–абота

Ќаши вакансии дублируютс€ на портале "–абота в –оссии" TrudVsem.ru

 

 

 

 

 

≈жемес€чна€ денежна€ выплата

на первого ребенка

яндекс.ћетрика

»нформационна€ безопасность в √Ѕ”« —ќ ј√Ѕ

ќпределени€

¬ насто€щем документе используютс€ следующие термины и их определени€.

јвтоматизированна€ система Ц система, состо€ща€ из персонала и комплекса средств автоматизации его де€тельности, реализующа€ информационную технологию выполнени€ установленных функций.

јутентификаци€ отправител€ данных Ц подтверждение того, что отправитель полученных данных соответствует за€вленному.

Ѕезопасность персональных данных Ц состо€ние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Ѕиометрические персональные данные Ц сведени€, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включа€ фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строени€ тела и другую подобную информацию.

Ѕлокирование персональных данных Ц временное прекращение сбора, систематизации, накоплени€, использовани€, распространени€, персональных данных, в том числе их передачи.

¬ирус (компьютерный, программный) Ц исполн€емый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространени€ и самовоспроизведени€. —озданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохран€ют способность к дальнейшему распространению и самовоспроизведению.

¬редоносна€ программа Ц программа, предназначенна€ дл€ осуществлени€ несанкционированного доступа и (или) воздействи€ на персональные данные или ресурсы информационной системы персональных данных.

¬спомогательные технические средства и системы Ц технические средства и системы, не предназначенные дл€ передачи, обработки и хранени€ персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными дл€ обработки персональных данных или в помещени€х, в которых установлены информационные системы персональных данных.

ƒоступ в операционную среду компьютера (информационной системы персональных данных) Ц получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожени€, копировани€, перемещени€ и т.п.), исполн€емых файлов прикладных программ.

ƒоступ к информации Ц возможность получени€ информации и ее использовани€.

«акладочное устройство Ц элемент средства съема информации, скрытно внедр€емый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

«ащищаема€ информаци€ Ц информаци€, €вл€юща€с€ предметом собственности и подлежаща€ защите в соответствии с требовани€ми правовых документов или требовани€ми, устанавливаемыми собственником информации.

»дентификаци€ Ц присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъ€вл€емого идентификатора с перечнем присвоенных идентификаторов.

»нформативный сигнал Ц электрические сигналы, акустические, электромагнитные и другие физические пол€, по параметрам которых может быть раскрыта конфиденциальна€ информаци€ (персональные данные) обрабатываема€ в информационной системе персональных данных.

»нформационна€ система персональных данных (»—ѕƒн) Ц информационна€ система, представл€юща€ собой совокупность персональных данных, содержащихс€ в базе данных, а также информационных технологий и технических средств, позвол€ющих осуществл€ть обработку таких персональных данных с использованием средств автоматизации или без использовани€ таких средств.

»нформационные технологии Ц процессы, методы поиска, сбора, хранени€, обработки, предоставлени€, распространени€ информации и способы осуществлени€ таких процессов и методов.

»спользование персональных данных Ц действи€ (операции) с персональными данными, совершаемые оператором в цел€х прин€ти€ решений или совершени€ иных действий, порождающих юридические последстви€ в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

»сточник угрозы безопасности информации Ц субъект доступа, материальный объект или физическое €вление, €вл€ющиес€ причиной возникновени€ угрозы безопасности информации.

 онтролируема€ зона Ц пространство (территори€, здание, часть здани€, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

 онфиденциальность персональных данных Ц об€зательное дл€ соблюдени€ оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласи€ субъекта персональных данных или наличи€ иного законного основани€.

ћежсетевой экран Ц локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выход€щей из информационной системы.

Ќарушитель безопасности персональных данных Ц физическое лицо, случайно или преднамеренно совершающее действи€, следствием которых €вл€етс€ нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Ќеавтоматизированна€ обработка персональных данных Ц обработка персональных данных, содержащихс€ в информационной системе персональных данных либо извлеченных из такой системы, считаетс€ осуществленной без использовани€ средств автоматизации (неавтоматизированной), если такие действи€ с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществл€ютс€ при непосредственном участии человека.

Ќедекларированные возможности Ц функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Ќесанкционированный доступ (несанкционированные действи€) Ц доступ к информации или действи€ с информацией, нарушающие правила разграничени€ доступа с использованием штатных средств, предоставл€емых информационными системами персональных данных.

