Учебное пособие по ИБ (1027402), страница 7
Текст из файла (страница 7)
возлагает на оператора ПД задачу обеспечения безопасностиПД и обязанность классификации ИС. устанавливает, что работы по обеспечению безопасности ПДявляются неотъемлемой частью работ по созданию ИС ПД. устанавливает, что средства защиты ПД должны пройтиоценку соответствия (во ФСТЭК России и ФСБ России). определяет, что достаточность принятых мер по обеспечениюбезопасностиПДоцениваетсяприпроведениигосударственного контроля и надзора.Безопасность ПД направлена на исключение несанкционированногодоступа к ним в результате которого возможно их уничтожение,изменение, блокирование, копирование и распространениеОБЯЗАННОСТИ ОПЕРАТОРОВОператор персональных данных обязан (1): провести инвентаризацию ИР, обрабатываемых в ИС иопределить перечень обрабатываемых ПДн; урегулироватьправовыевопросыобработки(использования) ПДн (уточнение правовых основанийобработки ПДн, получение согласия субъектов наобработку, пересмотр (при необходимости) договоров ссубъектами, установление сроков обработки ПДн и др.); оформить и направить в территориальный органуполномоченного органа по защите прав субъектов ПДнуведомление об обработке ПДн; разработать модель угроз (на основании результатовобследования ИС); провестиклассификациюсоответствующего акта;ИСсоформлением7338ОБЯЗАННОСТИ ОПЕРАТОРОВОператор персональных данных обязан (2): получить при необходимости (для операторов ИС ПД 1 и 2класса) лицензию на деятельность по ТЗИ (согласнопостановлению Правительства РФ 2006 г.
№ 504); определить требования по защите ПД при их обработке вИС ПД в соответствии с присвоенным классом ирезультатами моделирования угроз; осуществитьпроектированиеперсональных данных (СЗПД);Системызащиты реализовать проект на создание СЗПД; провести оценку соответствия ИС ПД требованиямбезопасности согласно присвоенному классу; организовать эксплуатациютребованиями безопасностииспользования СЗИ.ИС в соответствии си контроль соблюденияМЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИПЕРСОНАЛЬНЫХ ДАННЫХПостановление Правительства РФ от 17.11.2007 г. № 781Мероприятия по обеспечению безопасности ПД включают: определение угроз безопасности ПДн и формированиемодели угроз;классификацию ИСПДн;разработку на основе модели угроз системы защиты ПДн;проверку готовности СЗИ к использованию;обучение персонала правилам работы с СЗИ;учет применяемых СЗИ и носителей ПДн;учет лиц, допущенных к работе с ПДн;контроль за соблюдением условий использования СЗИ;реагирование на нарушение режима защиты ПДн;описание системы защиты персональных данных.934ПОРЯДОК ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИСПЕРСОНАЛЬНЫХ ДАННЫХ10Исходные данные для классификациив соответствии с Приказом №55/№55/86/86/2020-20081.2.3.4.5.6.7.8.Категория обрабатываемых в информационной системе персональныхданных – Хпд.Объем обрабатываемых персональных данных (количество субъектовперсональных данных, персональные данные которых обрабатываются винформационной системе) – Хнпд.Заданные оператором характеристики безопасности персональныхданных, обрабатываемых в ИС.Структура информационной системы.Наличие подключений информационной системы к сетям связи общегопользования и (или) сетям международного информационного обмена.Режим обработки персональных данных.Режим разграничения прав доступа пользователей информационнойсистемы.Местонахождение технических средств ИС.11Категории персональных данныхУстановлены следующие категории ПД: категория 1 - ПД, касающиеся расовой, национальнойпринадлежности, политических взглядов, религиозных и философскихубеждений, состояния здоровья, интимной жизни категория 2 - ПД, позволяющие идентифицировать субъекта ПД иполучить о нем дополнительную информацию, за исключением ПД,относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицироватьсубъекта ПД категория 4 - обезличенные и (или) общедоступные ПД.