Основная информация
| Дата опубликования: | 07 мая 2018г. |
| Номер документа: | RU54000201800452 |
| Текущая редакция: | 2 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Новосибирская область |
| Принявший орган: | Министерство образования Новосибирской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
МИНИСТЕРСТВО ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 7 мая 2018 г. № 1101
ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ И КОНЦЕПЦИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
(в редакции приказа министерства образования Новосибирской области от 25.07.2018 № 1873)
В целях обеспечения выполнения норм Федерального Закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 № 152-ФЗ «О персональных данных», Указа Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» приказываю:
1. Утвердить прилагаемые:
1) политику безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области (далее - политика);
2) концепцию безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области (далее - концепция).
2. Ответственному за организацию работ по защите персональных данных в министерстве образования Новосибирской области руководствоваться политикой и концепцией, утвержденными в пункте 1 настоящего приказа, при организации работ по защите персональных данных.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Исполняющий обязанности министра
А.А. Флек
ПОЛИТИКА БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
1. Определения
В настоящем документе используются следующие термины и их определения.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Доступ к информации - возможность получения информации и ее использования.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационная технология - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Источник угрозы безопасности персональных данных - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности персональных данных.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не распространять их без согласия субъекта персональных данных или наличия иного законного основания.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Объект вычислительной техники - стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации. К объектам вычислительной техники относятся автоматизированные системы, автоматизированные рабочие места, информационно-вычислительные центры и другие комплексы средств вычислительной техники. К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Система защиты персональных данных - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты персональных данных.
Средство криптографической защиты информации - средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Субъекты персональных данных - работники, обучающиеся, участники единого государственного экзамена (за исключением обучающихся), граждане, привлекаемые к проведению государственной итоговой аттестации, члены предметных комиссий, общественные наблюдатели, слушатели и другие лица.
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
2. Введение
Настоящая Политика безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области (далее - Политика), является официальным документом и разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Концепции безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области министерства образования Новосибирской области (далее - министерство).
В Политике определены требования к государственным гражданским служащим и работникам, замещающим должности, не являющимися должностями государственной гражданской службы Новосибирской области (далее - работники министерства), степень ответственности работников министерства, структура и необходимый уровень защищенности, статус и должностные обязанности работников министерства, ответственных за обеспечение безопасности персональных данных в информационных системах персональных данных Министерства.
3. Общие положения
Целью настоящей Политики является обеспечение безопасности персональных данных министерства от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Информация и связанные с ней ресурсы должны быть доступны только для авторизованных пользователей. В информационных системах персональных данных должно осуществляться своевременное обнаружение угроз и реагирование на угрозы безопасности персональных данных.
В информационных системах персональных данных необходимо исключить возможность преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.
Перечень персональных данных, подлежащих защите, определен в Положении о порядке обработки и обеспечении безопасности информации конфиденциального характера, в том числе персональных данных, в министерстве образования Новосибирской области.
4. Система защиты персональных данных
Система защиты персональных данных строится на основании:
- Перечня персональных данных, подлежащих защите;
- Перечня информационных систем персональных данных;
- Акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных;
- Частной модели угроз и нарушителя безопасности персональных данных;
- Положения о разграничении прав доступа к обрабатываемым персональным данным;
- Руководящих документов ФСТЭК России и ФСБ России.
На основании этих документов определяется необходимый уровень защищенности персональных данных в каждой информационной системе персональных данных министерства. Для каждой информационной системы персональных данных должен быть составлен список используемых технических средств, а также программного обеспечения участвующего в обработке персональных данных, подлежащих защите.
В зависимости от уровня защищенности персональных данных в информационной системе персональных данных и актуальных угроз, система защиты персональных данных может включать следующие технические и программные средства:
- антивирусные средства для объектов вычислительной техники;
- средства межсетевого экранирования;
- средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.
Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами информационной системы персональных данных и операционных систем, прикладным программным обеспечением и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:
- управление доступом и разграничение доступа пользователей;
- регистрацию и учет действий с информацией;
- обеспечение целостности данных;
- обнаружение вторжений.
Список используемых средств должен поддерживаться в актуальном состоянии. Все изменения состава системы защиты персональных данных или элементов информационных систем персональных данных должны быть согласованы с Администратором информационной безопасности.
5. Требования к подсистемам системы защиты персональных данных
Система защиты персональных данных включает в себя следующие подсистемы:
- управления доступом, регистрации и учета;
- обеспечения целостности и доступности;
- антивирусной защиты;
- межсетевого экранирования;
- анализа защищенности;
- обнаружения вторжений;
- криптографической защиты.
Подсистемы системы защиты персональных данных имеют различный функционал в зависимости от уровня защищенности персональных данных при их обработке в информационной системе персональных данных, определенного в Акте определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных.
6. Подсистемы управления доступом, регистрации и учета
Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:
- идентификации и проверки подлинности субъектов доступа при входе в информационную систему персональных данных;
- идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
- идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
- регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрации загрузки и инициализации операционной системы и ее останова;
- регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
- регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Подсистема управления доступом может быть реализована с помощью штатных средств обработки персональных данных (операционных систем, приложений). Так же может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
7. Подсистема обеспечения целостности и доступности
Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности персональных данных, программных и аппаратных средств информационных систем персональных данных министерства, а так же средств защиты, при случайной или намеренной модификации.
Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов информационных систем персональных данных.
8. Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты объектов вычислительной техники министерства.
Средства антивирусной защиты предназначены для реализации следующих функций:
- резидентный антивирусный мониторинг;
- антивирусное сканирование;
- скрипт-блокирование;
- централизованная/удаленная установка/деинсталляция антивирусного продукта, настройка, администрирование, просмотр отчетов и статистической информации по работе продукта;
- автоматизированное обновление антивирусных баз;
- ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
- автоматический запуск сразу после загрузки операционной системы.
Подсистема реализуется путем внедрения специального антивирусного программного обеспечения во все элементы информационных систем персональных данных.
9. Подсистема межсетевого экранирования
Подсистема межсетевого экранирования предназначена для реализации следующих функций:
- фильтрации открытого и зашифрованного (закрытого) IР-трафика;
- фиксации во внутренних журналах информации о проходящем открытом и закрытом IР-трафике;
- идентификации и аутентификации Администратора информационной безопасности или Администратора информационной системы персональных данных при его локальных запросах на доступ;
- регистрации входа (выхода) Администратора информационной безопасности или Администратора информационной системы персональных данных в систему (из системы) либо загрузки и инициализации системы и ее программного останова;
- контроля целостности своей программной и информационной части;
- фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
- фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
- регистрации и учета запрашиваемых сервисов прикладного уровня;
- блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
- контроля за сетевой активностью приложений и обнаружения сетевых атак.
Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе сети.
10. Подсистема анализа защищенности
Подсистема анализа защищенности, должна обеспечивать выявление уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы персональных данных, которые могут быть использованы нарушителем для реализации атаки на систему.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
11. Подсистема обнаружения вторжений
Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы информационной системы персональных данных, подключенные к сетям общего пользования и (или) международного обмена.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
12. Подсистема криптографической защиты
Подсистема криптографической защиты предназначена для исключения несанкционированного доступа к защищаемой информации в информационных системах персональных данных министерства, при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.
Подсистема реализуется внедрением криптографических программно-аппаратных комплексов.
13. Пользователи информационных систем персональных данных
В Концепции безопасности персональных данных определены основные категории пользователей. На основании этих категорий должна быть произведена типизация пользователей информационных систем персональных данных, определен их уровень доступа и возможности.
В информационных системах персональных данных министерства можно выделить следующие группы пользователей, участвующих в обработке персональных данных:
- Администратор информационной системы персональных данных;
- Оператор информационной системы персональных данных.
Данные о группах пользователей, уровне их доступа и информированности должны быть отражены в Положении об управлении доступом субъектов доступа к объектам доступа в информационной системе персональных данных министерства образования Новосибирской области.
14. Администратор информационной системы персональных данных
Администратор информационной системы персональных данных, ответственный за настройку, внедрение и сопровождение информационной системы персональных данных. Обеспечивает функционирование подсистемы управления доступом информационной системы персональных данных и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (оператора информационной системы персональных данных) к элементам, хранящим персональные данные.