Ќоситель информации Ц физическое лицо или материальный объект, в том числе физическое поле, в котором информаци€ находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

ќбезличивание персональных данных Ц действи€, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

ќбработка персональных данных Ц действи€ (операции) с персональными данными, включа€ сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

ќбщедоступные персональные данные Ц персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласи€ субъекта персональных данных или на которые в соответствии с федеральными законами не распростран€етс€ требование соблюдени€ конфиденциальности.

ќператор (персональных данных) Ц государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществл€ющее обработку персональных данных, а также определ€ющие цели и содержание обработки персональных данных.

“ехнические средства информационной системы персональных данных Ц средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ѕƒн (средства и системы звукозаписи, звукоусилени€, звуковоспроизведени€, переговорные и телевизионные устройства, средства изготовлени€, тиражировани€ документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управлени€ базами данных и т.п.), средства защиты информации, примен€емые в информационных системах.

ѕерехват (информации) Ц неправомерное получение информации с использованием технического средства, осуществл€ющего обнаружение, прием и обработку информативных сигналов.

ѕерсональные данные Ц люба€ информаци€, относ€ща€с€ к определенному или определ€емому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамили€, им€, отчество, год, мес€ц, дата и место рождени€, адрес, семейное, социальное, имущественное положение, образование, професси€, доходы, друга€ информаци€.

ѕобочные электромагнитные излучени€ и наводки Ц электромагнитные излучени€ технических средств обработки защищаемой информации, возникающие как побочное €вление и вызванные электрическими сигналами, действующими в их электрических и магнитных цеп€х, а также электромагнитные наводки этих сигналов на токопровод€щие линии, конструкции и цепи питани€.

ѕолитика Ђчистого столаї Ц комплекс организационных меропри€тий, контролирующих отсутствие записывани€ на бумажные носители ключей и атрибутов доступа (паролей) и хранени€ их вблизи объектов доступа.

ѕользователь информационной системы персональных данных Ц лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционировани€.

ѕравила разграничени€ доступа Ц совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

ѕрограммна€ закладка Ц код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

ѕрограммное (программно-математическое) воздействие Ц несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществл€емое с использованием вредоносных программ.

–аскрытие персональных данных Ц умышленное или случайное нарушение конфиденциальности персональных данных.

–аспространение персональных данных Ц действи€, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сет€х или предоставление доступа к персональным данным каким-либо иным способом.

–есурс информационной системы Ц именованный элемент системного, прикладного или аппаратного обеспечени€ функционировани€ информационной системы.

—пециальные категории персональных данных Ц персональные данные, касающиес€ расовой, национальной принадлежности, политических взгл€дов, религиозных или философских убеждений, состо€ни€ здоровь€ и интимной жизни субъекта персональных данных.

—редства вычислительной техники Ц совокупность программных и технических элементов систем обработки данных, способных функционировать самосто€тельно или в составе других систем.

—убъект доступа (субъект) Ц лицо или процесс, действи€ которого регламентируютс€ правилами разграничени€ доступа.

“ехнический канал утечки информации Ц совокупность носител€ информации (средства обработки), физической среды распространени€ информативного сигнала и средств, которыми добываетс€ защищаема€ информаци€.

“рансгранична€ передача персональных данных Ц передача персональных данных оператором через √осударственную границу –оссийской ‘едерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

”грозы безопасности персональных данных Ц совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

”ничтожение персональных данных Ц действи€, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаютс€ материальные носители персональных данных.

”течка (защищаемой) информации по техническим каналам Ц неконтролируемое распространение информации от носител€ защищаемой информации через физическую среду до технического средства, осуществл€ющего перехват информации.

”чреждение Ц  √Ѕ”« —ќ Ђј–јћ»Ћ№— јя √ќ–ќƒ— јя ЅќЋ№Ќ»÷јї

”€звимость Ц слабость в средствах защиты, которую можно использовать дл€ нарушени€ системы или содержащейс€ в ней информации.

÷елостность информации Ц способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в услови€х случайного и/или преднамеренного искажени€ (разрушени€).