Пункт 6 Приказа №55/86/203512Типы ИС по составу характеристик безопасностиИС, обрабатывающие ПД, делятся натиповые и специальные : Типовые ИС - информационные системы, в которых требуетсяобеспечение в основном конфиденциальности ПД; Специальные ИС - системы, в которых вне зависимости отнеобходимости обеспечения конфиденциальности ПД требуетсяобеспечить хотя бы одну из характеристик безопасности ПД,отличную от конфиденциальности (защищенность от уничтожения,изменения, блокирования, а также иных несанкционированныхдействий)Пункт 8 Приказа №55/86/2013Типы ИС по объему ПДнИС, обрабатывающие ПДн, делятся по объему ПДн на: ИС, обрабатывающие ПДн мене чем о 1000 субъектах ПДн; ИС, обрабатывающие ПДн о 1000 – 100 000 субъектах ПДн; ИС, обрабатывающие ПДн более чем о 100 000 субъектах ПДн.Пункт 8 Приказа №55/86/203614Классы типовых ИС ПДВ зависимости от последствий нарушений заданнойхарактеристики безопасности ПД, типовой ИС присваиваетсяодин из классов: класс 1 (К1) - ИС, для которых нарушения могу привести кзначительным негативным последствиям для субъектов ПД; класс 2 (К2) - ИС, для которых нарушения могут привести кнегативным последствиям для субъектов ПД; класс 3 (К3) - ИС, для которых нарушения могут привести кнезначительным негативным последствиям для субъектов ПД; класс 4 (К4) - ИС, для которых нарушения не приводят к негативнымпоследствиям для субъектов ПД.Пункт 14 Приказа №55/86/2015Порядок выбора класса типовой ИС ПДКласс типовой ИС выбирается по таблице:Количество субъектовКатегории ПДкатегория 4категория 3категория 2категория 1< 1000 1000 –100000 > 100 000К4К3К3К1К4К3К2К1К4К2К1К1Пункт 15 Приказа №55/86/20Класс специальной ИС определяется на основе модели угрозПункт 16 Приказа №55/86/2037МОДЕЛИРОВАНИЕ УГРОЗ БЕЗОПАСНОСТИ ПД 16ПРИ ИХ ОБРАБОТКЕ В ИСМодель угроз - перечень возможных угроз безопасностиперсональных данных при их обработке в ИСПДнБазовая модель угроз безопасности ПД при их обработке вИСПДн Содержит общее системное изложение вероятных угроз безопасностиПД при их обработке в ИС Предназначена для использования при разработке моделей угроз дляконкретных ИС ПДМетодика определения угроз безопасности ПД при ихобработке в ИСПДн Определяет порядок моделирования угроз безопасности ПД при ихобработке в ИС и выявления актуальных угроз (на основе экспертногоанализа) Результаты моделирования служат для формирования обоснованныхтребований по защите ПД при их обработке в ИСПОРЯДОК МОДЕЛИРОВАНИЕ УГРОЗБЕЗОПАСНОСТИ ПДн (1)(В соответствии с Методикой определения угрозбезопасности ПД при их обработке в ИС) Угрозы безопасности ПД могут быть реализованы за счёт: несанкционированного доступа к базам данных; утечки ПД по техническим каналам.Исходные данные для определения актуальных угроз: перечень источников угроз (формируется на основе опроса); перечень уязвимых звеньев ИС (формируется на основе опроса исетевого сканирования); перечень технических каналов утечки (формируется на основеобследования ИС).1738ПОРЯДОК МОДЕЛИРОВАНИЕ УГРОЗБЕЗОПАСНОСТИ ПДн (2)18(В соответствии с Методикой определения угрозбезопасности ПД при их обработке в ИС)Определение актуальных угроз безопасности ПД в ИС ПДпредусматривает следующие этапы: оценка (на основе опроса и анализа) уровня исходнойзащищённости ИС ПД (высокий, средний, низкий); экспертная оценка частоты (вероятности) реализацииугрозы (маловероятная, низкая, средняя, высокая); определение актуальных угроз (путём исключениянеактуальных угроз по определённому алгоритму).РЕАЛИЗАЦИЯ ТРЕБОВАНИЙ БЕЗОПАСНОСТИ ПДн 19ПРИ ИХ ОБРАБОТКЕ В ИСПДнРД ФСТЭК России «Основные мероприятия по организации и техническомутехническомуобеспечению безопасности ПД, обрабатываемых в ИС» устанавливает, что дляобеспечения безопасности ПД оператором должна создаваться системасистема защитыПД (СЗПДн).(СЗПДн).Мероприятия по обеспечению безопасности ПДн определяются наоснове РД ФСТЭК России и реализуются в рамках следующихподсистем СЗПДн: управления доступом регистрации и учёта обеспечения целостности криптографической защиты антивирусной защиты обнаружения вторжений защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов)Конкретный состав мероприятий по защите ПД определяется взависимости от класса ИС и результатов моделирования угроз.