Семинар «Организационные меры информационной безопасности в образовательной организации» Часть

Практический алгоритм работы оператора ПДн Особенности организации и проведения работ по обеспечению безопасности персональных данных

Федеральный закон «О персональных данных» Ст. 3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ст. 19. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

Требования к защите «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. 1119

Состав мер по защите «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. 21, зарегистрированы в Министерстве юстиции Российской Федерации, регистрационный от 14 мая 2013

Необходимые меры Организационное меры - это мероприятия, проведение которых не требует применения специально разработанных технических средств Технические меры предусматривают применение специальных технических средств и реализацию технических решений Технические средства выполняют свои функции по защите информации преимущественно без участия человека.

Мероприятия по обеспечению защиты информации формирование требований к защите информации, содержащейся в информационной системе разработка системы защиты информации информационной системы внедрение системы защиты информации информационной системы обеспечение защиты информации в ходе эксплуатации информационной системы обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации

Ответственный за обеспечение безопасности ПДн В соответствии с «Требованиями к защите персональных данных…», утвержденными постановлением Правительства Российской Федерации 1119: для обеспечения 3-го и 2-го уровней защищенности персональных данных назначается должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе для обеспечения 1-го уровня защищенности персональных данных создается структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо эти функции возлагаются на одно из структурных подразделений

Подсистема управления СЗПДн Оператор Комиссии Постояннодействующая экспертная комиссия Ответственное лицо Администратор безопасности Рабочая группа

Функции ОТВЕТСТВЕННОЕ ЛИЦО Управление процессом создания, функционирования и совершенствования ИСПДн Организация внутреннего контроля за соблюдением требований к обработке и защите ПДн Организация обучения и инструктажей сотрудников по обработке и защите ПДн Организация приема обращений и запросов субъектов ПДн и осуществление контроля за их обработкой

Функции ОТВЕТСТВЕННОЕ ЗА ОБРАБОТКУ ПД Обеспечение функционирования и совершенствования ИСПДн без применения средств автоматизации Прием и обработка обращений и запросов субъектов ПДн Осуществление внутреннего контроля за соблюдением работниками требований к обработке ПДн

Функции АДМИНИСТРАТОР БЕЗОПАСНОСТИ Обеспечение функционирования и совершенствования ИСПДн с применением средств автоматизации Осуществление внутреннего контроля за соблюдением работниками требований к защите ПДн …

Формирование требований к СЗПДн ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» ГОСТ Р «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»

Формирование требований к СЗПДн принятие решения о необходимости защиты информации, содержащейся в информационной системе определение уровней защищенности персональных данных в информационной системе, при обработке персональных данных в государственной информационной системе - определяется класс защищенности информационной системы определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации определение требований к системе защиты информации информационной системы

Принятие решения о создании СЗПДн анализ целей создания информационной системы и задач, решаемых этой информационной системой определение информации, подлежащей обработке в информационной системе анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе определение основных этапов создания системы защиты информации информационной системы определение функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации (заказчика), оператора и уполномоченных лиц. Практически необходимо определить состав персональных данных и технические и программные средства, используемые для их обработки. То есть, необходимо определить, что именно подлежит защите

Определение защищаемой информации В целях определения защищаемой информации, то есть – персональных данных, подвергающихся автоматизированной обработке, технических средств, в которых она циркулирует, программных продуктов, с использованием которых осуществляется обработка, а также объектов и субъектов доступа и собственно технологии обработки персональных данных, рекомендуется провести обследование эксплуатируемых информационных систем или другими словами инвентаризацию

НПА оператора на этапе формирования требований СЗПДн перечни персональных данных, обрабатываемых в организации перечень информационных систем персональных данных перечень должностей предусматривающих осуществление обработки персональных данных либо осуществление доступа к персональным данным правила обработки персональных данных

Объекты защиты в АИС информация – персональные данные технические средства программное обеспечение: общесистемное, прикладное, специальное средства защиты информации

Состав описания технологического процесса обработки информации описание объектов доступа - к каким защищаемым техническим средствам и информационным ресурсам будет осуществляться доступ описание субъектов доступа - какие лица и (или) технические средства будут осуществлять доступ к объектам доступа особенности технологического процесса обработки информации, а именно, каким образом и с каких носителей информация вводится в ИСПДн, каким образом и на какие носители информация выводится, осуществляется ли обмен информацией со сторонними организациями, если да, то каким образом, с использованием каких носителей, по каким каналам связи