 

 

ќбозначени€ и сокращени€

ј¬— Ц антивирусные средства

ј–ћ Ц-автоматизированное рабочее место

¬“—— Ц вспомогательные технические средства и системы

»—ѕƒн Ц информационна€ система персональных данных

 « Ц контролируема€ зона

Ћ¬— Ц локальна€ вычислительна€ сеть

ћЁ Ц межсетевой экран

Ќ—ƒ Ц несанкционированный доступ

ќ— Ц операционна€ система

ѕƒн Ц персональные данные

ѕћ¬ Ц программно-математическое воздействие

ѕќ Ц программное обеспечение

ѕЁћ»Ќ Ц побочные электромагнитные излучени€ и наводки

—ј« Ц система анализа защищенности

—«» Ц средства защиты информации

—«ѕƒн Ц система (подсистема) защиты персональных данных

—ќ¬ Ц система обнаружени€ вторжений

“ ” » Ц технические каналы утечки информации

”Ѕѕƒн Ц угрозы безопасности персональных данных

¬ведение

Ќасто€ща€ ѕолитика информационной безопасности  (далее Ц ѕолитика) √Ѕ”« —ќ Ђј–јћ»Ћ№— јя √ќ–ќƒ— јя ЅќЋ№Ќ»÷јї (ƒалее - ”чреждени€),  €вл€етс€ официальным документом.

ѕолитика разработана в соответствии с цел€ми, задачами и принципами обеспечени€ безопасности персональных данных изложенных в Ђ  онцепции информационной безопасности »—ѕƒ ”чреждени€ї.

ѕолитика разработана в соответствии с требовани€ми ‘едерального закона от 27 июл€ 2006 г. є 152-‘« Ђќ персональных данныхї и постановлени€ ѕравительства –оссийской ‘едерации от 11 но€бр€ 2007 г. є 781 Ђќб утверждении ѕоложени€ об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данныхї, на основании:

- Ђ–екомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данныхї, утвержденных «аместителем директора ‘—“Ё  –оссии от 15.02.2008 г.,

- Ђ“иповых требований по организации и обеспечению функционировани€ шифровальных (криптографических) средств, предназначенных дл€ защиты информации, не содержащей сведений, составл€ющих государственную тайну в случае из использовани€ дл€ обеспечени€ безопасности персональных данных при их обработке в информационных системах персональных данныхї, утвержденных руководством 8 ÷ентра ‘—Ѕ –оссии 21.02.2008 г. є 149/6/6-662.

¬ ѕолитике определены требовани€ к персоналу »—ѕƒн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные об€занности сотрудников, ответственных за обеспечение безопасности персональных данных в »—ѕƒн ”чреждени€.

1 ќбщие положени€

÷елью насто€щей ѕолитики €вл€етс€ обеспечение безопасности объектов защиты ”чреждени€ от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизаци€ ущерба от возможной реализации угроз безопасности ѕƒн (”Ѕѕƒн).

Ѕезопасность персональных данных достигаетс€ путем исключени€ несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

»нформаци€ и св€занные с ней ресурсы должны быть доступны дл€ авторизованных пользователей. ƒолжно осуществл€тьс€ своевременное обнаружение и реагирование на ”Ѕѕƒн.

ƒолжно осуществл€тьс€ предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожени€ данных.

—остав объектов защиты представлен в Ђѕеречне персональных данных, подлежащих защитеї.

—остав »—ѕƒн подлежащих защите, представлен в Ђќтчете о результатах проведени€ внутренней проверкиї.

Ёта ѕолитика информационной безопасности была утверждена руководителем ”чреждени€ и введена в действие приказом є ____ от ________.

2 ќбласть действи€

“ребовани€ насто€щей ѕолитики распростран€ютс€ на всех сотрудников ”чреждени€ (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подр€дчики, аудиторы и т.п.).

3 —истема защиты персональных данных

—истема защиты персональных данных (—«ѕƒн), строитс€ на  основании:

- ќтчета о результатах проведени€ внутренней проверки;

- ѕеречн€ персональных данных, подлежащих защите;

- јкта классификации информационной системы персональных данных;

- ћодели угроз безопасности персональных данных;

- ѕоложени€ о разграничении прав доступа к обрабатываемым персональным данным;

- –уковод€щих документов ‘—“Ё  и ‘—Ѕ –оссии.

 

Ќа основании этих документов определ€етс€ необходимый уровень защищенности ѕƒн каждой »—ѕƒн ”чреждени€. Ќа основании анализа актуальных угроз безопасности ѕƒн описанного в ћодели угроз и ќтчета о результатах проведени€ внутренней проверке, делаетс€ заключение о необходимости использовани€ технических средств и организационных меропри€тий дл€ обеспечени€ безопасности ѕƒн. ¬ыбранные необходимые меропри€ти€ отражаютс€ в ѕлане меропри€тий по обеспечению защиты ѕƒн.

ƒл€ каждой »—ѕƒн должен быть составлен список используемых технических средств защиты, а так же программного обеспечени€ участвующего в обработке ѕƒн, на всех элементах »—ѕƒн:

- ј–ћ пользователей;

- —ервера приложений;

- —”Ѕƒ;

- √раница Ћ¬—;

-  аналов передачи в сети общего пользовани€ и (или) международного обмена, если по ним передаютс€ ѕƒн.

