Защита персональных данных Реализация системы защиты персональных данных с учетом последних изменений

Защита персональных данных

Реализация системы защиты персональных данных с учетом последних изменений в нормативно-правовой базе

ФЗ «О персональных данных» — Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Обязанности оператора

Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. № 781

2

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее — уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

3

С чего начать?

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

ПОСТАНОВЛЕНИЕ от 17 ноября 2007 г. N 7814

Меры по защиты ПДн

Все мероприятия одинаково значимы, а невыполнение одних сводит на нет результаты реализации других.

Мероприятия по защите ПДн должны сочетать реализацию правовых, организационных и технических мер защитыПравовые

распределение полномочий между субъектами; нормативно-правовой контроль использования ПДн; установление ответственности за нарушения; правовая регламентация порядка сбора, использования,

предоставления и уничтожения ПДн.Организационно-административные

формирование системы управления ПДн; регламентация деятельности персонала по использованию ПДн; регламентация порядка взаимодействия пользователей и

администраторов ИС; контроль над деятельностью персонала.

Технические системы защиты от вредоносных программ и средства защиты от

вторжений; идентификация и аутентификация пользователей; разграничение и контроль доступа к ПДн; обеспечение целостности ПДн; регистрация событий безопасности; защита каналов передачи ПДн.

5

Порядок организации защиты персональных данных в ИСПДн

Назначить ответственного за проведение необходимых мероприятий Изучить нормативную базу При недостатке ресурсов для самостоятельной разработки — найти

специализированную компанию Провести обследование ИС с целью оценки текущего состояния ИБ и

определения необходимых ИД для создания СЗПДн. Провести классификацию ИСПДн (цели, состав, объем, наличие

документов). Разработать организационно-распорядительную документацию, включая

модель угроз безопасности ПДн. Обосновать требования по обеспечению безопасности ПДн и спроектировать

систему защиты ПДн, включая выбор целесообразных способов (мер и средств) защиты ПДн.

Организовать и провести работы по созданию системы защиты персональных данных (СЗПДн), включая разработку документов по организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

Провести обучение ответственных лиц и сотрудников правилам работы с СЗИ (для получения лицензий ФСБ и ФСТЭК

Провести оценку соответствия ИСПДн требованиям. Ввести в строй систему защиты и оформить результаты испытаний. Организовать контроль соблюдения использования СЗИ и обеспечить

управление обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты, включая учет применяемых СЗИ и носителей ПДн и учет лиц, допущенных к работе с ПДн.

Постановление Правительства РФ от 17.11.2007 № 781 6

Классификация системы защиты персональных данных в ИСПДн

Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.


7

Класс системы (требования ФСТЭК + ФСБ)

Требования к средствам защиты

Выбор мер и средств защиты

Порядок классификации системы защиты персональных данных в ИСПДн

Планирование внедрения защитных мер по обеспечению безопасности ПД

Лицензирование деятельности по защите ПД

8

Порядок организации защиты персональных данных в ИСПДн

При недостатке ресурсов для самостоятельной разработки организационных мер — найти специализированную компанию

Выбранный исполнитель должен иметь необходимые лицензии на проведение работ.

Исполнитель должен обеспечить проведение: мини-аудита ИС заказчика предпроектного обследования классификацию ИСПДн обоснования требований и внедряемых технических решений разработку всей необходимой эксплуатационной и организационно-

распорядительной документации. проведение специальных исследований закупаемых технических средств и

оборудования (для ИСПДн К1) внедрение проекта по защите ПДн в ИС заказчика сопровождение ИС, включая периодическое проведение аудита ИСПДн и

доработку документации при изменении состава технических средства и оборудования ИС, защищаемых помещений, либо иных внешних условий, способных повлиять на защищённость информации.

Итогом выполненных исполнителем работ должны быть положительные результаты и материалы опытной эксплуатации и итоговых испытаний.

9

Системы информацииСистемы информации организацииорганизации

Идентификация систем обработки персональных данных

Определение характеристик ПДн

Первичная классификация систем обработки ПДн

Система обработки ПДн Система обработки ПДн с использованием с использованием

средств автоматизациисредств автоматизации

Система обработки ПДн Система обработки ПДн без использования без использования

средств автоматизациисредств автоматизации


10

Система обработки ПДн с использованием средств автоматизации

Определение типа системы обработки ПДн

Типовая ИСПДн(ФСТЭК)

Специальная ИСПДн(ФСТЭК)

Автоматизированная информационная система(ФСБ)


11

«Типовых» ИС практически нет, классы «специальных» не определены. Любая «специальная» ИСПДн обладает признаками «типовой». В соответствии с «Положением о методах и способах защиты информации…» выбор и

реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых угроз безопасности и в зависимости от класса информационной системы:

Для любой «специальной» ИС выбираются соответствующие ее условиям функционирования «типовые» признаки.

Формируется номенклатура требований, в соответствии с выбранными «типовыми» признаками.

Для «специальной» ИС проводится анализ уязвимых звеньев, возможных угроз и формирование модели актуальных угроз.

Анализ необходимости (обоснование) и дополнение номенклатуры требований, на основании сведений из сформированной модели актуальных угроз.

Выбор способов, мер, механизмов защиты в соответствии с дополненной номенклатурой и обоснование их эффективности.

Классификация системы защиты персональных данных в ИСПДн

12

Классификация ИСПДн

Документальное оформление

Специальные требования к системе защиты информации

Требования ФСТЭК и ФСБ к ИСПДн

Типовая ИСПДн (ФСТЭК)


13


Определение актуальных угроз

Документальное оформление

Специальные требования к системе защиты информации

Требования ФСТЭК и ФСБ к ИСПДн

Специальная ИСПДн (ФСТЭК)Специальная ИСПДн (ФСТЭК)


14

Автоматизированная информационная система (ФСБ)

Требования ФСБ к ИСПДн и АИС («К»)

Разработка модели нарушителя АИС

Классификация АИС


15

Система обработки ПДн без использования средств автоматизации

Определение перечня «материальных носителей» для хранения ПДн

Требования законодательства РФ, ФСТЭК и ФСБ(Постановление Правительства РФ № 687)

Определение угроз «материальным носителям» и ПДн

Выработка требований оператора по защите ПДн


16

Категория обрабатываемых в информационной системе персональных данных.

Объем обрабатываемых персональных данных. Заданные оператором характеристики безопасности персональных

данных. Структура информационной системы. Наличие подключений информационной системы к сетям связи

общего пользования. Режим обработки персональных данных. Режим разграничения прав доступа пользователей

информационной системы. Местонахождение технических средств ИС.