Администратор информационной системы персональных данных обладает следующим уровнем доступа и знаний:
- обладает полной информацией о системном и прикладном программном обеспечении информационной системы персональных данных;
- обладает полной информацией о технических средствах и конфигурации информационной системы персональных данных;
- имеет доступ ко всем техническим средствам обработки информации и данным в информационной системе персональных данных;
- обладает возможностями внесения изменений в программное обеспечение информационной системы персональных данных на стадии ее разработки, внедрения и сопровождения;
- обладает правами конфигурирования и административной настройки технических средств информационной системы персональных данных.
15. Оператор информационной системы персональных данных
Оператор информационной системы персональных данных, работник министерства, осуществляющий обработку персональных данных. Обработка персональных данных включает: возможность просмотра персональных данных, ручной ввод персональных данных в информационную систему персональных данных, формирование справок и отчетов по информации, полученной из информационной системы персональных данных.
Оператор информационной системы персональных данных обладает следующим уровнем доступа и знаний:
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству персональных данных;
- располагает конфиденциальными данными, к которым имеет доступ.
16. Администратор информационной безопасности
Администратор информационной безопасности, ответственный за функционирование системы защиты персональных данных, включая обслуживание и настройку административной, серверной и клиентской компонент.
Администратор информационной безопасности обладает следующим уровнем доступа и знаний:
- обладает полной информацией об информационных системах персональных данных;
- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационной системы персональных данных;
- не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
Администратор информационной безопасности уполномочен:
- реализовывать политики безопасности в части настройки средств защиты информации, межсетевых экранов и систем обнаружения вторжений, в соответствии с которыми пользователь (оператор информационной системы персональных данных) получает возможность работать с элементами информационной системы персональных данных;
- осуществлять аудит средств защиты информации;
- осуществлять контроль за действиями пользователей информационной системы персональных данных при их работе с персональными данными;
- устанавливать доверительные отношения своей защищенной сети с сетями других организаций и учреждений.
Должностные обязанности Администратора информационной безопасности описаны в Инструкции Администратора информационной безопасности.
17. Требования к работникам по обеспечению защиты персональных данных
Все работники министерства, являющиеся пользователями информационных систем персональных данных, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению установленного режима безопасности персональных данных.
При вступлении в должность нового работника непосредственный руководитель структурного подразделения обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите персональных данных, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования информационных систем персональных данных.
Работник должен быть ознакомлен с настоящей Политикой, установленными процедурами работы с элементами информационной системы персональных данных и системой защиты персональных данных.
Работники Министерства, использующие технические средства аутентификации, должны обеспечивать сохранность персональных идентификаторов (электронных ключей) и не допускать несанкционированный доступ к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
Работники министерства должны следовать установленным процедурам поддержания режима безопасности персональных данных при выборе и использовании паролей (если не используются технические средства идентификации и аутентификации).
Работники министерства должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи информационной системы персональных данных должны знать требования по безопасности персональных данных и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Работникам запрещается разглашать защищаемую информацию, которая стала им известна в силу выполнения ими своих должностных обязанностей.
При работе с персональными данными в информационной системе персональных данных работники министерства обязаны исключить возможность просмотра персональных данных третьими лицами с мониторов объектов вычислительной техники.
При завершении работы с информационной системой персональных данных работники обязаны защитить объекты вычислительной техники с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
Работники министерства должны быть проинформированы об угрозах нарушения режима безопасности персональных данных и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на работников, нарушающих принятые политику и процедуры безопасности персональных данных.
Работники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы информационной системы персональных данных, а также о выявленных ими событиях, затрагивающих безопасность персональных данных, руководству и лицу, отвечающему за немедленное реагирование на угрозы безопасности персональных данных.
18. Должностные обязанности пользователей информационной системы персональных данных
Должностные обязанности пользователей информационной системы персональных данных описаны в следующих документах:
- Инструкция Администратора информационной системы персональных данных;
- Инструкция оператора информационной системы персональных данных.
19. Ответственность пользователей информационной системы персональных данных
В соответствии со статьями 24 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Действующее законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).
Пользователи информационной системы персональных данных несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
При нарушениях работниками министерства - Пользователями информационной системы персональных данных правил, связанных с безопасностью персональных данных, они несут ответственность, установленную действующим законодательством Российской Федерации.
Приведенные выше требования нормативных документов по защите информации должны быть отражены в локальных нормативных и правовых актах министерства.
20. Список использованных источников
1. Конституция Российской Федерации;
2. исключен - приказ министерства образования Новосибирской области от 25.07.2018 № 1873
3. Трудовой кодекс Российской Федерации;
4. Семейный кодекс Российской Федерации;
5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
6. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
7. Постановление Правительства Российской Федерации от 1.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
8. Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
9. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
10. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008 г.;
11. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14.02.2008.
12. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
(в редакции приказа министерства образования Новосибирской области от 25.07.2018 № 1873)
КОНЦЕПЦИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
1. Определения
В настоящем документе используются следующие термины и их определения.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Доступ к информации - возможность получения информации и ее использования.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационная технология - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Источник угрозы безопасности персональных данных - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности персональных данных.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не распространять их без согласия субъекта персональных данных или наличия иного законного основания.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Объект вычислительной техники - стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации. К объектам вычислительной техники относятся автоматизированные системы, автоматизированные рабочие места, информационно-вычислительные центры и другие комплексы средств вычислительной техники. К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Система защиты персональных данных - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты персональных данных.
Средство криптографической защиты информации - средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Субъекты персональных данных - работники, обучающиеся, участники единого государственного экзамена (за исключением обучающихся), граждане, привлекаемые к проведению государственной итоговой аттестации, члены предметных комиссий, общественные наблюдатели, слушатели и другие лица.
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
2. Введение
Настоящая Концепция безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области (далее министерство), является официальным документом, в котором определена система взглядов на обеспечение безопасности персональных данных в министерстве.
Необходимость разработки Концепции безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства (далее - Концепция) обусловлена стремительным расширением сферы применения новейших информационных технологий и процессов в министерстве, при обработке информации в целом и персональных данных в частности, а также необходимостью соответствия требованиям законодательства Российской Федерации в области защиты персональных данных.
Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных в министерстве. Концепция определяет основные требования и базовые подходы к их реализации для достижения требуемого уровня безопасности информации.
Концепция разработана в соответствии с системным подходом к обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз безопасности персональных данных и разработку системы защиты персональных данных с позиции комплексного применения технических и организационных мер и средств защиты.
Под безопасностью персональных данных понимается защищенность персональных данных и обрабатывающей их инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам персональных данных) или инфраструктуре. Задачи безопасности персональных данных сводятся к минимизации ущерба от возможной реализации угроз безопасности персональных данных, а также к прогнозированию и предотвращению таких воздействий.
Концепция служит основой для разработки комплекса организационных и технических мер по обеспечению безопасности персональных данных министерства, а также нормативных и методических документов, обеспечивающих ее реализацию, и не предполагает подмены функций государственных органов власти Российской Федерации, отвечающих за обеспечение безопасности информационных технологий и защиту информации.
Концепция является методологической основой для:
- формирования и проведения единой политики в области обеспечения безопасности персональных данных в информационных системах персональных данных министерства;
- принятия управленческих решений, разработки практических мер по воплощению политики безопасности персональных данных и выработки комплекса, согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз персональных данных;
- координации деятельности структурных подразделений министерства при проведении работ по развитию и эксплуатации информационных систем персональных данных с соблюдением требований обеспечения безопасности персональных данных;
- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности персональных данных в информационных системах персональных данных министерства.
Область применения Концепции распространяется на все структурные подразделения министерства, эксплуатирующие технические и программные средства информационных систем персональных данных, в которых осуществляется автоматизированная обработка персональных данных, а также на структурные подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования информационных систем персональных данных.
Правовой базой для разработки настоящей Концепции служат требования действующих в Российской Федерации законодательных и нормативных документов по обеспечению безопасности персональных данных.
3. Общие положения
Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных министерства, в соответствии с Перечнем информационных систем персональных данных. Концепция определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности персональных данных.
Система защиты персональных данных представляет собой совокупность организационных и технических мероприятий для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий с ними.
Структура, состав и основные функции системы защиты персональных данных определяются исходя из уровня защищенности персональных данных в информационных системах персональных данных. Система защиты персональных данных включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Эти меры призваны обеспечить:
- конфиденциальность информации (защита от несанкционированного ознакомления);
- целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
- доступность информации (возможность за приемлемое время получить требуемую информационную услугу).