Технический паспорт и описание технологического процесса Эти документы потребуются для разработки системы защиты и последующей аттестации (если необходимо) Технический паспорт позволяет осуществлять контроль неизменности состава и расположения программных, технических средств и средств защиты информации. Позволяет сопоставить другие разработанные документы конкретной информационной системе Сведения из технического паспорта и описания технологического процесса обработки информации служат исходными данными для разработки модели угроз Технический паспорт и Описание технологического процесса обработки информации по принадлежности относятся к проектно- сметной или эксплуатационной документации

Состав технического паспорта В техническом паспорте рекомендуется отразить: состав технических средств расположение технических средств установленные программные средства установленные средства защиты

Состав описания технологического процесса обработки информации описание объектов доступа - к каким защищаемым техническим средствам и информационным ресурсам будет осуществляться доступ описание субъектов доступа - какие лица и (или) технические средства будут осуществлять доступ к объектам доступа особенности технологического процесса обработки информации, а именно, каким образом и с каких носителей информация вводится в ИСПДн, каким образом и на какие носители информация выводится, осуществляется ли обмен информацией со сторонними организациями, если да, то каким образом, с использованием каких носителей, по каким каналам связи

Определение актуальных угроз безопасности ПДн Пункт 1 части 2 статьи 19 Федерального закона «О персональных данных»: «…оператором определяются угрозы безопасности персональных данных при их обработке в информационных системах…»

Модель угроз «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

Общий алгоритм определения актуальных угроз сопоставить свою ИСПДн с типовой, приведенной в пункте 6 «Базовой модели угроз…» составить перечень потенциальных угроз добавить в перечень угрозы не предусмотренные «Базовой моделью угроз…» детализировать угрозы применительно к конкретным условиям в соответствии с «Методикой определения актуальных угроз…» в отношении каждой угрозы определяется ее актуальность Актуальной считается угроза, которая может быть реализована и представляет опасность для персональных данных

Структура модели угроз наименование ИСПДн описание информационной системы и ее структурно-функциональных характеристик, состав, места установки технических, программных средств и средств защиты информации, при наличии технического паспорта – ссылка на технический паспорт тип ИСПДн в соответствии с «Базовой моделью угроз…», перечень потенциальных угроз безопасности персональных данных промежуточные результаты оценки угроз, в том числе опросные листы экспертов перечень и описание актуальных угроз безопасности персональных данных для рассматриваемой ИСПДн, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации рекомендации по нейтрализации актуальных угроз

Определение уровня защищенности Уровни защищенности персональных данных устанавливается в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г Устанавливаются 4 уровня защищенности. самый низкий класс – четвертый, самый высокий - первый

Категории ПДн Информационные системы, обрабатывающие специальные категории персональных данных, а именно: касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных Информационные системы, обрабатывающие биометрические персональные данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, и не обрабатывающие специальные категории персональных данных Информационные системы, обрабатывающие общедоступные персональные данные, полученные только из общедоступных источников, созданных в соответствии со статьей 8 Федерального закона «О персональных данных», таких как, справочники, адресные книги Информационные системы, обрабатывающие иные категории персональных данных, если в них не обрабатываются вышеперечисленные категории персональных данных Информационные системы, обрабатывающие персональные данные сотрудников оператора, если в них обрабатываются персональные данные только указанных сотрудников, в остальных случаях информационные системы являются информационными системами, обрабатывающими персональные данные субъектов персональных данных, не являющихся сотрудниками оператора

Типы угроз Угрозы 1 типа, актуальны, если для информационной системы в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении Угрозы 2 типа, актуальны, если для информационной системы в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении Угрозы 3 типа, актуальны, если для информационной системы актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении

С – ИС, обрабатывающая специальные категории ПДн; Б – ИС, обрабатывающая биометрические ПДн; О – ИС, обрабатывающая общедоступные ПДн; И – ИС, обрабатывающая иные категории ПДн; Сот – ИС, обрабатывающая ПДн только сотрудников оператора; неСот – ИС, обрабатывающая ПДн субъектов ПДн, не являющихся сотрудниками оператора. Тип информационной системы О О Сот О неСот100 И Сот И неСот

Классификация государственной информационной системы При обработке персональных данных в государственной информационной системе определяется класс защищенности информационной системы Порядок определения класса установлен в Приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от г. 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Устанавливаются 4 класса защищенности: самый низкий класс – четвертый самый высокий - первый Класс зависит от уровня значимости информации и масштаба информационной системы