17

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;


Построение моделей актуальных угроз и потенциального нарушителя

Итог работы — документ «Модель угроз и нарушителей»

18

Бухгалтерские программы Программы кадрового учета Справочные системы CRM-системы с информацией о действующих и потенциальных

клиентах Системы биллинга ERP-системы, обрабатывающие персональные данные …

Информационные системы, обрабатывающие персональные данные

19

Формирование модели нарушителя

Определение актуальности угроз

Определение уязвимостей и возможных угроз

Анализ текущего состояния

Определение актуальных угроз

Составление перечня информационных систем

Формирование частной модели угроз

Разрабатываемые документы: Частная модель угроз безопасности ПДн, Проект распоряжения о классификации ИСПДн (для специальной ИСПДн) 20

Анализ имеющихся мер и средств защиты ПДн

Оценка ущерба от реализации угроз

Анализ информационных ресурсов

Анализ уязвимых звеньев и возможных угроз безопасности ПДн

Анализ состояния

21

12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;ж) учет лиц, допущенных к работе с персональными данными в информационной системе;


Итог работы — документы «Приказы по компании», «Акты приемки работ»…

Внедрение защитных мер в ИСПДн

22

Проектирование системы защиты

12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;к) описание системы защиты персональных данных.


Итог работы — документы «Техническое задание на СЗПДн», «Описание системы защиты ПДН»

23

Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.


Внедрение защитных мер

Решение основных вопросов обеспечения защиты

Разработка документов

Подготовка персонала

Управление доступом

Управление и учет

Программно-технические меры

Организационные меры

Обеспечение целостности

Антивирусная и криптографическая системы

Защита от утечки по техническим каналам

Защита от утечки по аудио- и видеоканалам

Средства анализа защищенности

Средства обнаружения вторжений24

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных


25

Решение основных вопросов обеспечения защиты ПДн

Решение основных вопросов управления защитой ПДн

Порядок формирования замысла защиты ПДн

Определение основных направлений по защите ПДн

Выбор способов защиты ПДн

Разрабатываемые документы: «Требования к СЗПДн», «Перечень мероприятий по созданию СЗПДн», «Требования к ОРД», «Перечень СрЗИ», «Концепция построения СЗПДн».

26

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;



Итог работы — документы «Акт...», «Приказ о…»

27

Мероприятия по техническому обеспечению безопасности ПДн

Мероприятия по размещению, специальному оборудованию средств обработки ПДн.

Охрана и организация режима допуска в помещение, где ведется работа с ПДн.

Мероприятия по защите ПДн от НСД. Мероприятия по закрытию технических каналов утечки ПДн.

28

Защита от программно-технических воздействий на технические средстваобработки персональных данных1. Антивирусные средства:Dr.Web2. Программное обеспечение,сертифицированноена отсутствие НДВ.

Межсетевые экраныCisco, Z-2,WatchGuard Firebox…

Средства защитыинформации, представленнойв виде информативныхэлектрических сигналов,физических полей:Гном-3, ГШ-1000, ГШ-1000К,ГШ-2500, Октава-РС1,Гром-ЗИ-4БМП-2, МП-3, МП-5, ЛФС-10-1Ф…

Средства защитыносителей информациина бумажной, магнитной,магнитооприческойи иной основе:eToken PRO 64Kи eToken NG-OTP,Secret Disk 4…

Средства защитыречевой информации:Барон, ЛГШ-402(403),SEL SP-21B1 Баррикада,Шорох-2, Соната-АВ,Шторм-105…

Средства защиты информации от несанкционированного доступа:Блокхост-сеть, Аккорд-Рубеж, Аккорд-NT/2000, Secret Net 5.0,Соболь, Dallas Lock 7.0, Лабиринт-М, Страж NT

Используемыев информационной системеинформационные технологии1. Защищенные ОС:Red Hat Enterprise Linux, QNX, МСВС 3.0...2. Системы обнаружения вторженийи компьютерных атак:ФОРПОСТ, Proventia Network…3. Шлюзы безопасности:CSP VPN Gate, CSP RVPN…

Средства защиты информации

Шифровальные(криптографические)средства защитыинформации

Интернет

Подсистемы, требуемые к созданию согласно 152ФЗ

Резервное копирование

Изолирование участков оперативной памяти

Уничтожение остаточных данных

Контроль целостности данных и программ

Смена паролейОграничения на

использование сетевых сервисов, служб, сетевых протоколов, сценариев

Средства блокирования

исследования, модификации и несанкционированного запуска

Средства предупреждения пользователей о выполнении опасных действий

Программные средства администрирования (разграничения полномочий, регистрации и контроля)

Программные средства идентификации и аутентификации

Программные средства резервного копирования

Абонентского шифрования

Пакетного шифрования

Шифрования паролей

Стеганографии

ЭЦПVPN-технологии

Средства контроля целостности

Средства обнаружения вредоносных программ

Средства тестирования

Утилиты для восстановления информации

Средства тестирования сетей и программ

Средства обнаружения атак

Межсетевые экраны

Организационно-технические меры и средства защиты

Технические меры защиты

Программные средства ОС

Дополнительные программные средства

Криптографи-ческие средства

Средства защиты от ПМВ

Другие средства защиты

30


Согласно п. 11 «Положения…» при обработке персональных данных в информационной системе должно быть обеспечено:

Проведение мероприятий, направленных на предотвращение НСД к ПДн.

Недопущение воздействий на технические средства автоматизированной обработки ПДн.

Своевременное обнаружение фактов НСД к ПДн.

Постоянный контроль уровня защищенности ПДн.

Возможность незамедлительного восстановления ПДн.

31

В системах, где АРМ или ЛВС объединены средствами связи, необходимость криптографической защиты возникает при передаче информации в среду, в которой она может оказаться доступной нарушителю (незащищенные от НСД средства хранения информации, каналы связи).

В системах, в которых в соответствии с моделью угроз возможно наличие инсайдера, а безопасность хранения и обработки не может быть гарантированно обеспечена другими средствами,

решение о необходимости защиты ПДн с использованием криптографических средств принимается оператором.

Когда применять криптографию?Когда применять криптографию?

32

При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных с использованием криптосредств оператор должен осуществлять:

установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией на эти средства;

проверку готовности криптосредств к использованию с составлением заключений о возможности их эксплуатации;

обучение лиц, использующих криптосредства, работе с ними; поэкземплярный учет используемых криптосредств,

эксплуатационной и технической документации к ним; учет лиц, допущенных к работе с криптосредствами,

предназначенными для обеспечения безопасности персональных данных в информационной системе (пользователей криптосредств);

контроль над соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним;

разбирательство и составление заключений по фактам нарушения условий хранения и использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;

разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

Порядок применения криптографических Порядок применения криптографических средствсредств

33

п. 5 Постановления Правительства РФ № 781Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

п. 2.1 «Положения о методах и способах защиты информации…» Методами и способами защиты информации от несанкционированного доступа являются:- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.