¬ зависимости от уровн€ защищенности »—ѕƒн и актуальных угроз, —«ѕƒн может включать следующие технические средства:

- антивирусные средства дл€ рабочих станций пользователей и серверов;

- средства межсетевого экранировани€;

- средства криптографической защиты информации, при передаче защищаемой информации по каналам св€зи.

“ак же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ѕƒн операционными системами (ќ—), прикладным ѕќ и специальными комплексами, реализующими средства защиты. —писок функций защиты может включать:

- управление и разграничение доступа пользователей;

- регистрацию и учет действий с информацией;

- обеспечивать целостность данных;

- производить обнаружений вторжений.

—писок используемых технических средств отражаетс€ в Ђѕлане меропри€тий по обеспечению защиты персональных данныхї. —писок используемых средств должен поддерживатьс€ в актуальном состо€нии. ѕри изменении состава технических средств защиты или элементов »—ѕƒн, соответствующие изменени€ должны быть внесены в —писок и утверждены руководителем ”чреждени€ или лицом, ответственным за обеспечение защиты ѕƒн.

4 “ребовани€ к подсистемам —«ѕƒн

—«ѕƒн включает в себ€ следующие подсистемы:

- управлени€ доступом, регистрации и учета;

- обеспечени€ целостности и доступности;

- антивирусной защиты;

- межсетевого экранировани€;

- анализа защищенности;

- обнаружени€ вторжений;

- криптографической защиты.

ѕодсистемы —«ѕƒн имеют различный функционал в зависимости от класса »—ѕƒн, определенного в Ђјкте классификации информационной системы персональных данныхї. —писок соответстви€ функций подсистем —«ѕƒн классу защищенности представлен в ѕриложении.

 

4.1 ѕодсистемы управлени€ доступом, регистрации и учета

ѕодсистема управлени€ доступом, регистрации и учета предназначена дл€ реализации следующих функций:

- идентификации и проверка подлинности субъектов доступа при входе в »—ѕƒн;

- идентификации терминалов, узлов сети, каналов св€зи, внешних устройств по логическим именам;

- идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

- регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистраци€ загрузки и инициализации операционной системы и ее останова.

- регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

- регистрации попыток доступа программных средств к терминалам, каналам св€зи, программам, томам, каталогам, файлам, запис€м, пол€м записей.

ѕодсистема управлени€ доступом может быть реализована с помощью штатных средств обработки ѕƒн (операционных систем, приложений и —”Ѕƒ). “ак же может быть внедрено специальное техническое средство или их комплекс осуществл€ющие дополнительные меры по аутентификации и контролю. Ќапример, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

 

4.2 ѕодсистема обеспечени€ целостности и доступности

ѕодсистема обеспечени€ целостности и доступности предназначена дл€ обеспечени€ целостности и доступности ѕƒн, программных и аппаратных средств »—ѕƒн ”чреждени€, а так же средств защиты, при случайной или намеренной модификации.

ѕодсистема реализуетс€ с помощью организации резервного копировани€ обрабатываемых данных, а так же резервированием ключевых элементов »—ѕƒн.

4.3 ѕодсистема антивирусной защиты

ѕодсистема антивирусной защиты предназначена дл€ обеспечени€ антивирусной защиты серверов и ј–ћ пользователей »—ѕƒн ”чреждени€.

—редства антивирусной защиты предназначены дл€ реализации следующих функций:

- резидентный антивирусный мониторинг;

- антивирусное сканирование;

- скрипт-блокирование;

- централизованную/удаленную установку/деинсталл€цию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;

- автоматизированное обновление антивирусных баз;

- ограничение прав пользовател€ на остановку исполн€емых задач и изменени€ настроек антивирусного программного обеспечени€;

- автоматический запуск сразу после загрузки операционной системы.

ѕодсистема реализуетс€ путем внедрени€ специального антивирусного программного обеспечени€ на все элементы »—ѕƒн.

 

4.4 ѕодсистема межсетевого экранировани€

ѕодсистема межсетевого экранировани€ предназначена дл€ реализации следующих функций:

- фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам;

- фиксации во внутренних журналах информации о проход€щем открытом и закрытом IP-трафике;

- идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;

- регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;

- контрол€ целостности своей программной и информационной части;

- фильтрации пакетов служебных протоколов, служащих дл€ диагностики и управлени€ работой сетевых устройств;

- фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

- регистрации и учета запрашиваемых сервисов прикладного уровн€;

- блокировани€ доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

- контрол€ за сетевой активностью приложений и обнаружени€ сетевых атак.