Степень возможного ущерба: высокая - существенные негативные последствия, невозможность выполнять возложенные функции средняя – умеренные негативные последствия, невозможность выполнять хотя бы одну из возложенных функций низкая - незначительные негативные последствия, возложенные функции выполняются с недостаточной эффективностью Уровень значимости информации: высокий (УЗ 1) - хотя бы для одного из свойств безопасности определена высокая степень ущерба средний (УЗ 2) - хотя бы для одного из свойств безопасности определена средняя степень ущерба при отсутствии высокой степени низкий (УЗ 3) – для всех свойств безопасности определены низкие степени ущерба минимальный (УЗ 4) – степень ущерба не может быть определена, но в соответствии с законодательством информация подлежит защите

Масштаб информационной системы Федеральный функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях Региональный функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях Объектовый функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях

Классификация государственной информационной системы

Техническое задание на создание СЗПДн ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» ГОСТ Р «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»

Разработка СЗПДн Осуществляется в соответствии с техническим заданием, с учетом ГОСТ Р и ГОСТ Р 51624, включает: проектирование разработку эксплуатационной документации макетирование и тестирование при необходимости

Выполнение требований

Требования для 4 УЗ организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; обеспечение сохранности носителей персональных данных; утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Требования для 3 УЗ Для обеспечения 3 уровня защищенности персональных необходимо выполнение требований для 4 уровня и, кроме того: необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Требования для 2 УЗ Для обеспечения 2 уровня защищенности персональных необходимо выполнение требований для 3 уровня и, кроме того: необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

Требования для 1 УЗ Для обеспечения 1 уровня защищенности персональных необходимо выполнение требований для 2 уровня и, кроме того: автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

Состав мер по обеспечению безопасности персональных данных: идентификация и аутентификация субъектов доступа и объектов доступа управление доступом субъектов доступа к объектам доступа ограничение программной среды регистрация событий безопасности антивирусная защита обнаружение вторжений контроль (анализ) защищенности персональных данных обеспечение целостности информационной системы и персональных данных обеспечение доступности персональных данных защита среды виртуализации защита технических средств защита информационной системы, ее средств, систем связи и передачи данных выявление инцидентов безопасности информации и реагирование на них управление конфигурацией информационной системы и системы защиты персональных данных

Внедрение системы защиты информации установка и настройка средств защиты информации разработка организационно-распорядительных документов внедрение организационных мер предварительные испытания опытная эксплуатация анализ уязвимостей приемочные испытания

Организационно-распорядительные документы устанавливают правила и процедуры по: идентификации и аутентификации субъектов доступа управлению доступом защите информации при использовании машинных носителей информации, в том числе порядок учета и хранения носителей регистрации событий безопасности обеспечению целостности информационной системы и информации физической защите технических средств, в том числе порядок доступа в служебные помещения управлению конфигурацией, в том числе порядок обновления ПО и контроля за несанкционированными подключениями технических средств и несанкционированной установкой ПО периодическому анализу угроз безопасности информации выявлению и реагированию на инциденты, связанные с обработкой и защитой информации обслуживанию системы защиты обучению и информированию пользователей

Контролю и анализу в первую очередь должны подвергаться: администрирование ИСПДн подключения внешних носителей к ИСПДн перенос информации с внешних носителей в ИСПДн перенос информации с ИСПДн на внешние носители вывод информации на «твердую копию» передача персональных данных по внешним каналам связи

Цели служебного расследования инцидентов, связанных с безопасностью информации: установление, привели ли нарушения требований к нарушению безопасности персональных данных, например их утечке, нарушению целостности, утере, или нет если да, установление, какие именно угрозы были реализованы установление причин появления нарушения выработка и реализация мер защиты

Оценка эффективности принятых мер Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

Наиболее важные мероприятия по защите информации в ходе эксплуатации системы защиты контроль состояния защиты информации, включая контроль за событиями и действиями пользователей обнаружение и регистрация инцидентов, выявление их причин, принятие мер по предупреждению и устранению инцидентов анализ и оценка функционирования системы защиты с целью выявления и устранения недостатков и совершенствования периодический анализ уязвимостей анализ изменения угроз и выявление новых угроз анализ влияния на систему защиты планируемых изменений в информационной системе