Стадии создания системы защиты персональных данных включают:
- предпроектная стадия, включающая предпроектное обследование информационной системы персональных данных, разработку технического (частного технического) задания на ее создание;
- стадия проектирования (разработки проектов) и реализации информационных систем персональных данных, включающая разработку системы защиты персональных данных в составе информационных систем персональных данных;
- стадия ввода в действие системы защиты персональных данных, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия информационной системы персональных данных требованиям безопасности информации.
Организационные меры предусматривают создание и поддержание правовой базы безопасности персональных данных и разработку (введение в действие) локальных нормативных актов в области обработки и защиты персональных данных в информационных системах персональных данных министерства.
Технические меры защиты реализуются при помощи соответствующих программно-технических средств и методов защиты.
4. Цель и задачи системы защиты персональных данных
Основной целью системы защиты персональных данных является минимизация ущерба от возможной реализации угроз безопасности персональных данных.
Для достижения основной цели система защиты персональных данных в информационных системах персональных данных должна обеспечивать эффективное решение следующих задач:
- защиту от вмешательства в процесс функционирования информационной системы персональных данных посторонних лиц (возможность использования объектов вычислительной техники и доступ к его ресурсам должны иметь только зарегистрированные установленным порядком пользователи);
- разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам информационной системы персональных данных (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям информационной системы персональных данных для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:
- к информации, циркулирующей в информационных системах персональных данных;
- средствам вычислительной техники информационной системы персональных данных;
- аппаратным, программным и криптографическим средствам защиты, используемым в информационных системах персональных данных;
- регистрацию действий пользователей при использовании защищаемых ресурсов информационных систем персональных данных в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;
- контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
- защиту от несанкционированной модификации и контроль целостности используемых в информационных системах персональных данных программных средств, а также защиту системы от внедрения несанкционированных программ;
- защиту персональных данных от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
- защиту персональных данных хранимых, обрабатываемых и передаваемых по каналам связи, от несанкционированного разглашения или искажения;
- обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
- своевременное выявление источников угроз безопасности персональных данных, причин и условий, способствующих нанесению ущерба субъектам персональных данных, создание механизма оперативного реагирования на угрозы безопасности персональных данных и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности персональных данных.
5. Перечень элементов информационных систем персональных данных, подлежащих защите
Обработка персональных данных в министерстве производится в информационных системах персональных данных.
Перечень информационных систем персональных данных определяется приказом министерства.
Персональные данные, обрабатываемые в информационных системах персональных данных, являются сведениями конфиденциального характера и подлежат защите. Перечень персональных данных, подлежащих защите, определен в Положении об обработке персональных данных министерстве.
Кроме того, в информационных системах персональных данных защите подлежат:
- технологическая информация;
- программно-технические средства обработки;
- средства защиты персональных данных;
- каналы информационного обмена и телекоммуникации;
- объекты и помещения, в которых размещены компоненты информационной системы персональных данных.
6. Классификация пользователей информационных систем персональных данных
Пользователем информационной системы персональных данных является лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. Пользователем информационной системы персональных данных является работник министерства, имеющий доступ к информационной системе персональных данных и ее ресурсам в соответствии с установленным порядком доступа и служебными обязанностями.
Пользователи информационной системы персональных данных делятся на следующие категории:
1. Администратор информационной системы персональных данных - работник министерства, ответственный за настройку, внедрение и сопровождение информационной системы персональных данных. Обеспечивает функционирование подсистемы управления доступом информационной системы персональных данных и уполномочен осуществлять предоставление и разграничение доступа конечным пользователям (Операторам информационной системы персональных данных) к элементам системы, хранящим персональные данные.
Администратор информационной системы персональных данных обладает следующим уровнем доступа и знаний:
- обладает полной информацией о системном и прикладном программном обеспечении информационной системы персональных данных;
- обладает полной информацией о технических средствах и конфигурации информационной системы персональных данных;
- имеет доступ к техническим средствам обработки информации и средствам защиты;
- обладает возможностями внесения изменений в программное обеспечение информационной системы персональных данных на стадии ее разработки, внедрения и сопровождения;
- обладает правами конфигурирования и административной настройки технических средств информационных систем персональных данных.
2. Оператор информационной системы персональных данных - работник Учреждения, осуществляющий обработку персональных данных. Обработка персональных данных включает: возможность просмотра персональных данных, ручной ввод персональных данных в информационную систему персональных данных, формирование справок и отчетов по информации, полученной из информационной системы персональных данных. Оператор информационной системы персональных данных не имеет полномочий для управления подсистемами обработки данных и системы защиты персональных данных.
Оператор информационной системы персональных данных обладает следующим уровнем доступа и знаний:
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству персональных данных;
- располагает конфиденциальными данными, к которым имеет доступ.
7. Основные принципы построения системы комплексной защиты информации
Построение системы обеспечения безопасности персональных данных в информационных системах персональных данных министерства и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- персональная ответственность;
- минимизация полномочий;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- научная обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
1. Законность
Предполагает осуществление защитных мероприятий и разработку системы защиты персональных данных министерства в соответствии с действующим законодательством в области защиты персональных данных и других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции.
Пользователи информационной системы персональных данных министерства должны быть осведомлены о порядке работы с защищаемой информацией и об ответственности за нарушение требований данного порядка.
2. Системность
Системный подход к построению системы защиты персональных данных министерства предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности персональных данных в информационных системах персональных данных министерства.
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки персональных данных, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и несанкционированного доступа к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
3. Комплексность
Комплексное использование методов и средств защиты предполагает согласованное применение разнородных средств для построения целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Защита должна строиться эшелонировано. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.
Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства криптографической защиты, реализованные с использованием технологии VP№. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.
4. Непрерывность защиты персональных данных
Защита персональных данных - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационных систем персональных данных.
Информационные системы персональных данных должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры по недопущению перехода информационных систем персональных данных в незащищенное состояние.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты.
5. Своевременность
Предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите информационной системы персональных данных и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационной системы персональных данных в целом и ее системы защиты информации, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
6. Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационной системы персональных данных и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требованиях по защите, достигнутом отечественном и зарубежном опыте в этой области.
7. Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого работника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей работников строится таким образом, чтобы в случае любого нарушения круг виновников был четко определен или сведен к минимуму.
8. Принцип минимизации полномочий
Означает предоставление пользователям минимально необходимых прав доступа в соответствии с производственной необходимостью, на основе принципа «все, что не разрешено, запрещено».
Доступ к персональным данным должен предоставляться только в тех целях и объемах, которые необходимы работнику для выполнения его должностных обязанностей.
9. Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективе министерства, обеспечивающем деятельность информационных системах персональных данных министерства, для снижения вероятности возникновения негативных действий связанных с человеческим фактором.
В такой обстановке работники должны осознанно соблюдать установленные правила и оказывать содействие лицам, ответственным за защиту информации.
10. Гибкость системы защиты персональных данных
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.
11. Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже разработчикам системы). Однако это не означает, что информация о конкретной системе защиты должна быть общедоступна.
12. Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Должна достигаться автоматизация максимального числа действий операторов и администраторов информационных системах персональных данных.
13. Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности персональных данных и должны соответствовать установленным нормам и требованиям по безопасности персональных данных.
Система защиты персональных данных должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.
14. Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности персональных данных, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Учреждения.
15. Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности персональных данных на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
8. Меры, методы и средства обеспечения требуемого уровня защищенности
Обеспечение требуемого уровня защищенности должно достигаться с использованием мер, методов и средств безопасности. Все меры обеспечения безопасности информационных систем персональных данных подразделяются на:
- законодательные (правовые);
- морально-этические;
- организационные (административные);
- физические;
- технические (аппаратные и программные).
Перечень выбранных мер обеспечения безопасности отражается в Плане мероприятий по обеспечению защиты персональных данных.
1. Законодательные (правовые) меры защиты
К правовым мерам защиты относятся правила обращения с персональными данными, установленные действующими в стране нормативно-правовыми актами, которые, закрепляют права и обязанности участников информационных отношений, а также устанавливают ответственность за нарушения этих правил. Правовая база создает препятствия неправомерному использованию персональных данных и является сдерживающим фактором для потенциальных нарушителей.
Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями системы.
2. Морально-этические меры защиты
К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения вычислительной техники в стране. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально- этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.
Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективе министерства. Морально-этические меры защиты снижают вероятность возникновения негативных действий связанных с человеческим фактором.
3. Организационные (административные) меры защиты
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования информационной системы персональных данных, использование ресурсов информационной системы персональных данных, а также порядок взаимодействия пользователей с информационными системами персональных данных таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать Политику безопасности персональных данных, отражающую подходы к защите персональных данных, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Реализация Политики безопасности персональных данных в информационных системах персональных данных состоит из мер административного уровня и организационных (процедурных) мер защиты персональных данных.