п. 2.12 «Положения о методах и способах защиты информации…»Программное обеспечение СЗИ, применяемых в ИС 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость контроля отсутствия НДВ программного обеспечения СЗИ, применяемых в ИС 2 и 3 классов, определяется оператором.

п. 6 Постановления Правительства РФ № 330Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора).

О сертификации средств защиты

34

Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора)

К принципам подтверждения соответствия относится "ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера", что подразумевает возможность использования ведомственных документов, описывающих принципы ограничения доступа – и сертификацию в соответствии с ними

О постановлении: Не опубликовано и имеет статус ДСП

Наименование: Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие гостайну…

Область применения. Только государственные информационные ресурсы и персональные данные

О сертификации средств защитыПостановление Правительства РФ № 330

35

1.1. Классификация распространяется на ПО, предназначенное для 1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.защиты информации ограниченного доступа.1.2. Устанавливается четыре уровня контроля отсутствия 1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью характеризуется определенной минимальной совокупностью требований.требований.……1.5 Самый низкий уровень контроля - 1.5 Самый низкий уровень контроля - четвертыйчетвертый,, достаточен для достаточен для ПО, используемого при защите ПО, используемого при защите конфиденциальной конфиденциальной информации.информации.

Классификация по уровню контроля Классификация по уровню контроля отсутствия недекларированных отсутствия недекларированных возможностейвозможностей

36

О сертификации средств криптографической защиты

«Типовые требования … » ФСБ России2.1 …Обеспечение безопасности персональных данных с использованием криптосредств должно осуществляться в соответствии с: Приказом ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации». (Положение ПКЗ-2005)

Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)

12. Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации.

«Методические рекомендации … » ФСБ России3.1, п.7. Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться средства защиты, сертифицированные в системе сертификации ФСБ России…

Оператор по согласованию с ФСТЭК России может приниматьрешение о применении СЗИ в ИСПДн без мероприятийпо оценке отсутствия НДВ.

http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls 37

Методические рекомендации

Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.

Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.

38

Получение необходимых лицензий

Лицензия ФСТЭК на право деятельности по технической защите конфиденциальной информации (Порядок лицензирования деятельности по технической защите информации определяется постановлением Правительства РФ 2006 г. № 504)

Лицензия ФСБ на право деятельности по техническому обслуживанию шифровальных (криптографических) средств

Лицензия на ФСБ право деятельности по предоставлению услуг в области шифрования информации (в случае организации криптографической защиты с удаленными клиентами (абонентами) ИСПДн)

Лицензия ФСБ на право деятельности по распространению шифровальных (криптографических) средств

Лицензирование деятельности, связанной с шифровальными (криптографическими) средствами, осуществляется в соответствии с постановлением Правительства РФ 2007 г. № 957.

39


Статья 16, часть 6 ФЗ-149 «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.: Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Статья 17, часть 1, п.11 ФЗ-128 «О лицензировании отдельных видов деятельности» от 8 августа 2001 г.: В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации.

Постановление Правительства РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» от 15 августа 2006 г. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

40


41

Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и распределенных системах 3 классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.


Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации» (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии: а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации; б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании; в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию; г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации; д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем; е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

42


Порядок получения лицензии Подготовка пакета документов. Подготовка выделенного помещения и АРМ. Выполнение аттестации помещения и АС. Подготовка и направление уведомления во ФСТЭК.

43

Мероприятия, требующие лицензии ФСТЭК России

Проверка готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.

Установка и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией.

44

Установка (монтаж) необходимых технических и программных средств:

средств защиты от НСД; средств специальной защиты от утечек за счёт ПЭМИН (для

ИСПДн К1). Проведение специальных исследований (для ИСПДн К1). Инструментальная оценка эффективности технических средств

защиты (ПЭМИН) (для ИСПДн К1). Проведение опытной эксплуатации и итоговых испытаний.

Ввод в действие системы защиты ИСПДн

Необходимые документы: «Программа и методика стендовых испытаний», «Протоколы и заключение по результатам стендовых испытаний», «Основная эксплуатационная документация».

45

Контроль работы системы защиты

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:з) контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;


46


Согласно специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К) контроль состояния (эффективности) защиты информации должен проводиться периодически (не реже одного раза в год), а также в случаях изменения условий и технологии обработки защищаемой информации.

47


Периодический контроль эффективности защиты информации предусматривает:

проверку состава и размещения основных технических средств и систем (ОТСС) на объектах информатизации в соответствии с техническим паспортом на данный объект информатизации;

проверку состава и размещения вспомогательных технических средств и систем (ВТСС) на объектах информатизации в соответствии с техническим паспортом на данный объект информатизации;

проверку наличия средств защиты информации на объекте информатизации и их работоспособности;

проверку уровня знаний и соблюдения требований нормативно-методических и руководящих документов ФСТЭК России;

проверку соблюдения инструкций, порядка ведения журналов учета; оценку эффективности выполняемых мероприятий по защите

информации на объекте информатизации.

48

Анализ защищенности, обнаружение вторжений

Внедрение защитных мер

АудитМониторинг

49

Информационная система, оснащенная необходимыми средствами защиты и соответствующая требованиям законодательства.

Модель актуальных угроз и модель нарушителя, соответствующие условиям функционирования информационной системы.

Требуемая организационно-распорядительная и эксплуатационная документация.

Описание концепции создания системы защиты ПДн.

Результат работ по созданию системы защиты

Итог работ: аттестат соответствия

50

Оценка соответствия (аттестация) ИСПДн по требованиям безопасности. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект информатизации соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации, утвержденных ФСТЭК России.Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем конфиденциальности на период времени, установленный в "Аттестате соответствия".Преимущества аттестации:

Делегирование рисков несоответствия действующему законодательства органу по аттестации, выдавшему аттестат соответствия.

Упрощение процедуры проверки со стороны регуляторов.

Аттестация ИСПДн

Необходимые документы: «Требования к проведению оценки соответствия (аттестации)», «Порядок подготовки к проведению аттестации», «Положение по аттестации объектов информатизации по требованиям безопасности информации», «Исходные данные по аттестуемому объекту информатизации» 51

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации в связи с необходимостью подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.Обязательной аттестации подлежат объекты информатизации, предназначенные для:

обработки информации, составляющей государственную тайну;обработки конфиденциальной информации, в том числе персональных данных;

управления критически важными объектами; ведения переговоров по вопросам, содержащим сведения, составляющие государственную тайну или

служебную информацию ограниченного распространения.