ИСПДн, находящихся в эксплуатации до введения в действие Законадолжны быть доработаны39ПОРЯДОК ОЦЕНКИ СООТВЕТСТВИЯ ИСТРЕБОВАНИЯМ БЕЗОПАСНОСТИ (1)20Устанавливается следующий порядок оценки ИСПДнтребованиям безопасности:ИС 1 и 2 класса – обязательная сертификация (аттестация)ИС 3 класса – декларирование соответствияИС 4 класса – оценка проводится по решению оператора ПДАттестация ИСПДн – официальное подтверждение наличия на объектезащиты необходимых и достаточных условий, обеспечивающихвыполнение установленных требований руководящих документов позащите ПДн.Под аттестацией объекта информатизации по требованиям безопасностиинформации понимается комплекс организационно-техническихмероприятий, в результате которых посредством специальногодокумента - «Аттестата соответствия» подтверждается, что объектсоответствует требованиям РД ФСТЭК России по обеспечениюбезопасности персональных данных при их обработке в ИСПДнПОРЯДОК ОЦЕНКИ СООТВЕТСТВИЯ ИСТРЕБОВАНИЯМ БЕЗОПАСНОСТИ (2)21Общий порядок проведения аттестации объектовинформатизации, установлен следующими нормативнымидокументами ФСТЭК России: Положение по аттестации объектов информатизации потребованиямбезопасностиинформации,утвержденноепредседателем Гостехкомиссии России 25 ноября 1994 г.
Специальные требования и рекомендации по техническойзащите конфиденциальной информации (СТР-К). Утвержденыприказом Гостехкомиссии России от 30.08.2002 г. № 282.Правом проведения аттестации и выдачи аттестатасоответствия обладают организации, имеющие лицензию направо оказания услуг по технической защитеконфиденциальной информации в соответствии сПостановлением Правительства РФ 2006 г. № 290.40ВОПРОСЫ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ПДн221.Методические рекомендации по обеспечению с помощьюкриптосредств безопасности персональных данных при ихобработке в информационных системах персональныхданных с использованием средств автоматизацииДокумент определяет (в случае обеспечения с помощьюкриптосредств безопасности персональных данных):порядок формирования модели угроз безопасностиперсональных данных;порядок формирования модели нарушителя;порядок определения уровня криптографической защитыперсональных данных;требования к контролю встраивания криптосредств.232.
Типовые требования по организации и обеспечениюфункционирования шифровальных (криптографических)средств, предназначенных для защиты информации, несодержащей сведений, составляющих государственную тайну,в случае их использования для обеспечения безопасностиперсональных данных при их обработке в информационныхсистемах персональных данныхДокумент определяет порядок организации и обеспеченияфункционирования шифровальных (криптографических) средств,предназначенных для защиты информации, не содержащейсведений, составляющих государственную тайну, в случае ихиспользования для обеспечения безопасности персональныхданных при их обработке в информационных системахперсональных данных.41ДОКУМЕНТАЦИЯ,ДОКУМЕНТАЦИЯ, РАЗРАБАТЫВАЕМАЯ ОПЕРАТОРОМ 24ИСПДн•Модель угроз безопасности персональных данных.•Акт классификации ИСПДн.•Заключение о возможности эксплуатации средств защиты информации (разрабатываетсяпо результатам проверки готовности к использованию СЗИ) (Аналог приёмо-сдаточнойдокументация на СЗИ)•Перечень применяемых средств защиты информации.•Описание системы защиты персональных данных.•Список лиц, доступ которых к персональным данным, обрабатываемым винформационной системе, необходим для выполнения служебных (трудовых) обязанностей(утверждается оператором или уполномоченным лицом).•Правила пользования средствами защиты информации, предназначенными дляобеспечения безопасности персональных данных.•Положение по организации и проведению работ по обеспечению безопасности ПДн при ихобработке в ИСПДн.•Требования по обеспечению безопасности ПДн при обработке в ИСПДн.•Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн приих обработке в ИСПДн.•Рекомендации (инструкции) по использованию программных и аппаратных средствзащиты информации.4243Тема 3«Основные понятия, термины и определения вобласти защиты информации»ОСНОВНЫЕ НОРМАТИВНЫЕ ДОКУМЕНТЫ,ОПРЕДЕЛЯЮЩИЕ ТЕРМИНОЛОГИЮ В ОБЛАСТИЗАЩИТЫ ИНФОРМАЦИИ11.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