К административному уровню относятся решения руководства, затрагивающие функционирование информационной системы персональных данных в целом. Эти решения закрепляются в Политике безопасности персональных данных. Примером таких решений могут быть:
- назначение Администратора информационной безопасности;
- принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности персональных данных, назначение лиц, ответственных за ее реализацию;
- формулирование целей, постановка задач, определение направлений деятельности в области безопасности персональных данных;
- принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне Учреждения в целом;
- обеспечение нормативной (правовой) базы вопросов безопасности и т.п.
Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности персональных данных, определить какими ресурсами (материальные ресурсы, персонал) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью информационных систем персональных данных.
На организационном уровне определяются процедуры и правила достижения целей и решения задач Политики безопасности персональных данных. Эти правила определяют:
- какова область применения политики безопасности персональных данных;
- каковы роли и обязанности должностных лиц, отвечающих за проведение политики безопасности персональных данных, а так же их ответственность;
- кто имеет права доступа к персональным данным;
- какими мерами и средствами обеспечивается защита персональных данных;
- какими мерами и средствами обеспечивается контроль за соблюдением введенного режима безопасности.
Организационные меры должны:
- предусматривать порядок информационных отношений, исключающих возможность несанкционированных действий в отношении объектов защиты;
- определять коалиционные и иерархические принципы и методы разграничения доступа к персональным данным;
- определять порядок работы с программно-математическими и техническими (аппаратными) средствами защиты и криптозащиты и другими защитными механизмами;
- организовать меры противодействия несанкционированным действиям пользователей на этапах аутентификации, идентификации, обеспечивающие гарантии реализации прав и ответственности субъектов информационных отношений.
Организационные меры должны состоять из:
- регламентации доступа в помещения, где расположены элементы информационных систем персональных данных;
- порядка допуска работников к использованию ресурсов информационных систем персональных данных Учреждения;
- регламентации процессов ведения баз данных и осуществления модификации информационных ресурсов;
- регламентации процессов обслуживания и осуществления модификации аппаратных и программных ресурсов информационных систем персональных данных;
- принятия инструкции Администратора информационной безопасности.
- принятия инструкций пользователей информационных систем персональных данных (Администратора информационной системы персональных данных, Оператора информационной системы персональных данных).
4. Физические меры защиты
Физические меры защиты основаны на применении разного рода механических, электронных или электронно-механических устройств, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления системы охраны, включающую посты охраны, технические средства охраны, которая всеми способами, предотвращает или существенно затрудняет проникновение в здания, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, а также исключает нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.
5. Аппаратно-программные средства защиты персональных данных
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем персональных данных и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
С учетом всех требований и принципов обеспечения безопасности персональных данных в информационных системах персональных данных по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
- средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей информационной системы персональных данных;
- средства разграничения доступа зарегистрированных пользователей системы к ресурсам информационной системы персональных данных;
- средства обеспечения и контроля целостности программных и информационных ресурсов;
- средства оперативного контроля и регистрации событий безопасности;
- криптографические средства защиты персональных данных.
Успешное применение технических средств защиты на основании принципов, изложенных в разделе 5, предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:
- обеспечена физическая целостность всех компонент информационной системы персональных данных;
- каждый работник (пользователь информационной системы персональных данных) или группа пользователей имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
- в информационных системах персональных данных министерства разработка и отладка программных средств осуществляется за пределами информационных систем персональных данных, на испытательных стендах;
- все изменения конфигурации технических и программных средств информационных систем персональных данных производятся в строго установленном порядке (регистрируются и контролируются) только на основании распоряжений руководства министерства;
- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальных помещениях, шкафах, и т.п.);
- специалистами министерства осуществляется непрерывное управление и административная поддержка функционирования средств защиты.
9. Контроль эффективности системы защиты персональных данных
Контроль эффективности системы защиты персональных данных министерства должен осуществляться на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы системы защиты персональных данных (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а также прогнозирование и превентивное реагирование на новые угрозы безопасности персональных данных.
Контроль может проводиться как Администратором информационной безопасности, Администраторами информационных систем персональных данных (оперативный контроль в процессе информационного взаимодействия в информационных системах персональных данных), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК России и ФСБ России в пределах их компетенции.
Контроль может осуществляться Администратором информационной безопасности, Администраторами информационных систем персональных данных как с помощью штатных средств системы защиты персональных данных, так и с помощью специальных программных средств контроля.
Оценка эффективности мер защиты персональных данных проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям безопасности.
10. Сферы ответственности за безопасность персональных данных
Работники министерства, ответственные за обработку персональных данных с использованием средств автоматизации или без использования таких средств назначаются приказом министерства.
Сфера ответственности данных работников включает следующие направления обеспечения безопасности персональных данных:
- планирование и реализация мер по обеспечению безопасности персональных данных;
- анализ угроз безопасности персональных данных;
- внедрение, контроль исполнения и поддержание в актуальном состоянии политик, руководств, концепций, процедур, регламентов, инструкций и других организационных документов по обеспечению безопасности персональных данных;
- обучение и информирование пользователей информационных систем персональных данных о порядке работы с персональными данными и средствами защиты;
- предотвращение, выявление, реагирование и расследование нарушений безопасности персональных данных.
11. Модель нарушителя безопасности
Под нарушителем в министерстве понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб элементам информационных систем персональных данных, подлежащим защите.
Нарушители подразделяются по признаку принадлежности к информационным системам персональных данных. Все нарушители делятся на две группы:
- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационных систем персональных данных;
- внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационных систем персональных данных.
12. Модель угроз безопасности
Для информационных систем персональных данных министерства выделяются следующие основные категории угроз безопасности персональных данных:
- Угрозы от утечки по техническим каналам;
- Угрозы несанкционированного доступа к информации:
● Угрозы непосредственного доступа к элементам\parинформационных систем персональных данных;
● Угрозы уничтожения, хищения технических средств\parинформационных систем персональных данных, носителей информации путем физического доступа к элементам информационных систем персональных данных;
● Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования информационной системы персональных данных и системы защиты персональных данных в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера;
● Угрозы хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);
● Угрозы несанкционированного доступа по каналам связи;
● Угрозы преднамеренных действий внутренних нарушителей.
Описание угроз, вероятность их реализации, опасность и актуальность представлены в Частной модели угроз безопасности персональных данных каждой информационной системы персональных данных.
13. Механизм реализации Концепции
Реализация Концепции должна осуществляться на основе перспективных программ и планов, которые составляются на основании и во исполнение:
- федеральных законов в области обеспечения информационной безопасности и защиты информации;
- постановлений Правительства Российской Федерации;
- руководящих, организационно-распорядительных и методических документов ФСБ России, ФСТЭК России, Роскомнадзора;
- потребностей информационной системы персональных данных в средствах обеспечения безопасности информации.
14. Ожидаемый эффект от реализации Концепции
Реализация Концепции безопасности персональных данных, обрабатываемых в информационных системах персональных данных Учреждения позволит:
- оценить состояние безопасности персональных данных, выявить источники внутренних и внешних угроз безопасности персональных данных, определить приоритетные направления предотвращения, отражения и нейтрализации этих угроз;
- разработать распорядительные и нормативно-методические документы применительно к информационным системам персональных данных;
- провести определение уровня защищенности персональных данных при их обработке в информационных системах персональных данных;
- провести организационно-режимные и технические мероприятия по обеспечению безопасности персональных данных в информационных системах персональных данных;
- обеспечить необходимый уровень безопасности элементов информационных систем персональных данных, подлежащих защите.
Осуществление этих мероприятий обеспечит создание единой, целостной и скоординированной системы защиты персональных данных и создаст условия для ее дальнейшего совершенствования.
15. Список использованных источников
1. Конституция Российской Федерации;
2. Трудовой кодекс Российской Федерации;
3. Семейный кодекс Российской Федерации;
4. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
5. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
6. Постановление Правительства Российской Федерации от 1.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
7. Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
8. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008 г.;
10. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14.02.2008.
11. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
(в редакции приказа министерства образования Новосибирской области от 25.07.2018 № 1873)
МИНИСТЕРСТВО ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 7 мая 2018 г. № 1101
ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ И КОНЦЕПЦИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
(в редакции приказа министерства образования Новосибирской области от 25.07.2018 № 1873)
В целях обеспечения выполнения норм Федерального Закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 № 152-ФЗ «О персональных данных», Указа Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» приказываю:
1. Утвердить прилагаемые:
1) политику безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области (далее - политика);
2) концепцию безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области (далее - концепция).