ѕодсистема реализуетс€ внедрением программно-аппаратных комплексов межсетевого экранировани€ на границе Ћ—¬, классом не ниже 4.

 

4.5 ѕодсистема анализа защищенности

ѕодсистема анализа защищенности, должна обеспечивать вы€влени€ у€звимостей, св€занных с ошибками в конфигурации ѕќ »—ѕƒн, которые могут быть использованы нарушителем дл€ реализации атаки на систему.

‘ункционал подсистемы может быть реализован программными и программно-аппаратными средствами.

 

4.6 ѕодсистема обнаружени€ вторжений

ѕодсистема обнаружени€ вторжений, должна обеспечивать вы€вление сетевых атак на элементы »—ѕƒн подключенные к сет€м общего пользовани€ и (или) международного обмена.

‘ункционал подсистемы может быть реализован программными и программно-аппаратными средствами.

 

4.7 ѕодсистема криптографической защиты

ѕодсистема криптографической защиты предназначена дл€ исключени€ Ќ—ƒ к защищаемой информации в »—ѕƒн ”чреждени€, при ее передачи по каналам св€зи сетей общего пользовани€ и (или) международного обмена.

ѕодсистема реализуетс€ внедрени€ криптографических программно-аппаратных комплексов.

5 ѕользователи »—ѕƒн  

¬ Ђ онцепции информационной безопасностиї определены основные категории пользователей. Ќа основании этих категории должна быть произведена типизаци€ пользователей »—ѕƒн, определен их уровень доступа и возможности.

¬ »—ѕƒн ”чреждени€ можно выделить следующие группы пользователей, участвующих в обработке и хранении ѕƒн:

- јдминистратора »—ѕƒн;

- ќператора ј–ћ.

ƒанные о группах пользовател€х, уровне их доступа и информированности должен быть отражен в Ђѕоложение о разграничении прав доступа к обрабатываемым персональным даннымї.

5.1 јдминистратор »—ѕƒн

јдминистратор »—ѕƒн, сотрудник ”чреждени€, ответственный за настройку, внедрение и сопровождение »—ѕƒн. ќбеспечивает функционирование подсистемы управлени€ доступом »—ѕƒн и уполномочен осуществл€ть предоставление и разграничение доступа конечного пользовател€ (ќператора ј–ћ) к элементам хран€щим персональные данные.

јдминистратор »—ѕƒн обладает следующим уровнем доступа и знаний:

- обладает полной информацией о системном и прикладном программном обеспечении »—ѕƒн;

- обладает полной информацией о технических средствах и конфигурации »—ѕƒн;

- имеет доступ ко всем техническим средствам обработки информации и данным »—ѕƒн;

- обладает правами конфигурировани€ и административной настройки технических средств »—ѕƒн.;

- имеет доступ к средствам защиты информации и протоколировани€ и к части ключевых элементов »—ѕƒн.

јдминистратор   также уполномочен:

- реализовывать политики безопасности в части настройки — «», межсетевых экранов и систем обнаружени€ атак, в соответствии с которыми пользователь (ќператор ј–ћ) получает возможность работать с элементами »—ѕƒн;

- осуществл€ть аудит средств защиты;

- устанавливать доверительные отношени€ своей защищенной сети с сет€ми других ”чреждений.

5.2 ќператор ј–ћ

ќператор ј–ћ, сотрудник ”чреждени€,  осуществл€ющий обработку ѕƒн.  ќбработка ѕƒн включает: возможность просмотра ѕƒн, ручной ввод ѕƒн в систему »—ѕƒн,  формирование справок и отчетов по информации, полученной из »—ѕƒ. ќператор не имеет полномочий дл€ управлени€ подсистемами обработки данных и —«ѕƒн.

ќператор »—ѕƒн обладает следующим уровнем доступа и знаний:

- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ѕƒн;

- располагает конфиденциальными данными, к которым имеет доступ.

 

 

6 “ребовани€ к персоналу по обеспечению защиты ѕƒн

¬се сотрудники ”чреждени€, €вл€ющиес€ пользовател€ми »—ѕƒн, должны четко знать и строго выполн€ть установленные правила и об€занности по доступу к защищаемым объектам и соблюдению прин€того режима безопасности ѕƒн.

ѕри вступлении в должность нового сотрудника непосредственный начальник подразделени€, в которое он поступает, об€зан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требовани€ по защите ѕƒн, а также обучение навыкам выполнени€ процедур, необходимых дл€ санкционированного использовани€ »—ѕƒн.

