ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ Федеральный Закон РФ от 27 июля 2006 г ФЗ « О персональных данных » ( в ред. Федеральных законов от 25 июля 2011 г ФЗ ) 2. Методический документ « Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных », утвержден ФСТЭК России от 14 февраля 2008 г. 3. « Порядок проведения классификации информационных систем персональных данных », утвержден ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 4. « Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации », утверждены ФСБ России от 21 февраля 2008 г. 5. Методический документ « Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных », утвержден ФСТЭК России от 14 февраля 2008 г. 6. Постановление Правительства РФ от 21 марта 2012 г. 211 « Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом « О персональных данных » и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами »

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 Сбор и анализ исходных данных 1.Классификация ИСПДн 2.Определение перечня актуальных угроз безопасности ПДн в ИСПДн 3.Формирование МОДЕЛИ УГРОЗ ВЕРХНЕГО УРОВНЯ, ДЕТАЛИЗИРОВАННОЙ МОДЕЛИ УГРОЗ 4.Формирование МОДЕЛИ НАРУШИТЕЛЯ 5.Определение типов нарушителей, уровня криптографической защиты и уровня защиты от несанкционированного доступа. Классификация криптосредств. Классификация ИС по уровню защиты от НСД Начало 6.Формирование пакета документов ИСПДн

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 Территориаль- ное размещение Наличие соединений с сетями общего пользования Режим разгра- ничения прав доступа пользователей Категория об- рабатываемых ПДн - Хпд Объем обра- батываемых ПДн - Хнпд ПДн,касающиеся расовой,национальной принадлежности,полити -ческих взглядов, рели- гилиозных и фило- софских убеждений, состояния здоровья, интимной жизни ПДн, позволяющие идентифициро- вать субъекта ПДн Обезличен- ные или общедоступ- ные ПДн > или ПДн субъектов ПДн в пределах субъекта РФ или РФ в целом или ПДн субъектов ПДн, работающих в от- расли экономики РФ или в охране гос власти

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 Возможность реализации угрозы Показатель ОУ НОСрОВО НВРУНА А СВРУНААА ВВРУААА ОВВРУААА ВУИЗСУИЗНУИЗ Y 1 =0 Y 1 =10 Y 1 =5 нет да О тсутствуют объективные предпосылки реализации УБИ Предпосылки реализации УБИ имеются, меры по ИЗИ затруд- няют их реализа- цию МВ НВ СВ Y 2 =0 Y2=2Y2=2 Y2=5Y2=5 Предпосылки реализации УБИ имеются, меры по ЗИ недоста- точны Предпосылки реализации УБИ имеются, меры по ЗИ отсутст- вуют ВВ Y 2 =10 Y=( Y 1 + Y 2 )/20 Перечень мер по защите ПДн в ИСПДн нет да 0 Y Y Y 0.8 Y > 0.8 НВРУ СВРУ ВВРУ ОВВРУ нет Реализация уг- розы приводит к незначи- тельным негативным последствиям Реализация уг- розы приводит к негативным последствиям НО да нет да СрО ВО да Реализация уг- розы приводит к значительным негативным пос- ледствиям да Перечень актуальных угроз безопасности ПДн в ИСПДн нет Вероятность реализации угрозы Опасность для субъектов ПДн Уровень исходной защищенности

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 Субъек ты, создаю щие ПДн Субъекты, которым ПДн предназначены Информационные технологии, базы данных, технические ср-ва, используемые для создания и обработки ПДн Объекты, которые могут быть объектами угроз Ключевая, аутентифицирующая и парольная информация криптоср-ва Криптографически опасная информация (КОИ) Конфигурацион- ная информация Управляющая информация Информация в электронных журналах регистрации Побоч ные сигна- лы Резервные копии файлов с защищаемой информацией Остаточная информация на носителях информации Определение условий создания и использования ПДн Описание форм представления ПДн Описание информации, сопутствующей процессам создания и использования ПДн Определение характеристик безопасности (конфиденциальность, целостность, доступность, неотказуемость, учетность (подконтрольность), аутентичность (достоверность) и адекватность) Перечень объектов атак Совокупность условий и факторов, создающих опасность нарушения характеристик безопасности Режим разграни- чения прав доступа пользователей Документация на криптосредство и на технические и программные компоненты СФК Защищаемые ПДн Программные и аппаратные компоненты криптосредства Технические и программные ком- поненты среды функционирования криптосредства (СФК) Данные, передаваемые по каналам связи Помещения, в которых находятся защищаемые ресурсы МОДЕЛЬ УГРОЗ ВЕРХНЕГО УРОВНЯ ДЕТАЛИЗИРОВАННАЯ МОДЕЛЬ УГРОЗ Криптографически опасная информация (КОИ) Ключевая, аутенти- фицирующая и парольная информация криптоср-ва