Меры по защите информации в ходе вывода информационной системы из эксплуатации или после окончания обработки информации при необходимости дальнейшего использования персональных данных, осуществляется их архивирование при необходимости передачи машинных носителей между пользователями информационной системы, в сторонние организации для ремонта, обслуживания или утилизации, осуществляется стирание данных и остаточной информации при выводе из эксплуатации машинных носителей осуществляется их уничтожение

Рекомендации: Обеспечение неизменности состава технических и программных средств, а также средств защиты и их настроек, соблюдение утвержденного технологического процесса обработки информации и принятие мер по нейтрализации актуальных угроз, определенных в модели угроз – основные задачи, решение которых обеспечивает высокую степень защищенности информации в информационной системе

Требуемые документы Перечень документов является примерным. Состав документов определяется оператором ПДн самостоятельно.

Перечень документов 1. Обработка ПДн 1.1 Перечень ПДн 1.2 Перечень лиц, допущенных к обработке ПДн 1.3 Политика в отношении обработки ПДн (общедоступная) 1.4 Положение об обработке ПДн 1.5 Положение о распределении ответственности за обработку и обеспечение безопасности ПДн 1.6 Регламент реагирования на запросы субъектов ПДн Комплект приказов 1.7 Приказ о назначении ответственных за обработку ПДн 1.8 Приказ о допуске сотрудников к обработке ПДн 1.9 Приказ о вводе в действие комплекта документов, регламентирующих обработку ПДн Проектирование СЗПДн 2.1 Протокол оценки вреда, который может быть причинен субъектам ПДн 2.2 Модель угроз 2.3 Акт определения уровня защищенности ПДн при их обработке в ИСПДн 2.4 План мероприятий по обеспечению безопасности ПДн 2.5 Перечень ИСПДн 2.6 Технический проект на СЗПДн (комплект документов) Комплект приказов 2.7 Приказ о планировании мероприятий по внедрению СЗПДн 2.8 Приказ о проведении анализа угроз безопасности ПДн 2.9 Приказ о внедрении СЗПДн

Перечень документов 3. Обеспечение ИБ 3.1 Положение об обеспечении безопасности ПДн 3.2 Положение об антивирусной защите 3.3 Положение о парольной защите 3.4 Регламент проведения мероприятий по контролю процессов обработки и системы защиты ПДн 3.5 Регламент предоставления и изменения прав доступа к информационным ресурсам 3.6 Положение о допустимом использовании ресурсов 3.7 Регламент резервного копирования и восстановления 3.8 Регламент проведения инструктажа по информационной безопасности Комплект приказов 3.9 Приказ о внедрении комплекта документов, регламентирующих обеспечение безопасности ПДн 4. Шаблоны форм 4.1 Должностные инструкции сотрудников, обрабатывающих ПДн 4.2 Должностные инструкции сотрудников, обеспечивающих ИБ и поддержку ИТ 4.3 Положения о подразделениях 4.4 Договора с 3ми лицами 4.5 Договора с сотрудниками 4.6 Комплект шаблонов форм согласия субъекта ПДн данных на обработку его ПДн 4.7 Уведомление РКН Комплект приказов 4.8 Приказ о внесении правок в договора с сотрудниками и третьими лицами

Перечень документов 5. Справочная информация 5.1 Перечень лиц, допущенных в серверное помещение 5.2 Перечень внешних документов, регламентирующих обработку и обеспечение безопасности ПДн 5.3 Перечень внутренних документов, регламентирующих обработку и обеспечение безопасности ПДн 5.4 Перечень СЗИ 5.5 Перечень администраторов средств обработки и защиты информации 5.6 Перечень носителей ПДн 6. Памятки 6.1 Памятка ответственному за организацию обработки ПДн 6.2 Памятка ответственному за обеспечение безопасности ПДн 6.3 Памятка ответственному за реагирование на обращения и запросы субъектов ПДн 6.4 Памятка пользователю 6.5 Памятка администратору 6.6 Памятка аудитору (контролеру) СЗПДн 7. Журналы 7.1 Журнал инструктажа сотрудников по вопросам ИБ 7.2 Журнал учета мероприятий по обеспечению и контролю безопасности ПДн 7.3 Журнал учета обращений и запросов субъектов ПДн, их законных представителей и государственных контролирующих органов 7.4 Журнал учета мобильных носителей 7.5 Журнал учета съемных носителей информации

Спасибо за внимание! Желаем безопасной работы с информацией!

Павлов Александр Владиславович Заместитель директора по информационным технологиям и безопасности +7 (3412)