—отрудник должен быть ознакомлен со сведени€ми насто€щей ѕолитики, прин€тых процедур работы с элементами »—ѕƒн и —«ѕƒн.

—отрудники ”чреждени€, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать Ќ—ƒ к ним, а так же возможность их утери или использовани€ третьими лицами. ѕользователи несут персональную ответственность за сохранность идентификаторов.

—отрудники ”чреждени€ должны следовать установленным процедурам поддержани€ режима безопасности ѕƒн при выборе и использовании паролей (если не используютс€ технические средства аутентификации).

—отрудники ”чреждени€ должны обеспечивать надлежащую защиту оборудовани€, оставл€емого без присмотра, особенно в тех случа€х, когда в помещение имеют доступ посторонние лица. ¬се пользователи должны знать требовани€ по безопасности ѕƒн и процедуры защиты оборудовани€, оставленного без присмотра, а также свои об€занности по обеспечению такой защиты.

—отрудникам запрещаетс€ устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

—отрудникам запрещаетс€ разглашать защищаемую информацию, котора€ стала им известна при работе с информационными системами ”чреждени€, третьим лицам.

ѕри работе с ѕƒн в »—ѕƒн сотрудники ”чреждени€ об€заны обеспечить отсутствие возможности просмотра ѕƒн третьими лицами с мониторов ј–ћ или терминалов.

ѕри завершении работы с »—ѕƒн сотрудники об€заны защитить ј–ћ или терминалы с помощью блокировки ключом или эквивалентного средства контрол€, например, доступом по паролю, если не используютс€ более сильные средства защиты.

—отрудники ”чреждени€ должны быть проинформированы об угрозах нарушени€ режима безопасности ѕƒн и ответственности за его нарушение. ќни должны быть ознакомлены с утвержденной формальной процедурой наложени€ дисциплинарных взысканий на сотрудников, которые нарушили прин€тые политику и процедуры безопасности ѕƒн.

—отрудники об€заны без промедлени€ сообщать обо всех наблюдаемых или подозрительных случа€х работы »—ѕƒн, могущих повлечь за собой угрозы безопасности ѕƒн, а также о вы€вленных ими событи€х, затрагивающих безопасность ѕƒн, руководству подразделени€ и лицу, отвечающему за немедленное реагирование на угрозы безопасности ѕƒн.

7 ƒолжностные об€занности пользователей »—ѕƒн

ƒолжностные об€занности пользователей »—ѕƒн описаны в следующих документах:

- »нструкци€ администратора »—ѕƒн;

- »нструкци€ пользовател€ »—ѕƒн;

- »нструкци€ пользовател€ при возникновении внештатных ситуаций.

8 ќтветственность сотрудников »—ѕƒн ”чреждени€

¬ соответствии со ст. 24 ‘едерального закона –оссийской ‘едерации от 27 июл€ 2006 г. є 152-‘« Ђќ персональных данныхї лица, виновные в нарушении требований данного ‘едерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством –оссийской ‘едерации ответственность.

ƒействующее законодательство –‘ позвол€ет предъ€вл€ть требовани€ по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации Ё¬ћ и систем, неправомерный доступ к информации, если эти действи€ привели к уничтожению, блокированию, модификации информации или нарушению работы Ё¬ћ или сетей (статьи 272,273 и 274 ”  –‘).

јдминистратор »—ѕƒн и администратор безопасности несут ответственность за все действи€, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использовани€ учетных записей.

ѕри нарушени€х сотрудниками ”чреждени€ Ц пользователей »—ѕƒн правил, св€занных с безопасностью ѕƒн, они несут ответственность, установленную действующим законодательством –оссийской ‘едерации.

ѕриведенные выше требовани€ нормативных документов по защите информации должны быть отражены в ѕоложени€х о подразделени€х ”чреждени€, осуществл€ющих обработку ѕƒн в »—ѕƒн и должностных инструкци€х сотрудников ”чреждени€.

Ќеобходимо внести в ѕоложени€ о подразделени€х ”чреждени€, осуществл€ющих обработку ѕƒн в »—ѕƒн сведени€ об ответственности их руководителей и сотрудников за разглашение и несанкционированную модификацию (искажение, фальсификацию) ѕƒн, а также за неправомерное вмешательство в процессы их автоматизированной обработки.

9 —писок использованных источников

ќсновными нормативно-правовыми и методическими документами, на которых базируетс€ насто€щее ѕоложение €вл€ютс€:

1 ‘едеральный «акон от 27.07.2006 г. є 152-‘« Ђќ персональных данныхї (далее Ц ‘« Ђќ персональных данныхї), устанавливающий основные принципы и услови€ обработки ѕƒн, права, об€занности и ответственность участников отношений, св€занных с обработкой ѕƒн.