2. Ответственному за организацию работ по защите персональных данных в министерстве образования Новосибирской области руководствоваться политикой и концепцией, утвержденными в пункте 1 настоящего приказа, при организации работ по защите персональных данных.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Исполняющий обязанности министра
А.А. Флек
ПОЛИТИКА БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
1. Определения
В настоящем документе используются следующие термины и их определения.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Доступ к информации - возможность получения информации и ее использования.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационная технология - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Источник угрозы безопасности персональных данных - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности персональных данных.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не распространять их без согласия субъекта персональных данных или наличия иного законного основания.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Объект вычислительной техники - стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации. К объектам вычислительной техники относятся автоматизированные системы, автоматизированные рабочие места, информационно-вычислительные центры и другие комплексы средств вычислительной техники. К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Система защиты персональных данных - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты персональных данных.
Средство криптографической защиты информации - средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Субъекты персональных данных - работники, обучающиеся, участники единого государственного экзамена (за исключением обучающихся), граждане, привлекаемые к проведению государственной итоговой аттестации, члены предметных комиссий, общественные наблюдатели, слушатели и другие лица.
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
2. Введение
Настоящая Политика безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области (далее - Политика), является официальным документом и разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Концепции безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области министерства образования Новосибирской области (далее - министерство).
В Политике определены требования к государственным гражданским служащим и работникам, замещающим должности, не являющимися должностями государственной гражданской службы Новосибирской области (далее - работники министерства), степень ответственности работников министерства, структура и необходимый уровень защищенности, статус и должностные обязанности работников министерства, ответственных за обеспечение безопасности персональных данных в информационных системах персональных данных Министерства.
3. Общие положения
Целью настоящей Политики является обеспечение безопасности персональных данных министерства от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Информация и связанные с ней ресурсы должны быть доступны только для авторизованных пользователей. В информационных системах персональных данных должно осуществляться своевременное обнаружение угроз и реагирование на угрозы безопасности персональных данных.
В информационных системах персональных данных необходимо исключить возможность преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.
Перечень персональных данных, подлежащих защите, определен в Положении о порядке обработки и обеспечении безопасности информации конфиденциального характера, в том числе персональных данных, в министерстве образования Новосибирской области.
4. Система защиты персональных данных
Система защиты персональных данных строится на основании:
- Перечня персональных данных, подлежащих защите;
- Перечня информационных систем персональных данных;
- Акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных;
- Частной модели угроз и нарушителя безопасности персональных данных;
- Положения о разграничении прав доступа к обрабатываемым персональным данным;
- Руководящих документов ФСТЭК России и ФСБ России.
На основании этих документов определяется необходимый уровень защищенности персональных данных в каждой информационной системе персональных данных министерства. Для каждой информационной системы персональных данных должен быть составлен список используемых технических средств, а также программного обеспечения участвующего в обработке персональных данных, подлежащих защите.
В зависимости от уровня защищенности персональных данных в информационной системе персональных данных и актуальных угроз, система защиты персональных данных может включать следующие технические и программные средства:
- антивирусные средства для объектов вычислительной техники;
- средства межсетевого экранирования;
- средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.
Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами информационной системы персональных данных и операционных систем, прикладным программным обеспечением и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:
- управление доступом и разграничение доступа пользователей;
- регистрацию и учет действий с информацией;
- обеспечение целостности данных;
- обнаружение вторжений.
Список используемых средств должен поддерживаться в актуальном состоянии. Все изменения состава системы защиты персональных данных или элементов информационных систем персональных данных должны быть согласованы с Администратором информационной безопасности.
5. Требования к подсистемам системы защиты персональных данных
Система защиты персональных данных включает в себя следующие подсистемы:
- управления доступом, регистрации и учета;
- обеспечения целостности и доступности;
- антивирусной защиты;
- межсетевого экранирования;
- анализа защищенности;
- обнаружения вторжений;
- криптографической защиты.
Подсистемы системы защиты персональных данных имеют различный функционал в зависимости от уровня защищенности персональных данных при их обработке в информационной системе персональных данных, определенного в Акте определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных.
6. Подсистемы управления доступом, регистрации и учета
Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:
- идентификации и проверки подлинности субъектов доступа при входе в информационную систему персональных данных;
- идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
- идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
- регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрации загрузки и инициализации операционной системы и ее останова;
- регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
- регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Подсистема управления доступом может быть реализована с помощью штатных средств обработки персональных данных (операционных систем, приложений). Так же может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
7. Подсистема обеспечения целостности и доступности
Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности персональных данных, программных и аппаратных средств информационных систем персональных данных министерства, а так же средств защиты, при случайной или намеренной модификации.
Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов информационных систем персональных данных.
8. Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты объектов вычислительной техники министерства.
Средства антивирусной защиты предназначены для реализации следующих функций:
- резидентный антивирусный мониторинг;
- антивирусное сканирование;
- скрипт-блокирование;
- централизованная/удаленная установка/деинсталляция антивирусного продукта, настройка, администрирование, просмотр отчетов и статистической информации по работе продукта;
- автоматизированное обновление антивирусных баз;
- ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
- автоматический запуск сразу после загрузки операционной системы.
Подсистема реализуется путем внедрения специального антивирусного программного обеспечения во все элементы информационных систем персональных данных.
9. Подсистема межсетевого экранирования
Подсистема межсетевого экранирования предназначена для реализации следующих функций:
- фильтрации открытого и зашифрованного (закрытого) IР-трафика;
- фиксации во внутренних журналах информации о проходящем открытом и закрытом IР-трафике;
- идентификации и аутентификации Администратора информационной безопасности или Администратора информационной системы персональных данных при его локальных запросах на доступ;
- регистрации входа (выхода) Администратора информационной безопасности или Администратора информационной системы персональных данных в систему (из системы) либо загрузки и инициализации системы и ее программного останова;
- контроля целостности своей программной и информационной части;
- фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
- фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
- регистрации и учета запрашиваемых сервисов прикладного уровня;
- блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
- контроля за сетевой активностью приложений и обнаружения сетевых атак.
Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе сети.
10. Подсистема анализа защищенности
Подсистема анализа защищенности, должна обеспечивать выявление уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы персональных данных, которые могут быть использованы нарушителем для реализации атаки на систему.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
11. Подсистема обнаружения вторжений
Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы информационной системы персональных данных, подключенные к сетям общего пользования и (или) международного обмена.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
12. Подсистема криптографической защиты
Подсистема криптографической защиты предназначена для исключения несанкционированного доступа к защищаемой информации в информационных системах персональных данных министерства, при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.
Подсистема реализуется внедрением криптографических программно-аппаратных комплексов.
13. Пользователи информационных систем персональных данных
В Концепции безопасности персональных данных определены основные категории пользователей. На основании этих категорий должна быть произведена типизация пользователей информационных систем персональных данных, определен их уровень доступа и возможности.
В информационных системах персональных данных министерства можно выделить следующие группы пользователей, участвующих в обработке персональных данных:
- Администратор информационной системы персональных данных;
- Оператор информационной системы персональных данных.
Данные о группах пользователей, уровне их доступа и информированности должны быть отражены в Положении об управлении доступом субъектов доступа к объектам доступа в информационной системе персональных данных министерства образования Новосибирской области.
14. Администратор информационной системы персональных данных
Администратор информационной системы персональных данных, ответственный за настройку, внедрение и сопровождение информационной системы персональных данных. Обеспечивает функционирование подсистемы управления доступом информационной системы персональных данных и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (оператора информационной системы персональных данных) к элементам, хранящим персональные данные.
Администратор информационной системы персональных данных обладает следующим уровнем доступа и знаний:
- обладает полной информацией о системном и прикладном программном обеспечении информационной системы персональных данных;
- обладает полной информацией о технических средствах и конфигурации информационной системы персональных данных;
- имеет доступ ко всем техническим средствам обработки информации и данным в информационной системе персональных данных;
- обладает возможностями внесения изменений в программное обеспечение информационной системы персональных данных на стадии ее разработки, внедрения и сопровождения;
- обладает правами конфигурирования и административной настройки технических средств информационной системы персональных данных.