Аттестации также подлежат объекты информатизации, наличие которых у Заказчика обусловлено требованиями Постановлений Правительства Российской Федерации от 15.08.2006 г № 504, от 31.08.2006г. №532, от 29.12.2007 г № 957.

Аттестация ИСПДн

52

Обязательно: для ИСПДн 1 и 2 класса и специальных ИСПДн –сертификация (аттестация)

По решению оператора: для ИСПДн 3 класса – декларирование соответствия или сертификация (аттестация)

По решению оператора: для ИСПДн 4 класса – оценка соответствия

При изменении состава или структуры ИСПДн, технических особенностей ее построения, изменении состава угроз безопасности ПДн в ИСПДн, класса ИСПДн последовательность мероприятий повторяется.

Оценка защиты

53

Должны быть регламентированы все организационные меры обеспечения безопасности и вопросы применения средств защиты при эксплуатации ИСПДн. В связи с этим должна быть разработана организационно-распорядительная документация, включая:

должностные инструкции персоналу ИСПДн по вопросам обеспечения безопасности ПДн;

документы разрешительной системы допуска пользователей к обрабатываемой в ИСПДн информации;

документы организации учета лиц, допущенных к работе с ПДн;

…

Разработка пакета документов

54

Уведомление об обработке ПДн. Положение о порядке обработки ПДн. Положение о подразделении, осуществляющем функции по организации

защиты ПДн. Приказ о назначении ответственных лиц по работе с ПДн. Должностные регламенты лиц, осуществляющих обработку ПДн. Типовые формы документов, содержащих ПДн. Договоры с субъектами ПДн, лицензии на виды деятельности, в рамках

которых осуществляется обработка персональных данных. Приказы об утверждении мест хранения материальных носителей ПДн. Письменное согласие субъектов персональных данных на обработку их

персональных данных (типовая форма). Справки о постановке на балансовый учет ПЭВМ, на которых

осуществляется обработка ПДн. Журналы (реестры, книги) содержащие ПДн, необходимые для

однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях.

Заключения экспертизы (сертификаты) ФСБ России, ФСТЭК России на СЗИ.

Приказ о создании комиссии и акты проведения классификации ИСПДн. Акты об уничтожении ПДн субъекта(ов) (в случае достижения цели

обработки). Планы мероприятий по защите ПДн и внутренних проверок состояния защиты

ПДн.

Документация системы защиты (СЗПДн)Документация системы защиты (СЗПДн)

55


Журналы (книги) учета обращений граждан (субъектов ПДн). Журнал учета проверок (Приказ Минэкономразвития России №141 от

30.4.2009). Положение по организации и проведению работ по обеспечению

безопасности ПДн при их обработке в ИСПДн. Модель угроз безопасности персональных данных. Акт классификации ИСПДн. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Описание системы защиты персональных данных. Перечень применяемых средств защиты информации. Заключение о возможности эксплуатации средств защиты информации

(разрабатывается по результатам проверки готовности к использованию СЗИ, аналог приемо-сдаточной документация на СЗИ).

Правила пользования средствами защиты информации, предназначенными для обеспечения безопасности персональных данных.

Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

Список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей (утверждается оператором или уполномоченным лицом).

Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.

56

Для специальных ИС «Базовая модель угроз безопасности ПД при их обработке

в ИС ПД» «Методика определения угроз безопасности ПД при их

обработке в ИС ПД»

Для типовых ИС, согласно классу (К1-К4) Об утверждении Положения о методах и способах защиты

информации в информационных системах персональных данных»

Приказ ФСТЭК России от 5 февраля 2010 г. № 58Приказ ФСТЭК России от 5 февраля 2010 г. № 58


57

Цели и содержание обработки персональных данных

Перечень сведений конфиденциального характера Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К)

Приказ об утверждении сведений конфиденциального характера

Документация системы защиты (СЗПДн)

58

Приказ о назначении структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн

Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) (Приказ Гостехкомиссии от 30 августа 2002 г. № 282)


59

Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке ПДн

ст. 22 Федерального закона «О персональных данных» № 152-ФЗ


60

Акт классификации ИСПДнПостановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»


61


62

Модель угроз безопасности ПДн при их обработке в ИСПДн Рекомендации по обеспечению безопасности ПД при их

обработке в ИСПДн. Основные мероприятия по организации и техническому

обеспечению безопасности ПД, обрабатываемых в ИСПДн. Базовая модель угроз безопасности ПД при их обработке в

ИСПДн. Методика определения актуальных угроз безопасности ПД при их

обработке в ИСПДн.


63


64

Об установлении границ контролируемой зоныНормативно-методический документ ФСТЭК России «Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн»

Технический паспорт ИСПДнСпециальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) (Приказ Гостехкомиссии от 30 августа 2002 г. № 282)

Электронный журнал регистрации обращений пользователей ИСПДн на получение ПДн

Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»


65

Регламент разграничения прав доступаСпециальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К) (Приказ Гостехкомиссии от 30 августа 2002 г. № 282)

Приказ о назначении администратора безопасности ИСПДн

Руководство администратора ИСПДнРекомендации по обеспечению безопасности ПД при их обработке в ИСПДн


66

Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей.Руководство пользователя ИСПДн.



67

Перечень применяемых средств защиты информации (СЗИ)Перечень эксплуатационной и технической документации применяемых СЗИ Заключение о готовности СЗИ к эксплуатации



68

Документы, регламентирующие обработку персональных данных в учреждении:

Положение о защите персональных данных в компании. Положение по организации и проведению работ по

обеспечению безопасности ПДн при их обработке в ИСПДн. Требования по обеспечению безопасности ПДн при обработке

в ИСПДн. Должностные инструкции персоналу ИСПДн в части

обеспечения безопасности ПДн при их обработке в ИСПДн. Рекомендации по использованию программных и аппаратных

средств защиты. Положение по организации контроля эффективности защиты

информации в компании.


69

Защита помещений и носителей ПДн

Положение об организации режима безопасности помещений, где осуществляется работа с ПДн:

Положение о порядке хранения и уничтожения носителей ПДн.

Перечень носителей ПДн. Журнал учета носителей ПДн.


70


71

Искусственное занижение класса информационной системы, обусловленное недостаточностью финансирования.

Бездействие, основанное на двусмысленности некоторых положений «регулирующих» нормативно-правовых актов и методических документов.

«Если мы не подадим уведомление, нас не проверят».

«Нам не нужна лицензия на право осуществления деятельности по технической защите информации».

Типичные ошибки и связанные с ними риски

72

Максимальное использование возможностей уже имеющихся в ИС средств защиты информации, возможностей ОС и прикладного ПО.

Принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены.

