Общий порядок организации обеспечения безопасности персональных данных

Общий порядок организации обеспечения безопасности персональных данных

Цели защиты информации:

• предотвращение утечки информации по ТКУИ;

• предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в ИС;

• соблюдение правового режима использования массивов, программ обработки информации;

• обеспечение полноты, целостности, достоверности информации в системах обработки;

• сохранение возможности управления процессом обработки и пользования информацией.

Задачи защиты информации:

• предотвращение перехвата информации передаваемой по каналам связи, техническими средствами;

• предотвращения утечки обрабатываемой информации за счет ПЭМИН и электроакустических преобразований;

• исключения НСД к информации;

• предотвращение специальных программно-технических воздействий, на информацию и СВТ;

• выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации;

• предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

Защита конфиденциальной информации - это деятельность собственника информации или уполномоченных им лиц по:

• обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;

• предотвращению утечки и/или утраты информации;

• охранению полноты, достоверности, целостности защищаемой информации;

• сохранению конфиденциальности информации в соответствии с правилами, установленными законодательными и другими нормативными актами.

Организация защиты конфиденциальной информации

• процесс и результат взаимного согласования разнородных мероприятий, методов, приемов и средств защиты информации, реализуемых в интересах её безопасности.

ОТВЕТСТВЕННОСТЬ за обеспечение требований по технической защите информации ограниченного доступа возлагается НА РУКОВОДИТЕЛЕЙ ОРГАНИЗАЦИЙ, эксплуатирующих объекты информатизации.

Организация работ по защите информации

• руководители организаций, руководители подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию.

Методическое руководство и контроль за эффективностью предусмотренных мер защиты информации

• руководители подразделений по защите информации (служб безопасности)организации.

Научно-техническое руководство и непосредственная организация работ по созданию (модернизации) СЗИ объекта информатизации

• главный конструктор

• другое должностное лицо, обеспечивающее научно- техническое руководство созданием ОИ.

Организация обеспечения безопасности ПДн - формирование совокупности осуществляемых на всех стадиях жизненного цикла ИСПДн согласованных по цели, задачам, месту и времени мероприятий, направленных на предотвращение и парирование угроз безопасности ПДн в ИСПДн, на восстановление нормального функционирования ИСПДн после нейтрализации угрозы, с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.

Классификация УЩЕРБА в зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн

Связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.

Непосредственный ущерб

• Связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн.

• Возникает за счет незаконного использования ПДн или за счет несанкционированной модификации этих данных.

• Может проявляться в виде:

  • незапланированных и (или) непроизводительных финансовых или материальных затратах субъекта;

  • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;

  • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).

Порядок организации обеспечения безопасности персональных данных

1. оценка обстановки

2. обоснование требований по обеспечению безопасности

3. формулирование задач защиты

4. разработка замысла обеспечения безопасности

5. выбор целесообразных способов (мер и средств) защиты в соответствии с задачами и замыслом защиты

6. решение вопросов управления обеспечением безопасности и контроля эффективности защиты

7. обеспечение реализации принятого замысла защиты

8. планирование мероприятий по защите

9. организация и проведение работ по созданию системы защиты персональных данных

10. разработка документов, регламентирующих вопросы организации обеспечения безопасности и эксплуатации системы защиты персональных данных;

11. развертывание и ввод в опытную эксплуатацию СЗПДн;

12. доработка СЗПДн по результатам опытной эксплуатации.

Оценка обстановки

Комплексное обследование ИСПДн - основа оценки.

• определение защищаемой информации

• её категорирование по важности

Анализ информационных ресурсов

• состав, содержание и местонахождение

• категорирование информации

• оценка выполнения обязанностей по обеспечению безопасности персональных данных оператором

Анализ уязвимых звеньев и возможных угроз безопасности ПДн

• оценка возможности физического доступа

• выявление возможных ТКУИ

• анализ возможностей ПМВ

• анализ возможностей электромагнитного воздействия

Основные угрозы:

• уничтожение и хищение аппаратных средств и носителей

• утечка информации по каналам ПЭМИН;

• перехват при передаче по проводным линиям связи

• хищение, модификация, блокирование информации за счет НСД с применением программно-аппаратных

• электромагнитное воздействие на элементы ИСПДн

• непреднамеренные действия пользователей

• сбои в программном обеспечении

• угрозы неатропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания)

• угрозы стихийного характера

Оценка ущерба от реализации угроз

• оценка непосредственного ущерба

• оценка опосредованного ущерба

Анализ имеющихся в распоряжении мер и СрЗИ

• от физического доступа

• от утечки по техническим каналам утечки информации

• от несанкционированного доступа

• от программно-математических воздействий

• от электромагнитных воздействий

Обоснование требований

Проводится в соответствии с:

• нормативными и методическими документами ФСТЭК и ФСБ

• и обязательными к применению стандартами

На основании

"Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах персональных данных"