15. Оператор информационной системы персональных данных
Оператор информационной системы персональных данных, работник министерства, осуществляющий обработку персональных данных. Обработка персональных данных включает: возможность просмотра персональных данных, ручной ввод персональных данных в информационную систему персональных данных, формирование справок и отчетов по информации, полученной из информационной системы персональных данных.
Оператор информационной системы персональных данных обладает следующим уровнем доступа и знаний:
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству персональных данных;
- располагает конфиденциальными данными, к которым имеет доступ.
16. Администратор информационной безопасности
Администратор информационной безопасности, ответственный за функционирование системы защиты персональных данных, включая обслуживание и настройку административной, серверной и клиентской компонент.
Администратор информационной безопасности обладает следующим уровнем доступа и знаний:
- обладает полной информацией об информационных системах персональных данных;
- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационной системы персональных данных;
- не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
Администратор информационной безопасности уполномочен:
- реализовывать политики безопасности в части настройки средств защиты информации, межсетевых экранов и систем обнаружения вторжений, в соответствии с которыми пользователь (оператор информационной системы персональных данных) получает возможность работать с элементами информационной системы персональных данных;
- осуществлять аудит средств защиты информации;
- осуществлять контроль за действиями пользователей информационной системы персональных данных при их работе с персональными данными;
- устанавливать доверительные отношения своей защищенной сети с сетями других организаций и учреждений.
Должностные обязанности Администратора информационной безопасности описаны в Инструкции Администратора информационной безопасности.
17. Требования к работникам по обеспечению защиты персональных данных
Все работники министерства, являющиеся пользователями информационных систем персональных данных, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению установленного режима безопасности персональных данных.
При вступлении в должность нового работника непосредственный руководитель структурного подразделения обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите персональных данных, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования информационных систем персональных данных.
Работник должен быть ознакомлен с настоящей Политикой, установленными процедурами работы с элементами информационной системы персональных данных и системой защиты персональных данных.
Работники Министерства, использующие технические средства аутентификации, должны обеспечивать сохранность персональных идентификаторов (электронных ключей) и не допускать несанкционированный доступ к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
Работники министерства должны следовать установленным процедурам поддержания режима безопасности персональных данных при выборе и использовании паролей (если не используются технические средства идентификации и аутентификации).
Работники министерства должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи информационной системы персональных данных должны знать требования по безопасности персональных данных и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Работникам запрещается разглашать защищаемую информацию, которая стала им известна в силу выполнения ими своих должностных обязанностей.
При работе с персональными данными в информационной системе персональных данных работники министерства обязаны исключить возможность просмотра персональных данных третьими лицами с мониторов объектов вычислительной техники.
При завершении работы с информационной системой персональных данных работники обязаны защитить объекты вычислительной техники с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
Работники министерства должны быть проинформированы об угрозах нарушения режима безопасности персональных данных и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на работников, нарушающих принятые политику и процедуры безопасности персональных данных.
Работники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы информационной системы персональных данных, а также о выявленных ими событиях, затрагивающих безопасность персональных данных, руководству и лицу, отвечающему за немедленное реагирование на угрозы безопасности персональных данных.
18. Должностные обязанности пользователей информационной системы персональных данных
Должностные обязанности пользователей информационной системы персональных данных описаны в следующих документах:
- Инструкция Администратора информационной системы персональных данных;
- Инструкция оператора информационной системы персональных данных.
19. Ответственность пользователей информационной системы персональных данных
В соответствии со статьями 24 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Действующее законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).
Пользователи информационной системы персональных данных несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
При нарушениях работниками министерства - Пользователями информационной системы персональных данных правил, связанных с безопасностью персональных данных, они несут ответственность, установленную действующим законодательством Российской Федерации.
Приведенные выше требования нормативных документов по защите информации должны быть отражены в локальных нормативных и правовых актах министерства.
20. Список использованных источников
1. Конституция Российской Федерации;
2. исключен - приказ министерства образования Новосибирской области от 25.07.2018 № 1873
3. Трудовой кодекс Российской Федерации;
4. Семейный кодекс Российской Федерации;
5. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
6. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
7. Постановление Правительства Российской Федерации от 1.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
8. Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
9. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
10. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008 г.;
11. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14.02.2008.
12. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
(в редакции приказа министерства образования Новосибирской области от 25.07.2018 № 1873)
КОНЦЕПЦИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ НОВОСИБИРСКОЙ ОБЛАСТИ
1. Определения
В настоящем документе используются следующие термины и их определения.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Доступ к информации - возможность получения информации и ее использования.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информационная технология - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Источник угрозы безопасности персональных данных - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности персональных данных.
Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не распространять их без согласия субъекта персональных данных или наличия иного законного основания.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Объект вычислительной техники - стационарный или подвижный объект, который представляет собой комплекс средств вычислительной техники, предназначенный для выполнения определенных функций обработки информации. К объектам вычислительной техники относятся автоматизированные системы, автоматизированные рабочие места, информационно-вычислительные центры и другие комплексы средств вычислительной техники. К объектам вычислительной техники могут быть отнесены также отдельные средства вычислительной техники, выполняющие самостоятельные функции обработки информации.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Система защиты персональных данных - совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты персональных данных.
Средство криптографической защиты информации - средство защиты информации, реализующее алгоритмы криптографического преобразования информации.
Субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Субъекты персональных данных - работники, обучающиеся, участники единого государственного экзамена (за исключением обучающихся), граждане, привлекаемые к проведению государственной итоговой аттестации, члены предметных комиссий, общественные наблюдатели, слушатели и другие лица.
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
2. Введение
Настоящая Концепция безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства образования Новосибирской области (далее министерство), является официальным документом, в котором определена система взглядов на обеспечение безопасности персональных данных в министерстве.
Необходимость разработки Концепции безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства (далее - Концепция) обусловлена стремительным расширением сферы применения новейших информационных технологий и процессов в министерстве, при обработке информации в целом и персональных данных в частности, а также необходимостью соответствия требованиям законодательства Российской Федерации в области защиты персональных данных.
Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных в министерстве. Концепция определяет основные требования и базовые подходы к их реализации для достижения требуемого уровня безопасности информации.
Концепция разработана в соответствии с системным подходом к обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных министерства. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз безопасности персональных данных и разработку системы защиты персональных данных с позиции комплексного применения технических и организационных мер и средств защиты.
Под безопасностью персональных данных понимается защищенность персональных данных и обрабатывающей их инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам персональных данных) или инфраструктуре. Задачи безопасности персональных данных сводятся к минимизации ущерба от возможной реализации угроз безопасности персональных данных, а также к прогнозированию и предотвращению таких воздействий.
Концепция служит основой для разработки комплекса организационных и технических мер по обеспечению безопасности персональных данных министерства, а также нормативных и методических документов, обеспечивающих ее реализацию, и не предполагает подмены функций государственных органов власти Российской Федерации, отвечающих за обеспечение безопасности информационных технологий и защиту информации.
Концепция является методологической основой для:
- формирования и проведения единой политики в области обеспечения безопасности персональных данных в информационных системах персональных данных министерства;
- принятия управленческих решений, разработки практических мер по воплощению политики безопасности персональных данных и выработки комплекса, согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз персональных данных;
- координации деятельности структурных подразделений министерства при проведении работ по развитию и эксплуатации информационных систем персональных данных с соблюдением требований обеспечения безопасности персональных данных;
- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности персональных данных в информационных системах персональных данных министерства.
Область применения Концепции распространяется на все структурные подразделения министерства, эксплуатирующие технические и программные средства информационных систем персональных данных, в которых осуществляется автоматизированная обработка персональных данных, а также на структурные подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования информационных систем персональных данных.
Правовой базой для разработки настоящей Концепции служат требования действующих в Российской Федерации законодательных и нормативных документов по обеспечению безопасности персональных данных.
3. Общие положения
Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных министерства, в соответствии с Перечнем информационных систем персональных данных. Концепция определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности персональных данных.
Система защиты персональных данных представляет собой совокупность организационных и технических мероприятий для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий с ними.
Структура, состав и основные функции системы защиты персональных данных определяются исходя из уровня защищенности персональных данных в информационных системах персональных данных. Система защиты персональных данных включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Эти меры призваны обеспечить:
- конфиденциальность информации (защита от несанкционированного ознакомления);
- целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
- доступность информации (возможность за приемлемое время получить требуемую информационную услугу).