Сокращение количества АРМ, обрабатывающих ПДн, разделение функций пользователей, минимизирование одновременной обработки ПДн из разных систем.

Обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т. п.).

Разделение ИС межсетевыми экранами на отдельные сегменты (ИСПДн), классификация каждого сегмента и снижения требований к ним.

Организация терминального доступа к ИСПДн. Исключение из ИСПДн части ПДн, хранение их на бумажных или иных

носителях.

Как удешевить систему защиты?

73

Обезличивание ПДн - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту

ст.3 ФЗ-152 «О персональных данных», NIST SP800-122, Стандарт ISO 25237-2008

Абстрагирование ПДн – сделать их менее точными - например, путем группирования общих или непрерывных характеристик

Скрытие ПДн – удалить всю или часть записи ПДн - ПДн не должны быть избыточными по отношению к цели

Внесение шума в ПДн – добавить небольшое количество посторонней информации в ПДн

Замена ПДн – переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи

Разделение ПДн на части – использование таблиц перекрестных ссылок Например, две таблицы – одна с ФИО и идентификатором субъекта ПДн,

вторая – с тем же идентификатором субъекта ПДн и остальной частью ПДн

Использование специальных алгоритмов - например, маскирование ПДн или подмена отдельных символов другими. Идеальным вариантом является использование алгоритмов криптографического хэширования

Псевдонимизация – удаление ассоциации с субъектом ПДн и добавляет ассоциацию между набором особенностей, касающихся субъекта ПДн и одним или более псевдонимами

Как удешевить систему защиты?

74

Программно-технические меры

При рассмотрении информационной системы на начальном уровне детализации она может быть рассмотрена как совокупность информационных сервисов. Классификация мер безопасности (совокупности информационных систем и технологий направленных на обеспечение задач по защите информации) на основе сервисов безопасности и их места в общей архитектуре ИС:

Превентивные Меры обнаружения нарушений Локализующие зону воздействия Меры по выявлению нарушений Меры восстановления режима безопасности

75

Как удешевить систему защиты

Выделение отдельного сегмента сети для обработки ПД

Сегмент, не обрабатывающий ПДСегмент для обработкиперсональных данных

76


Сокращение списка обрабатываемых данных

Обезличивание персональных данных

Сервер, обрабатывающийперсональные данные

Сегмент для обработкиобезличенных персональных данных

77

БД персональных данных БД обезличенных данныхСинхронизация


Сокращение списка обрабатываемых данных

Обезличивание персональных данных

Сервер, обрабатывающийперсональные данные

Сегмент для обработкиобезличенных персональных данных

78

БД персональных данных БД обезличенных данныхСинхронизация

БД ограниченное количествозаписей и данных


Использование для доступа терминальных решений

,

Сегмент пользователей,работающих с ПДн

Терминальный сервер

Сегмент терминального доступа к персональным данным

Межсетевойэкран

Принтер для вывода ПДн

Файловый сервер для обмена ПДн внутри сегмента

79

БД

Код ФИО Адрес …

… … … …

Результаты анализов

Код Показатель 1 Показатель n …

… … … …

Результаты обследований

Код Диагноз Заключение …

… … … …

Паспортные (персональные) данные

Медицинские данные

Обезличивание. Стандартный вид хранения данных

80

БД1 Код ФИО Адрес …

… … … …

Результаты анализов

Хеш кода Показатель 1 … Показатель n …

… … … …

Результаты обследований

Хеш кода Диагноз Заключение …

… … … …

Паспортные (персональные) данные

Медицинские обезличенные данные

БД2

Обезличивание. Разделение данных

81

Для построения системы защиты необходимо учитывать и другие стандарты, так как не существует ИС, предназначенных только для обработки ПДн.

Необходимость реализации единого и комплексного подхода к защите ИС

Для реальных ИС используются требования РД ФСТЭК России по классу 1Г, СТР-К, ГОСТ Р 52448-2005 (для операторов связи), требования по защите ПДн.

82

ФЗ «О персональных данных». Статья 22. Уведомление об обработке персональных данных1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Уведомление об обработке персональных данных

83

ФЗ «О персональных данных»Уведомление об обработке ПД

Уведомление должно содержать: наименование и адрес оператора, сведения об удостоверяющем

документе; цель обработки персональных данных; категории персональных данных и субъектов; правовое основание обработки; перечень действий с ПДн, общее описание используемых

способов обработки; описание мер по обеспечению безопасности; дата начала обработки персональных данных; срок и условия прекращения обработки.

В случае предоставления неполных или недостоверных сведений уполномоченный орган вправе требовать от оператора уточнения предоставленных сведений.

В случае изменения сведений оператор обязан уведомить об изменениях уполномоченный орган в течение десяти рабочих дней. 84

Защита от НСД, включая обеспечение целостности и управление доступом.

Использование сертифицированных средств, в том числе ОС. Антивирусная защита и межсетевое экранирование. Защита от информационных атак. Защита от утечек по техническим каналам (только К1 и K2). Защита от утечек аудио- и видеоинформации (только К1). Криптографическая защита ПДн в процессе их хранения и

передачи по сети (только К1). Средства контроля и анализа защищенности. Средства резервирования.

Положение о методах и способах защиты информации в ИСПДн Методы и способы технической защиты

Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы…(п. 1.4 Приказа ФСТЭК № 58 )

85

Методы и способы технической защитыТребования по антивирусной защите

Согласно закону требуется обеспечить:

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам;

предотвращение внедрения в информационные системы вредоносных программ;

использование средств антивирусной защиты при взаимодействии с сетью Интернет;

централизованное управление системой защиты персональных данных информационной системы.

86

Контроль доступа

Ограничение доступа к ресурсам

87

Разграничение доступа и фильтрация сетевого трафика

Межсетевой экран (firewall) позволяет предотвратить несанкционированный доступ к информационным системам компании из открытых сетей и Интернета, а также разграничить доступ к различным локальным сетям компании. В первом случае он ставится на стыке локальной сети и Интернета, во втором - между различными участками внутренней сети компании.Межсетевой экран (firewall) обеспечивает:

Контроль сетевой активности необходим в различных случаях: учет корпоративного подключения к Интернету настройка сетей и их сегментов при оптимизации внутрисетевого трафика для обеспечения информационной безопасности компьютерной сети

организации.

В межсетевом экране может быть реализована: фильтрация сетевых пакетов средства идентификации и аутентификации пользователей средства оповещения и сигнализации о выявленных нарушениях ...

88

Защита систем электронной почты

Предотвращение проникновения в корпоративную сеть вирусов Защита от несанкционированного использования почты для

личных целей. Защита от пересылка конфиденциальной или иной информации

пользователями, которые не имеют на это права Защита от спама и нежелательной корреспонденции.

