроз
Анализ имеющихся в распоряжении мер и СрЗИ
от физического доступа
от утечки по техническим каналам утечки информации
от несанкционированного доступа
от программно-математических воздействий
от электромагнитных воздействий
Обоснование требований
Проводится в соответствии с:
На основании
"Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах персональных данных"
Порядок формирования замысла
Определяются основные направления защиты
Выбираются способы защиты
Решаются основные вопросы управления защитой ПДн
организация охраны
организация служебной связи и сигнализации
организация взаимодействия
резервирование программного и аппаратного обеспечения
организация управления администрированием
Решаются основные вопросы обеспечения защиты ПДн
Выбор способов обеспечения безопасности
Исполнители
подразделения по защите информации
отдельные специалисты, назначаемые руководством
сторонние организации, имеющие лицензии на право проведения соответствующих работ
Основные вопросы управления
распределение функций управления доступом к данным и их обработкой между должностными лицами
определение порядка изменения правил доступа к защищаемой информации
определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам
определение порядка действий должностных лиц в случае возникновения нештатных ситуаций организационные меры
определение порядка проведения контрольных мероприятий и действий по их результатам
Основные вопросы обеспечения
Обязательная документация
Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.
Требования по обеспечению безопасности ПДн при обработке в ИСПДн.
Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.
Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
Основные мероприятия по организации и техническому обеспечению
мероприятия по организации обеспечения безопасности, включая классификацию ИСПДн
мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн:
размещение
специальное оборудование
охрана
организации режима допуска в помещения
закрытие технических каналов утечки информации
защита информации от НСД
определение порядка выбора средств защиты
Мероприятия по организации обеспечения безопасности персональных данных
Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий, ВОЗЛАГАЮТСЯ НА ОПЕРАТОРА.
Может назначаться структурное подразделение или должностное лицо (работник), ответственный за обеспечение безопасности персональных данных.
Обеспечение безопасности реализуется в рамках СЗПДн
Состав системы защиты персональных данных
Структура, состав и основные функции системы защиты определяются исходя из класса ИСПДн
Рекомендуемые стадии создания СЗПДн
Предпроектная стадия:
Стадия проектирования и реализации ИСПДн разработка СЗПДн в составе ИСПДн
Стадия ввода в действие СЗПДн:
опытная эксплуатация
приемо-сдаточные испытания средств защиты информации
оценка соответствия требованиям безопасности
устанавливается необходимость обработки информации
определяется перечень ПДн, подлежащих защите от НСД
определяются условия расположения ИСПДн относительно границ контролируемой зоны
определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент
функциональные и технологические связи внутри системы
Предпроектное обследование
условия их расположения
определяются режимы обработки информации
определяется класс ИСПДн
уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой
определяются (уточняются) угрозы безопасности ПДн к конкретным условиям функционирования
разрабатывается частная модель угроз задаются
конкретные требования по обеспечению безопасности ПДн, включаемые в техническое задание (ЧТЗ) на разработку СЗПДн
По результатам предпроектного обследования на основе методического документа "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн" с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое задание (ЧТЗ) на разработку СЗПДн
Техническое задания на разработку СЗПДн
обоснование разработки СЗПДн
исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах
класс ИСПДн
ссылка на нормативные документы
конкретизация мероприятий и требований к СЗПДн
перечень предполагаемых к использованию сертифицированных средств защиты информации
обоснование проведения разработок собственных СрЗИ
состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн
Проектирование и создания ИСПДн
разработка задания и проекта на строительные, строительно-монтажные работы
разработка раздела технического проекта на ИСПДн в части защиты информации
строительно-монтажные работы в соответствии с проектной документацией;
использование серийно выпускаемых ТСПИ
разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями
использование сертифицированных технических, программных и программно-технических СрЗИ
разработка и реализация разрешительной системы доступа к информации
определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ
разработка эксплуатационной документации
Ввод в действие ИСПДн
выполнение генерации пакета прикладных программ в комплексе с программными СрЗИ
опытная эксплуатация средств защиты информации
приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации
организация охраны и физической защиты помещений
оценка соответствия ИСПДн требованиям безопасности
Оценка соответствия
для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации;
для ИСПДн 3 класса - декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);
для ИСПДн 4 класса оценка соответствия проводится по решению оператора.
Условие доработки функционирующих ИСПДн
Необходимость лицензирования
Операторы при проведении мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн 1, 2 КЛАССОВ и РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ 3 КЛАССА должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.