Стадии создания системы защиты персональных данных включают:
- предпроектная стадия, включающая предпроектное обследование информационной системы персональных данных, разработку технического (частного технического) задания на ее создание;
- стадия проектирования (разработки проектов) и реализации информационных систем персональных данных, включающая разработку системы защиты персональных данных в составе информационных систем персональных данных;
- стадия ввода в действие системы защиты персональных данных, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия информационной системы персональных данных требованиям безопасности информации.
Организационные меры предусматривают создание и поддержание правовой базы безопасности персональных данных и разработку (введение в действие) локальных нормативных актов в области обработки и защиты персональных данных в информационных системах персональных данных министерства.
Технические меры защиты реализуются при помощи соответствующих программно-технических средств и методов защиты.
4. Цель и задачи системы защиты персональных данных
Основной целью системы защиты персональных данных является минимизация ущерба от возможной реализации угроз безопасности персональных данных.
Для достижения основной цели система защиты персональных данных в информационных системах персональных данных должна обеспечивать эффективное решение следующих задач:
- защиту от вмешательства в процесс функционирования информационной системы персональных данных посторонних лиц (возможность использования объектов вычислительной техники и доступ к его ресурсам должны иметь только зарегистрированные установленным порядком пользователи);
- разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам информационной системы персональных данных (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям информационной системы персональных данных для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:
- к информации, циркулирующей в информационных системах персональных данных;
- средствам вычислительной техники информационной системы персональных данных;
- аппаратным, программным и криптографическим средствам защиты, используемым в информационных системах персональных данных;
- регистрацию действий пользователей при использовании защищаемых ресурсов информационных систем персональных данных в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;
- контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
- защиту от несанкционированной модификации и контроль целостности используемых в информационных системах персональных данных программных средств, а также защиту системы от внедрения несанкционированных программ;
- защиту персональных данных от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
- защиту персональных данных хранимых, обрабатываемых и передаваемых по каналам связи, от несанкционированного разглашения или искажения;
- обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
- своевременное выявление источников угроз безопасности персональных данных, причин и условий, способствующих нанесению ущерба субъектам персональных данных, создание механизма оперативного реагирования на угрозы безопасности персональных данных и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности персональных данных.
5. Перечень элементов информационных систем персональных данных, подлежащих защите
Обработка персональных данных в министерстве производится в информационных системах персональных данных.
Перечень информационных систем персональных данных определяется приказом министерства.
Персональные данные, обрабатываемые в информационных системах персональных данных, являются сведениями конфиденциального характера и подлежат защите. Перечень персональных данных, подлежащих защите, определен в Положении об обработке персональных данных министерстве.
Кроме того, в информационных системах персональных данных защите подлежат:
- технологическая информация;
- программно-технические средства обработки;
- средства защиты персональных данных;
- каналы информационного обмена и телекоммуникации;
- объекты и помещения, в которых размещены компоненты информационной системы персональных данных.
6. Классификация пользователей информационных систем персональных данных
Пользователем информационной системы персональных данных является лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. Пользователем информационной системы персональных данных является работник министерства, имеющий доступ к информационной системе персональных данных и ее ресурсам в соответствии с установленным порядком доступа и служебными обязанностями.
Пользователи информационной системы персональных данных делятся на следующие категории:
1. Администратор информационной системы персональных данных - работник министерства, ответственный за настройку, внедрение и сопровождение информационной системы персональных данных. Обеспечивает функционирование подсистемы управления доступом информационной системы персональных данных и уполномочен осуществлять предоставление и разграничение доступа конечным пользователям (Операторам информационной системы персональных данных) к элементам системы, хранящим персональные данные.
Администратор информационной системы персональных данных обладает следующим уровнем доступа и знаний:
- обладает полной информацией о системном и прикладном программном обеспечении информационной системы персональных данных;
- обладает полной информацией о технических средствах и конфигурации информационной системы персональных данных;
- имеет доступ к техническим средствам обработки информации и средствам защиты;
- обладает возможностями внесения изменений в программное обеспечение информационной системы персональных данных на стадии ее разработки, внедрения и сопровождения;
- обладает правами конфигурирования и административной настройки технических средств информационных систем персональных данных.
2. Оператор информационной системы персональных данных - работник Учреждения, осуществляющий обработку персональных данных. Обработка персональных данных включает: возможность просмотра персональных данных, ручной ввод персональных данных в информационную систему персональных данных, формирование справок и отчетов по информации, полученной из информационной системы персональных данных. Оператор информационной системы персональных данных не имеет полномочий для управления подсистемами обработки данных и системы защиты персональных данных.
Оператор информационной системы персональных данных обладает следующим уровнем доступа и знаний:
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству персональных данных;
- располагает конфиденциальными данными, к которым имеет доступ.
7. Основные принципы построения системы комплексной защиты информации
Построение системы обеспечения безопасности персональных данных в информационных системах персональных данных министерства и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- персональная ответственность;
- минимизация полномочий;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- научная обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
1. Законность
Предполагает осуществление защитных мероприятий и разработку системы защиты персональных данных министерства в соответствии с действующим законодательством в области защиты персональных данных и других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции.
Пользователи информационной системы персональных данных министерства должны быть осведомлены о порядке работы с защищаемой информацией и об ответственности за нарушение требований данного порядка.
2. Системность
Системный подход к построению системы защиты персональных данных министерства предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности персональных данных в информационных системах персональных данных министерства.
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки персональных данных, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и несанкционированного доступа к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
3. Комплексность
Комплексное использование методов и средств защиты предполагает согласованное применение разнородных средств для построения целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Защита должна строиться эшелонировано. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.
Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства криптографической защиты, реализованные с использованием технологии VP№. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.
4. Непрерывность защиты персональных данных
Защита персональных данных - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационных систем персональных данных.
Информационные системы персональных данных должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры по недопущению перехода информационных систем персональных данных в незащищенное состояние.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты.
5. Своевременность
Предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите информационной системы персональных данных и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационной системы персональных данных в целом и ее системы защиты информации, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
6. Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационной системы персональных данных и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требованиях по защите, достигнутом отечественном и зарубежном опыте в этой области.
7. Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого работника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей работников строится таким образом, чтобы в случае любого нарушения круг виновников был четко определен или сведен к минимуму.
8. Принцип минимизации полномочий
Означает предоставление пользователям минимально необходимых прав доступа в соответствии с производственной необходимостью, на основе принципа «все, что не разрешено, запрещено».
Доступ к персональным данным должен предоставляться только в тех целях и объемах, которые необходимы работнику для выполнения его должностных обязанностей.
9. Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективе министерства, обеспечивающем деятельность информационных системах персональных данных министерства, для снижения вероятности возникновения негативных действий связанных с человеческим фактором.
В такой обстановке работники должны осознанно соблюдать установленные правила и оказывать содействие лицам, ответственным за защиту информации.
10. Гибкость системы защиты персональных данных
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.
11. Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже разработчикам системы). Однако это не означает, что информация о конкретной системе защиты должна быть общедоступна.
12. Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Должна достигаться автоматизация максимального числа действий операторов и администраторов информационных системах персональных данных.
13. Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности персональных данных и должны соответствовать установленным нормам и требованиям по безопасности персональных данных.
Система защиты персональных данных должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.
14. Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности персональных данных, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Учреждения.
15. Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности персональных данных на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
8. Меры, методы и средства обеспечения требуемого уровня защищенности
Обеспечение требуемого уровня защищенности должно достигаться с использованием мер, методов и средств безопасности. Все меры обеспечения безопасности информационных систем персональных данных подразделяются на:
- законодательные (правовые);
- морально-этические;
- организационные (административные);
- физические;
- технические (аппаратные и программные).
Перечень выбранных мер обеспечения безопасности отражается в Плане мероприятий по обеспечению защиты персональных данных.
1. Законодательные (правовые) меры защиты
К правовым мерам защиты относятся правила обращения с персональными данными, установленные действующими в стране нормативно-правовыми актами, которые, закрепляют права и обязанности участников информационных отношений, а также устанавливают ответственность за нарушения этих правил. Правовая база создает препятствия неправомерному использованию персональных данных и является сдерживающим фактором для потенциальных нарушителей.
Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями системы.
2. Морально-этические меры защиты
К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения вычислительной техники в стране. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально- этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.
Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективе министерства. Морально-этические меры защиты снижают вероятность возникновения негативных действий связанных с человеческим фактором.
3. Организационные (административные) меры защиты
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования информационной системы персональных данных, использование ресурсов информационной системы персональных данных, а также порядок взаимодействия пользователей с информационными системами персональных данных таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать Политику безопасности персональных данных, отражающую подходы к защите персональных данных, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Реализация Политики безопасности персональных данных в информационных системах персональных данных состоит из мер административного уровня и организационных (процедурных) мер защиты персональных данных.