2 Ђѕоложение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данныхї, утвержденное ѕостановлением ѕравительства –‘ от 17.11.2007 г. є 781.

3 Ђѕор€док проведени€ классификации информационных систем персональных данныхї, утвержденный совместным ѕриказом ‘—“Ё  –оссии є 55, ‘—Ѕ –оссии є 86 и ћининформсв€зи –‘ є 20 от 13.02.2008 г.

4 Ђѕоложение об особенност€х обработки персональных данных, осуществл€емой без использовани€ средств автоматизацииї, утвержденное ѕостановлением ѕравительства –‘ от 15.09.2008 г. є 687.

5 Ђ“ребовани€ к материальным носител€м биометрических персональных данных и технологи€м хранени€ таких данных вне информационных систем персональных данныхї, утвержденные ѕостановлением ѕравительства –‘ от 06.07.2008 г. є 512.

6 Ќормативно-методические документы ‘едеральной службы по техническому и экспертному контролю –оссийской ‘едерации (далее - ‘—“Ё  –оссии) по обеспечению безопасности ѕƒн при их обработке в »—ѕƒн:

7 –екомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. «ам. директора ‘—“Ё  –оссии 15.02.08 г. (ƒ—ѕ)

8 ќсновные меропри€ти€ по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. «ам. директора ‘—“Ё  –оссии 15.02.08 г. (ƒ—ѕ)

9 Ѕазова€ модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. «ам. директора ‘—“Ё  –оссии 15.02.08 г. (ƒ—ѕ)

10 ћетодика определени€ актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. «ам. директора ‘—“Ё  –оссии 15.02.08 г. (ƒ—ѕ)

 

ѕриложение 1  

є

ѕлан - перечень технических меропри€тий по обеспечении безопасности »—ѕƒ

 3

 2

 1

I

¬ подсистеме управлени€ доступом:

 

 

 

1

–еализовать идентификацию и проверку подлинности субъектов доступа при входе в операционную систему »—ѕƒн по паролю условно-посто€нного действи€, длиной не менее шести буквенно-цифровых символов;

+

+

+

2

–еализовать идентификацию терминалов, технических средств обработки ѕƒн, узлов »—ѕƒн, компьютеров, каналов св€зи, внешних устройств »—ѕƒн по их логическим именам (адресам, номерам);

-

+

+

3

–еализовать идентификацию программ, томов, каталогов, файлов, записей, полей записей по именам;

-

+

+

4

–еализовать контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

-

+

+

5

при наличии подключени€ »—ѕƒн к сет€м общего пользовани€ должно примен€тьс€ межсетевое экранирование.

Ќе ниже 5-го уровн€ защищенности

Ќе ниже 4-го уровн€ защищенности

Ќе ниже 3-го уровн€ защищенности

6

ƒл€ обеспечени€ безопасного межсетевого взаимодействи€ в »—ѕƒн дл€ разных классов необходимо  использовать ћЁ

Ќе ниже 5-го уровн€ защищенности

Ќе ниже 4-го уровн€ защищенности

Ќе ниже 3-го уровн€ защищенности

II

—редство защиты от программно математических воздействий (ѕћ¬):

 

 

 

1

–еализовать идентификацию и аутентификацию субъектов доступа при входе в средство защиты от программно математических воздействий (ѕћ¬) и перед выполнением ими любых операций по управлению функци€ми средства защиты от ѕћ¬ по паролю (или с использованием иного механизма аутентификации) условно-посто€нного действи€ длиной не менее шести буквенно-цифровых символов;

+

+

+

2

ќсуществл€ть контроль любых действий субъектов доступа по управлению функци€ми средства защиты от ѕћ¬ только после проведени€ его успешной аутентификации;

+

+

+

3

ѕредусмотреть механизмы блокировани€ доступа к средствам защиты от ѕћ¬ при выполнении устанавливаемого числа неудачных попыток ввода парол€;

+

+

+

4

Ќеобходимо проводить идентификацию файлов, каталогов, программных модулей, внешних устройств, используемых средств защиты от ѕћ¬;

+

+

+

III

¬ подсистеме регистрации и учета:

 

 

 

1

ќсуществл€ть регистрацию входа (выхода) субъекта доступа в систему (из системы), либо регистрацию загрузки и инициализации операционной системы и ее программного останова. –егистраци€ выхода из системы или останова не проводитс€ в моменты аппаратурного отключени€ »—ѕƒн. ¬ параметрах регистрации указываютс€ дата и врем€ входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