89

Системы мониторинга почтовых сообщений - контроля за содержанием почтовых сообщений. Мониторингу подвергается внутренняя и внешняя корреспонденция, как входящая, так и исходящая. Во время проверки производится анализ сообщений, заголовков, вложений. Во время контроля производится анализ текста на наличие определенных последовательностей слов. Завершением проверки является выполнение определенных действий - отправка почты получателю, задержка отправки для обеспечения возможности дополнительного контроля сообщений администратором системы или иными системами безопасности, отказ от отправки или получения определенных сообщений.

Системы архивирования почтовых сообщений. В процессе архивирования для каждого сообщения заводится специальная учетная карточка, в которую заносятся его основные данные и описание структуры сообщения. При экспорте из почтового архива набор писем выполняется запроса к архиву. Отобранные письма помещаются в файл в формате стандартного почтового ящика, пригодный для работы любого почтового клиента

Использование криптозащиты в системах электронной почты позволяет обеспечивать использование электронно-цифровой подписи.

Защита систем электронной почты

90

Централизованная антивирусная защита рабочих станций (Windows/Linux/Mac); серверов (Windows/Unix/Mac); каналов передачи данных (почта, шлюз сети Интернет)

для почтовых серверов.

Методы и способы технической защитыСредства антивирусной защиты

91

Возможность использования в сетях, имеющих высший уровень защиты благодаря наличию сертификатов ФСБ, ФСТЭК и МО РФ

Методы и способы технической защитыСредства антивирусной защиты

92

Антивирусная защита, соответствующая требованиям закона о персональных данных, должна включать защиту всех узлов локальной сети:

рабочих станций; файловых и терминальных серверов; шлюзов сети Интернет; почтовых серверов.

Использование демилитаризованной зоны и средств проверки почтового трафика на уровне SMTP-шлюза повышает уровень защиты.

Вирусы

Шлюз сети интернет

Межсетевой экран

SMTP-шлюз

Методы и способы технической защитыСпособы организации антивирусной защиты

Интернет

93

Защита трафика

94

Методы и способы технической защиты Криптографическая защита

Прозрачное шифрование любого необходимого раздела – в том числе системного.

Шифрование съемных носителей. Поддержка работы в различных операционных системах. Многопользовательская работа.

Для применения в сетях 1-го уровня — наличие сертификатов ФСТЭК и заключения ФСБ.

95

Криптошлюз 1

ЛВС 1

Криптошлюз 2

ЛВС 2

Методы и способы технической защиты Использование закрытых каналов связи

Интернет

96

Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:

определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера;

ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля над соблюдением такого порядка;

учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;

регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

применение мер технической защиты информации.

Меры по охране конфиденциальности персональных данных понимаются разумно достаточными, когда:

исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;

обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.

Методы и способы технической защиты Защита от НСД

97

Для выполнения идентификации могут использоваться PIN-код - произвольный набор цифр. Сотрудник, перед тем как пройти

мимо пункта контроля или открыть электронный замок двери, должен ввести присвоенный ему PIN-код.

карточные системы основанные на использовании: штрих-код; магнитная карта; смарт-карта.

Для реализации такого варианта защиты каждому зарегистрированному пользователю необходимо напечатать специальную карточку.

На персональной карточке возможно размещение фотографии владельца, что позволяет использовать карточки в качестве обычных пропусков

Биометрические данные. Считывание данных при помощи устройства, подключаемого к обычному персональному компьютеру с помощью некоторого интерфейса (RS232, USB) и/или и автономных приборов -они должны периодически подключаться к ПК, чтобы обменяться данными с центральной базой данных : Отпечатки пальцев Сетчатка и роговица глаза Геометрия руки и лица Голос и распознавание речи Подпись и работа с клавиатурой

Методы и способы технической защиты Защита от НСД. Аутентификация, авторизация и управление доступом

98

Методы и способы технической защиты Системы обнаружения сетевых атак

Выявление сетевых атак, направленных на нарушение информационной безопасности автоматизированных систем.

Мониторинг сетевого трафика, включающий анализ информационных потоков, используемых сетевых протоколов и т. д.

Выявление аномалий сетевого трафика автоматизированных систем. Выявление распределенных атак типа «отказ в обслуживании» (DDoS). Оповещение администратора безопасности о выявленных информационных

атаках.

Для ИСПДн классов К3 и К4 должны использоваться системы обнаружения сетевых атак, использующие сигнатурные методы анализа.Для ИСПДн классов К2 и К1 должны также использоваться методы выявления аномалий.

Для ИСПДн классов К3 и К4 должны использоваться межсетевые экраны 5го уровня защищенности МЭ.Для ИСПДн класса К2 должны использоваться межсетевые экраны 4го уровня защищенности МЭ.Для ИСПДн класса К1 должны использоваться межсетевые экраны 3го уровня защищенности МЭ.

99

Имитация информационных атак с целью проверки устойчивости системы к воздействиям злоумышленников.

Анализ конфигурационных файлов на предмет выявления ошибок.

Методы и способы технической защиты Анализ уязвимостей

100

Методы и способы технической защиты

Обработка ПД производится на АРМ без подключением к сетям общего пользования

Идентификация пользователя при входе в ОС (пароль условно-постоянного действия, длиной не менее шести символов), аутентификационная информация субъектов доступа должна быть защищена от НСД нарушителя (биометрическое средство контроля способа, электронный замок).

Средство защиты от программно-математических воздействий (установка антивируса Dr.Web на всех узлах сети).

При наличии многопользовательского доступа – средство криптографической защиты, средства разделения доступа.

101


Обработка ПД производится на АРМ с подключением к сетям общего пользования



Персональный межсетевой экран не ниже 3-го уровня защищенности (ViPNet, CSP STerra).

При наличии многопользовательского доступа – средство криптографической защиты, средства разделения доступа (Крипто Про).

102


Обработка ПД производится в ЛВС без подключения к сетям общего пользования



Средство защиты от НСД и контроля целостности среды (СЗИ Secret Net 5.0.).

При наличии многопользовательского доступа – средство криптографической защиты, средства разделения доступа (Крипто Про).

103

Методы и способы уничтожения данных

Уничтоже́ние персона́льных да́нных— действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных

104


«9. При несовместимости целей обработки персональных данных:…при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.»

Постановлении Правительства №687

105


Классификация шредеров согласно стандарту DIN 32757-1 1 степень секретности шредера - для информации общего

назначения (ширина фрагментов больше 7.8 мм и площадь поверхности больше 2000 кв. мм.)

2 степень секретности шредера - для информации служебного назначения (ширина фрагментов менее 6.0 мм и площадь поверхности менее 800 кв. мм.)