К административному уровню относятся решения руководства, затрагивающие функционирование информационной системы персональных данных в целом. Эти решения закрепляются в Политике безопасности персональных данных. Примером таких решений могут быть:
- назначение Администратора информационной безопасности;
- принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности персональных данных, назначение лиц, ответственных за ее реализацию;
- формулирование целей, постановка задач, определение направлений деятельности в области безопасности персональных данных;
- принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне Учреждения в целом;
- обеспечение нормативной (правовой) базы вопросов безопасности и т.п.
Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности персональных данных, определить какими ресурсами (материальные ресурсы, персонал) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью информационных систем персональных данных.
На организационном уровне определяются процедуры и правила достижения целей и решения задач Политики безопасности персональных данных. Эти правила определяют:
- какова область применения политики безопасности персональных данных;
- каковы роли и обязанности должностных лиц, отвечающих за проведение политики безопасности персональных данных, а так же их ответственность;
- кто имеет права доступа к персональным данным;
- какими мерами и средствами обеспечивается защита персональных данных;
- какими мерами и средствами обеспечивается контроль за соблюдением введенного режима безопасности.
Организационные меры должны:
- предусматривать порядок информационных отношений, исключающих возможность несанкционированных действий в отношении объектов защиты;
- определять коалиционные и иерархические принципы и методы разграничения доступа к персональным данным;
- определять порядок работы с программно-математическими и техническими (аппаратными) средствами защиты и криптозащиты и другими защитными механизмами;
- организовать меры противодействия несанкционированным действиям пользователей на этапах аутентификации, идентификации, обеспечивающие гарантии реализации прав и ответственности субъектов информационных отношений.
Организационные меры должны состоять из:
- регламентации доступа в помещения, где расположены элементы информационных систем персональных данных;
- порядка допуска работников к использованию ресурсов информационных систем персональных данных Учреждения;
- регламентации процессов ведения баз данных и осуществления модификации информационных ресурсов;
- регламентации процессов обслуживания и осуществления модификации аппаратных и программных ресурсов информационных систем персональных данных;
- принятия инструкции Администратора информационной безопасности.
- принятия инструкций пользователей информационных систем персональных данных (Администратора информационной системы персональных данных, Оператора информационной системы персональных данных).
4. Физические меры защиты
Физические меры защиты основаны на применении разного рода механических, электронных или электронно-механических устройств, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления системы охраны, включающую посты охраны, технические средства охраны, которая всеми способами, предотвращает или существенно затрудняет проникновение в здания, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, а также исключает нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.
5. Аппаратно-программные средства защиты персональных данных
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем персональных данных и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
С учетом всех требований и принципов обеспечения безопасности персональных данных в информационных системах персональных данных по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
- средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей информационной системы персональных данных;
- средства разграничения доступа зарегистрированных пользователей системы к ресурсам информационной системы персональных данных;
- средства обеспечения и контроля целостности программных и информационных ресурсов;
- средства оперативного контроля и регистрации событий безопасности;
- криптографические средства защиты персональных данных.
Успешное применение технических средств защиты на основании принципов, изложенных в разделе 5, предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:
- обеспечена физическая целостность всех компонент информационной системы персональных данных;
- каждый работник (пользователь информационной системы персональных данных) или группа пользователей имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
- в информационных системах персональных данных министерства разработка и отладка программных средств осуществляется за пределами информационных систем персональных данных, на испытательных стендах;
- все изменения конфигурации технических и программных средств информационных систем персональных данных производятся в строго установленном порядке (регистрируются и контролируются) только на основании распоряжений руководства министерства;
- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальных помещениях, шкафах, и т.п.);
- специалистами министерства осуществляется непрерывное управление и административная поддержка функционирования средств защиты.
9. Контроль эффективности системы защиты персональных данных
Контроль эффективности системы защиты персональных данных министерства должен осуществляться на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы системы защиты персональных данных (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а также прогнозирование и превентивное реагирование на новые угрозы безопасности персональных данных.
Контроль может проводиться как Администратором информационной безопасности, Администраторами информационных систем персональных данных (оперативный контроль в процессе информационного взаимодействия в информационных системах персональных данных), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК России и ФСБ России в пределах их компетенции.
Контроль может осуществляться Администратором информационной безопасности, Администраторами информационных систем персональных данных как с помощью штатных средств системы защиты персональных данных, так и с помощью специальных программных средств контроля.
Оценка эффективности мер защиты персональных данных проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям безопасности.
10. Сферы ответственности за безопасность персональных данных
Работники министерства, ответственные за обработку персональных данных с использованием средств автоматизации или без использования таких средств назначаются приказом министерства.
Сфера ответственности данных работников включает следующие направления обеспечения безопасности персональных данных:
- планирование и реализация мер по обеспечению безопасности персональных данных;
- анализ угроз безопасности персональных данных;
- внедрение, контроль исполнения и поддержание в актуальном состоянии политик, руководств, концепций, процедур, регламентов, инструкций и других организационных документов по обеспечению безопасности персональных данных;
- обучение и информирование пользователей информационных систем персональных данных о порядке работы с персональными данными и средствами защиты;
- предотвращение, выявление, реагирование и расследование нарушений безопасности персональных данных.
11. Модель нарушителя безопасности
Под нарушителем в министерстве понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб элементам информационных систем персональных данных, подлежащим защите.
Нарушители подразделяются по признаку принадлежности к информационным системам персональных данных. Все нарушители делятся на две группы:
- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационных систем персональных данных;
- внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационных систем персональных данных.
12. Модель угроз безопасности
Для информационных систем персональных данных министерства выделяются следующие основные категории угроз безопасности персональных данных:
- Угрозы от утечки по техническим каналам;
- Угрозы несанкционированного доступа к информации:
● Угрозы непосредственного доступа к элементам\parинформационных систем персональных данных;
● Угрозы уничтожения, хищения технических средств\parинформационных систем персональных данных, носителей информации путем физического доступа к элементам информационных систем персональных данных;
● Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования информационной системы персональных данных и системы защиты персональных данных в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера;
● Угрозы хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);
● Угрозы несанкционированного доступа по каналам связи;
● Угрозы преднамеренных действий внутренних нарушителей.
Описание угроз, вероятность их реализации, опасность и актуальность представлены в Частной модели угроз безопасности персональных данных каждой информационной системы персональных данных.
13. Механизм реализации Концепции
Реализация Концепции должна осуществляться на основе перспективных программ и планов, которые составляются на основании и во исполнение:
- федеральных законов в области обеспечения информационной безопасности и защиты информации;
- постановлений Правительства Российской Федерации;
- руководящих, организационно-распорядительных и методических документов ФСБ России, ФСТЭК России, Роскомнадзора;
- потребностей информационной системы персональных данных в средствах обеспечения безопасности информации.
14. Ожидаемый эффект от реализации Концепции
Реализация Концепции безопасности персональных данных, обрабатываемых в информационных системах персональных данных Учреждения позволит:
- оценить состояние безопасности персональных данных, выявить источники внутренних и внешних угроз безопасности персональных данных, определить приоритетные направления предотвращения, отражения и нейтрализации этих угроз;
- разработать распорядительные и нормативно-методические документы применительно к информационным системам персональных данных;
- провести определение уровня защищенности персональных данных при их обработке в информационных системах персональных данных;
- провести организационно-режимные и технические мероприятия по обеспечению безопасности персональных данных в информационных системах персональных данных;
- обеспечить необходимый уровень безопасности элементов информационных систем персональных данных, подлежащих защите.
Осуществление этих мероприятий обеспечит создание единой, целостной и скоординированной системы защиты персональных данных и создаст условия для ее дальнейшего совершенствования.
15. Список использованных источников
1. Конституция Российской Федерации;
2. Трудовой кодекс Российской Федерации;
3. Семейный кодекс Российской Федерации;
4. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
5. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
6. Постановление Правительства Российской Федерации от 1.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
7. Приказ Федеральной службы по техническому и экспортному контролю от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
8. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008 г.;
10. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14.02.2008.
11. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
(в редакции приказа министерства образования Новосибирской области от 25.07.2018 № 1873)
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 02.08.2018 |
| Рубрики правового классификатора: | 020.010.000 Органы исполнительной власти, 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 130.010.000 Образование (см. также 200.160.040), 130.010.010 Общие положения |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