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 Сети связи, работающие на едином ключе Проявляющиеся нарушения правил эксплуатации криптосредства и СФК Проявляющиеся неисправности и сбои технических средств криптосредства и СФК Сведения, получаемые в результате анализа сигналов от технических средств криптосредства и СФК, которые может перехватить нарушитель Содержание документации на технические и программные компонренты СФК Долговременные ключи криптосредства Фазовые спуски, синхропосылки, неза- шифрованные адреса, команды управления Сведения о линиях связи, по которым передается защищаемая информация Лицо имеет право постоянного или разового доступа в контролируемую зону ИС Производит атаки, находясь в пределах контролируемой зоны Список всех физических лиц, имеющих доступ к техническим и программным средствам ИС Категория 2 Категория 1 Внутренние нарушители Внешние нарушители Определение возможности сговора нарушителей Определение дополнительных возможностей 2.Предположение об имеющейся у нарушителя информации об объектах атаки Нарушители обладают всей информацией, необходимой для проведения атак, за исключением парольной, аутентифицирующей и ключевой информации Определение ограничений на степень информированности нарушителя Лица, осуществляющие обслуживание технических и программных средств криптосредства и СФК Привилеги- рованные пользова- тели 1.Описание нарушителей да нет

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 Доступные в свободной продаже технические средства и ПО Специально разработанные технические средства и ПО Каналы доступа к объекту атаки (акустический, визуальный, физический) Машинные носители информации Носители информации, выведенные из употребления Канал утечки за счет электронных устройств негласного получения информации Аппаратные компоненты криптосредства и СФК Штатные средства Каналы связи, не защищенные от НДС Технические каналы утечки Сигнальные цепи Цепи электропитания Цепи заземления Информационные и управляющие интерфейсы СВТ 3.Предположения об имеющихся у нарушителя средствах атак Нарушитель имеет все необходимые для проведения атак по доступным ему каналам атак средства. Их возможности не превосходят возможности аналогичных средств атак на информацию, содержащую сведения, составляющие государственную тайну Определение ограничений на имеющиеся у нарушителя средства атак 4.Описание каналов атак Каналы атак Основные каналы атак Возможные каналы атак

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований ; правила рассмотрения запросов субъектов ПДн или их представителей ; правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн ; правила работы с обезличенными данными ; перечень ИСПДн ; перечни ПДн, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций ; перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн ; перечень должностей служащих, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн ;

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 должностная инструкция ответственного за организацию обработки ПДн ; типовое обязательство служащего, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним государственного или муниципального контракта прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей ; типовая форма согласия на обработку ПДн служащих государственного или муниципального органа, иных субъектов ПДн, а также типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн ; порядок доступа служащих в помещения, в которых ведется обработка ПДн. Данные документы могут быть разработаны в дополнение и на основе предварительного анализа ИСПДн, а так же по результатам классификации ИСПДн, разработки моделей угроз и нарушителя, формирования Политики безопасности ИСПДн и разрешительной системы доступа, которые в свою очередь содержат технологию и технологические характеристики о ИСПДн и системе защиты ИСПДн.

ЗАО «НПО «ИНФОБЕЗОПАСНОСТЬ» ИТ – СТАНДАРТ 2012 ПДн,касающиеся расовой,национальной принадлежности,полити -ческих взглядов, рели- гилиозных и фило- софских убеждений, состояния здоровья, интимной жизни Сведения, которые хар-ют физиологические и биологические особенности чел-ка, на основании которых можно установить его личность ПДн, получаемые только из общедоступных источников Актуальны угрозы, связанные с наличием недекларированных возможностей в системном ПО Актуальны угрозы, связанные с наличием недекларированных возможностей в прикладном ПО Специальная категория ПДн Биометрические ПДн Общедоступные ПДн Иные категории ПДн Угрозы 1 типа Угрозы 2 типа Угрозы 3 типа Обрабатывают- ся ПДн, только сотрудников оператора Специальная категория ПДн оператора Общедоступные ПДн оператора Иные категории ПДн оператора Специальные ПДн Биометрические ПДн Общедоступные ПДн Иные категории ПДн > < ПДн оператора > < ПДн оператора > < ПДн оператора Угрозы 1 типа ΙΙΙΙΙ ΙΙ Угрозы 2 типа ΙΙΙ ΙΙΙ ΙΙΙΙΙ Угрозы 3 типа ΙΙΙΙΙ ΙVΙV ΙVΙV ΙVΙV ΙVΙV да нет да нет