3 степень секретности шредера - для конфиденциальной информации (ширина фрагментов менее 2.0 мм и площадь поверхности до 594 м2 или ширина менее 4.0 мм, длина менее 80.0 мм и площадь поверхности до 320 кв. мм.)

4 степень секретности шредера - для секретной информации (ширина фрагментов менее 2.0 мм, длина менее 15.0 мм и площадь поверхности до 30 кв. мм.)

5 степень секретности шредера - для совершено-секретной информации (ширина фрагментов менее 0.8 мм, длина менее 13.0 мм и площадь поверхности до 10 кв. мм.)

6 степень секретности - для уничтожения документов особой важности на фрагменты 0,8х6 мм.

106

Процедура уничтожения документов

Создание экспертной комиссии, в состав которых входят сотрудники структурных подразделений под председательством одного из руководящих работников организации, а также представители архивного учреждения. Экспертные комиссии определяют порядок отбора документов на хранение и уничтожение, организуют экспертизу ценности документов и осуществляют контроль за ее проведением, уделяя основное внимание документам, подлежащим уничтожению.

Документы, отобранные экспертной комиссией на хранение, описываются. После утверждения описей руководителем разрешается уничтожение документов.

Экспертная комиссия должна зафиксировать факт уничтожения всех документов и составить акт об их физическом уничтожении, утверждаемый руководителем организации.

Если по каким-либо причинам документы были утрачены – пропали или погибли до истечения срока хранения, то руководителю организации следует принять необходимые меры по их восстановлению

Без согласования с органами Росархива происходит уничтожение документов, которые не должны сдаваться в архив и практическая надобность в которых отпала, а сроки хранения документов истекли. Однако если имеется указание органа исполнительной власти о согласовании уничтожения документов с вышестоящей организацией, то акты на документы, подлежащие уничтожению, направляются для рассмотрения в эту организацию.

Отобранные к уничтожению документы должны быть утилизированы. Вторичное использование этих документов запрещено. Сдача документов оформляется приемо-сдаточными накладными. 107

Пример построения системы защиты. Здравоохранение

108

Основы законодательстваОсновы законодательства Российской Федерации об охране здоровья граждан, №5487-1 от 22.07.1993 г. (ред. от 28.09.2010 г.) [в процессе обновления ]Об обязательном медицинском страховании в Российской Федерации, №326-ФЗ от 29.11.2010 г. + №313-ФЗ от 29.11.2010 г. !!!Об обращении лекарственных средств, №61-ФЗ от 02.04.2010 г.О санитарно-эпидемиологическом благополучии населения, №52-ФЗ от 30.03.1999 г. (ред. ... от 01.12.07 г. №309-ФЗ) [ АИС, ФИФ СГМ ]Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования, №27-ФЗ от 01.01.1996 г.О государственной социальной помощи,№178-ФЗ от 17.07.1999 г.( в ред. от25.12.2009 г., *№122-ФЗ от 22.08.2004 г.)Об обязательном социальном страховании от несчастных случаев напроизводстве и профессиональных заболеваний, №125-ФЗ от 24.07.1998 г.О донорстве крови и ее компонентов, №142-1 от 09.06.1993 г.О трансплантации органов и(или) тканей человека, № 4180-1 от 22.12.1992 г.О психиатрической помощи и гарантиях прав граждан при ее оказании,N 3185-1 от 02.07.1992 г.Об основах обязательного социального страхования, №165-ФЗ от 16.07.1999 г.


109

В частности:в соответствии с постановлением Правительства РФ № 687 от 15.09.2008 персональные данные, обрабатываемые на бумажных носителях, должны обособляться от иной информации — путём их представления на отдельных листах, в специальных разделах или в полях форм (бланков) документов (п. 4 этого постановления). Кроме того, в типовых формах документов должно быть предусмотрено поле, в котором субъект ПД может поставить отметку о своем согласии на обработку его ПД (подпункт “б” пункта 7)


110

Основы законодательстваМетодические рекомендации по организации защиты информации приобработке персональных данных в учреждениях здравоохранения,социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК)Методические рекомендации по составлению частной модели угрозбезопасности персональных данных при их обработке в информационных системах персональных данных учреждений и организаций здравоохранения, социальной сферы, труда и занятости (23.12.2009 г., согласованы с ФСТЭК)Модель угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения (согласована с ФСТЭК, письмо от 27.11.09 г. № 240/2/4009) -> К1 но требования по безопасности как к ИС класса К3Письмо Минздравсоцразвития РФ № 328-29 от 05.03.2010 г.Письмо ФСТЭК, исх. № 240/2/2520 от 18.06.2010 г. (наличие лицензии на ТЗКИ)Письмо ФСТЭК (ЦФО), исх. № 957 от 24.06.2010 г. (аттестация ОИ по ТБИ) Об организации работ по технической защите информации (письмо Федерального фонда ОМС от 22.04.2008 г. № 2170/90-и)Регламент выполнения мероприятий по организации защиты персональных данных в учреждениях здравоохранения города Москвы (письмо ДЗМ от 22.03.2010 г. № 2-11-3993)Письма МГФОМС в СМО от 23.10.2009 г. № 16736, от 15.04.2010 г. №4455Об организации защиты персональных данных в учреждениях Московской области (письмо МЗ МосОбл. и МОФОМС от 21.07.2009 г. № 10-43/477/5831)


111

ИС организаций здравоохранения относятся к следующим классам: 1Г (максимальный гриф обрабатываемой информации

“конфиденциально”) — согласно требованиям Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации;

класс К1 согласно методике ФСТЭК

Согласно Модели угроз типовой медицинской информационной системы типового лечебно-профилактического учреждения медицинские учреждения при классе защиты К1 выполняют требования по безопасности ИС класса К3 если выполняются следующие условия:

Сеть не имеет подключения к сетям общего пользования Все технические средства находятся внутри контролируемой

территории Все значимые решения принимаются на основе бумажных документов


112

Возможности по снижению стоимости защиты: Обеспечить изоляцию внутренней сети от сети интернет, что снимает

большинство рисков и позволяет выполнить часть условий, требуемых для перехода к защите по требованиям К1

Разделить сеть на сегменты, обслуживающие персональные данные клиентов и сотрудников, что позволяет разработать отдельные модели угроз и защитить второй сегмент по требованиям К3

Провести обезличивание и сосредоточить все сервера и компьютеры, обрабатывающие персональные данные на защищаемой территории (что в частности позволяет отказаться от применения криптосредств)

…


113

Процедура выполнения требований закона Анализ и обследование ИС, определение состава ИСПДн по следубщм