Порядок формирования замысла

Определяются основные направления защиты

• по подразделениям

• по уязвимым звеньям

• по категориям персональных данных

Выбираются способы защиты

• по направления защиты

• по актуальным угрозам

• по возможности реализации с учетом затрат

Решаются основные вопросы управления защитой ПДн

• организация охраны

• организация служебной связи и сигнализации

• организация взаимодействия

• резервирование программного и аппаратного обеспечения

• организация управления администрированием

Решаются основные вопросы обеспечения защиты ПДн

• финансового

• технического и программного

• информационного

• кадрового

Выбор способов обеспечения безопасности

• Организационные меры

• Технические средства защиты (сертифицированные)

Исполнители

• подразделения по защите информации

• отдельные специалисты, назначаемые руководством

• сторонние организации, имеющие лицензии на право проведения соответствующих работ

Основные вопросы управления

• распределение функций управления доступом к данным и их обработкой между должностными лицами

• определение порядка изменения правил доступа к защищаемой информации

• определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам

• определение порядка действий должностных лиц в случае возникновения нештатных ситуаций организационные меры

• определение порядка проведения контрольных мероприятий и действий по их результатам

Основные вопросы обеспечения

• Подготовка кадров

• Выделение необходимых материальных и финансовых средств

• Закупка и разработка необходимого программного и аппаратного обеспечения

Обязательная документация

• Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.

• Требования по обеспечению безопасности ПДн при обработке в ИСПДн.

• Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.

• Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

Основные мероприятия по организации и техническому обеспечению

• мероприятия по организации обеспечения безопасности, включая классификацию ИСПДн

• мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн:

  • размещение

  • специальное оборудование

  • охрана

  • организации режима допуска в помещения

  • закрытие технических каналов утечки информации

  • защита информации от НСД

  • определение порядка выбора средств защиты

Мероприятия по организации обеспечения безопасности персональных данных

Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий, ВОЗЛАГАЮТСЯ НА ОПЕРАТОРА.

Может назначаться структурное подразделение или должностное лицо (работник), ответственный за обеспечение безопасности персональных данных.

Обеспечение безопасности реализуется в рамках СЗПДн

Состав системы защиты персональных данных

Структура, состав и основные функции системы защиты определяются исходя из класса ИСПДн

• организационные меры;

• технические средства защиты информации:

  • шифровальные (криптографические) средства;

  • средства предотвращения НСД;

  • средства предотвращения утечки информации по ТКУИ;

  • средства предотвращения программно-технических воздействий;

• используемые в ИС информационные технологии.

Рекомендуемые стадии создания СЗПДн

Предпроектная стадия:

• предпроектное обследование ИСПДн

• разработка технического задания (ЧТЗ) на её создание

Стадия проектирования и реализации ИСПДн разработка СЗПДн в составе ИСПДн

Стадия ввода в действие СЗПДн:

• опытная эксплуатация

• приемо-сдаточные испытания средств защиты информации

• оценка соответствия требованиям безопасности

• устанавливается необходимость обработки информации

• определяется перечень ПДн, подлежащих защите от НСД

• определяются условия расположения ИСПДн относительно границ контролируемой зоны

• определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент

• функциональные и технологические связи внутри системы

Предпроектное обследование

• определяются ТСС, предполагаемые к использованию

• условия их расположения

• определяются режимы обработки информации

• определяется класс ИСПДн

• уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой

• определяются (уточняются) угрозы безопасности ПДн к конкретным условиям функционирования

• разрабатывается частная модель угроз задаются

• конкретные требования по обеспечению безопасности ПДн, включаемые в техническое задание (ЧТЗ) на разработку СЗПДн

По результатам предпроектного обследования на основе методического документа "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн" с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое задание (ЧТЗ) на разработку СЗПДн

Техническое задания на разработку СЗПДн

• обоснование разработки СЗПДн

• исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах

• класс ИСПДн

• ссылка на нормативные документы

• конкретизация мероприятий и требований к СЗПДн

• перечень предполагаемых к использованию сертифицированных средств защиты информации

• обоснование проведения разработок собственных СрЗИ

• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн

Проектирование и создания ИСПДн

• разработка задания и проекта на строительные, строительно-монтажные работы

• разработка раздела технического проекта на ИСПДн в части защиты информации

• строительно-монтажные работы в соответствии с проектной документацией;

• использование серийно выпускаемых ТСПИ

• разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями

• использование сертифицированных технических, программных и программно-технических СрЗИ

• разработка и реализация разрешительной системы доступа к информации

• определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ

• разработка эксплуатационной документации

Ввод в действие ИСПДн

• выполнение генерации пакета прикладных программ в комплексе с программными СрЗИ

• опытная эксплуатация средств защиты информации

• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации

• организация охраны и физической защиты помещений

• оценка соответствия ИСПДн требованиям безопасности

Оценка соответствия

• для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации;

• для ИСПДн 3 класса - декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);

• для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

Условие доработки функционирующих ИСПДн

• изменился состав или структура самой ИСПДн или технические особенности ее построения

• изменился состав угроз безопасности ПДн в ИСПДн

• изменился класс ИСПДн

Необходимость лицензирования

Операторы при проведении мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн 1, 2 КЛАССОВ и РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ 3 КЛАССА должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.