категориям: категории субъектов ПДн, цель обработки, оператор, обрабатывающий конкретные данные, состав и категория ПДн

Разработка модели угроз (определение каналов утечки информации и модели нарушителя, оценка актуальности угроз)

Оформить акт об отнесении ИСПДн к классу К1 специальная Зарегистрироваться в качестве оператора ПДн Организовать получение, учет и хранение письменного согласия

субъекта (пациента) на обработку его ПДн (ст. 6,9,10 Закона) Обеспечить: а) ознакомление пациентов с их ПДн; б) информирование

о способах и сроках обработки их ПДн, лицах, имеющих к ним доступ (ст.14) ~ по запросу; в) уведомление об обработке их ПДн, полученных от третьих лиц (ст.18) -> ответ пациенту в течение 10 рабочих дней

Уничтожить ПДн в случае отзыва согласия субъектом (ст. 21) Определить меры, способы и состав средств защиты Организовать и поддерживать систему обеспечения безопасности

обработки конфиденциальной информации с использованием СЗИ Создать регламенты обработки конфиденциальной информации,

назначить ответственных за ОБИ, провести обучение персонала. Подтвердить все приказами

Получить лицензию на техническую защиту информации (письмо ФСТЭК №240.2.2520) и при необходимости лицензию ФСБ

Аттестовать объект информатизации по требованиям безопасности информации (письмо ФСТЭК №957)


114

Меры по приведению ИС в соответствии требованиям закона включают: Анализ информационных ресурсов - определение состава, содержания

и местонахождения защищаемых ПДн. Проведение инвентаризации, идентификации и учета ИР, назначение ответственных

Категорирование данных с выделением персональной, конфиденциальной и открытой информации

Анализ уязвимых элементов и возможных угроз безопасности ПДн Выявление возможных каналов утечки информации, в том числе

технических Анализ возможностей программно-математического, электромагнитного

либо иного воздействия на ПДн Оценка возможного ущерба от реализации угроз безопасности ПДн -

причинения вреда субъекту ПДн или причинения вреда обществу или государству

Оценка выполнения требований по обеспечению безопасности ПДн и анализ имеющихся мер и средств защиты ПДн от физического доступа, от утечки по техническим каналам, от несанкционированного доступа, от программно-математических воздействий, от электромагнитных воздействий

Определение основных направлений по защите данных - по подразделениям, по уязвимым элементам, по направлениям защиты, по категориям ПДн


115

Меры по приведению ИС в соответствии требованиям закона включают: Выбор способов защиты данных - по направлениям защиты, по

актуальным угрозам, по возможности реализации с учётом затрат внедрение системы защиты, включая организацию охраны,

организацию служебной связи и сигнализации, организацию взаимодействия, разграничение уровней доступа к ресурсам ИС

использование: интеграция ИС разного класса Авторизации и регистрации доступа (включая двухфакторную

идентификацию, пароли, карточки, e-Token, биометрические средства), контролю и учету действий с данными (включая контроль копирования, печати, обмена данными по каналам связи) с регистрацией событий в электронных. журналах

резервирования программного и аппаратного обеспечения управления системой безопасности, межсетевых экранов, антивирусных средств, ЭЦП и шифрования учет внешних носителей данных путем их маркировки

введение мер по мониторингу безопасности


116

В соответствии со статьями 6, 9 и 10 закона О персональных данных (далее - Закона) обработка персональных данных может осуществляться только с письменного согласия субъекта персональных данных (пациента). Применительно к медицинским учреждениям:

В позиции формы уведомления Цель обработки следует указать медицинский учет В позиции Категории персональных данных - паспортные данные (Ф.И.О., пол и дата

рождения, адрес места жительства), данные о состоянии здоровья. В позиции Категории субъектов персональных данных надо указать пациенты - граждане РФ,

иностранные граждане, лица без гражданства. В позиции Правовое основание обработки ... - указать Основы законодательства Российской

Федерации об охране здоровья граждан, пункты 3, 4 части 2 статьи 10 закона О персональных данных, а также реквизиты лицензии на медицинскую деятельность - как это указано в Рекомендациях

В позиции Перечень действий с персональными данными ... надо указать смешанная обработка - ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети. Если в медицинском учреждении формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС и т.п.), то необходимо указать, каким образом они передаются - на машинных носителях, по защищенным каналам связи и т.п. В этом случае в позиции Правовое основание обработки ... в дополнение к перечисленным выше документам следует также указать реквизиты нормативных распорядительных документов (постановлений, приказов и т.п.), на основании которых эти данные передаются.

В позиции Описание мер ... по обеспечению безопасности информации ... надо указать разграничение и контроль доступа сотрудников к данным, использование встроенных средств защиты информации, внутренняя сеть без доступа в сети общего пользования и т.п.. При использовании сертифицированных средств защиты информации следует перечислить их официальные названия, как они указаны в сертификатах. При наличии аттестата соответствия ИС требованиям по безопасности информации, следует указать реквизиты этого документа.

Если медицинское учреждение имеет несколько территориально удаленных между собой площадок, на которых осуществляется обработка персональных данных пациентов, то указываются их адреса, телефоны и реквизиты - в соответствии с Рекомендациями. При этом предполагается, что сведения о составе, характере обработки и мерах по защите персональных данных, указанные в перечисленных выше позициях формы уведомления, относятся ко всем площадкам.


117

Письменное согласие субъекта не требуется: Для медучреждений, фондов ФМС и страховых медорганизаций для целей

обработки и передачи ПДн, в том числе получения их от третьих лиц (закон 326-ФЗ)

При оказании медпомощи, при обработке в медицинских информационных системах, осуществлении госконтроля качества услуг (проект Основы законодательства Российской Федерации об охране здоровья граждан)

1. Заказные разработки – наименее эффективны.

2. Штатные средства ОС, СУБД и традиционные средства защиты – имеют хорошее отношение цена/качество.

3. Организационные меры (аудит, анализ риска, политика, план BCP, процедуры, регламенты) – имеют наилучшее отношение цена/качество.

4. Наиболее дорогие и наиболее эффективные средства защиты – IDS, SSO, PKI, DLP/ILP, КСУИБ. При их внедрении рекомендуется выполнять анализ рисков.

Стивен Росс, Deloitte&Touche

Выбор программных решений

118

Внимание!

Материалы, изложенные в данной презентации, рассматривают только основные аспекты, связанные с защитой персональных данных.

Более подробную информацию можно получить, обратившись в компанию «Доктор Веб» по адресу:

[email protected]

119

Вопросы?

Благодарим за внимание!Желаем вам процветания и еще больших успехов!

www.drweb.com

http://www.drweb.com/

Documents

Защита персональных данных Реализация системы защиты персональных данных с учетом последних изменений