+

+

+

2

ѕроводить учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку);

+

+

+

3

ѕроводить регистрацию входа/выхода субъектов доступа в средство защиты от ѕћ¬, регистрацию загрузки и инициализации этого средства и ее программного останова. ¬ параметрах регистрации указываетс€ врем€ и дата входа/выхода субъекта доступа в средство защиты от ѕћ¬ или загрузки/останова этого средства, а также идентификатор субъекта доступа, инициировавшего данные действи€;

+

+

+

4

ѕроводить регистрацию событий проверки и обнаружени€ ѕћ¬. ¬ параметрах регистрации указываютс€ врем€ и дата проверки или обнаружени€ ѕћ¬, идентификатор субъекта доступа, инициировавшего данные действи€, характер выполн€емых действий по проверке, тип обнаруженной вредоносной программы (¬ѕ), результат действий средства защиты по блокированию ѕћ¬;

+

+

+

5

ѕроводить регистрацию событий по внедрению в средство защиты от ѕћ¬ пакетов обновлений. ¬ параметрах регистрации указываютс€ врем€ и дата обновлени€, идентификатор субъекта доступа, инициировавшего данное действие верси€ и контрольна€ сумма пакета обновлени€;

+

+

+

6

ѕроводить регистрацию событий запуска/завершени€ работы модулей средства защиты от ѕћ¬. ¬ параметрах регистрации указываютс€ врем€ и дата запуска/завершени€ работы, идентификатор модул€, идентификатор субъекта доступа, инициировавшего данное действие, результат запуска/завершени€ работы;

+

+

+

7

должна проводитьс€ регистраци€ событий управлени€ субъектом доступа функци€ми средства защиты от ѕћ¬. ¬ параметрах регистрации указываютс€ врем€ и дата событи€ управлени€ каждой функцией, идентификатор и спецификаци€ функции, идентификатор субъекта доступа, инициировавшего данное действие, результат действи€;

+

+

+

8

ѕроводить регистрацию событий попыток доступа программных средств к модул€м средства защиты от ѕћ¬ или специальным ловушкам. ¬ параметрах регистрации указываютс€ врем€ и дата попытки доступа, идентификатор модул€, идентификатор и спецификаци€ модул€ средства защиты от ѕћ¬ (специальной ловушки), результат попытки доступа;

+

+

+

9

ѕроводить регистрацию событий отката дл€ средства защиты от ѕћ¬. ¬ параметрах регистрации указываютс€ врем€ и дата событи€ отката, спецификаци€ действий отката, идентификатор субъекта доступа, инициировавшего данное действие, результат действи€;

+

+

+

10

ќбеспечить защиту  данных регистрации от их уничтожени€ или модификации нарушителем;

+

+

+

11

–еализовать механизмы сохранени€ данных регистрации в случае сокращени€ отведенных под них ресурсов;

+

+

+

12

–еализовать механизмы просмотра и анализа данных регистрации и их фильтрации по заданному набору параметров;

+

+

+

13

ѕроводить автоматический непрерывный мониторинг событий, которые могут €вл€тьс€ причиной реализации ѕћ¬ (создание, редактирование, запись, компил€ци€ объектов, которые могут содержать ¬ѕ).

+

+

+

14

–еализовать механизм автоматического анализа данных регистрации по шаблонам типовых про€влений ѕћ¬ с автоматическим их блокированием и уведомлением администратора безопасности;

+

+

+

15

ѕроводить несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации;

+

+

+

16

ќсуществл€ть регистрацию входа (выхода) субъектов доступа в систему (из системы), либо регистраци€ загрузки и инициализации операционной системы.

-

+

+

17

ќсуществл€ть регистрацию выдачи печатных (графических) документов на Ђтвердуюї копию. ¬ параметрах регистрации указываютс€ (дата и врем€ выдачи (обращени€ к подсистеме вывода), спецификаци€ устройства выдачи Ц логическое им€ (номер) внешнего устройства, краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа, идентификатор субъекта доступа, запросившего документ;

-

+

+

18

ќсуществл€ть регистрацию запуска (завершени€) программ и процессов (заданий, задач), предназначенных дл€ обработки защищаемых файлов. ¬ параметрах регистрации указываютс€ дата и врем€ запуска, им€ (идентификатор) программы (процесса, задани€), идентификатор субъекта доступа, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный Ц несанкционированный),

-

+

+

19

ќсуществл€ть регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. ¬ параметрах регистрации указываютс€ дата и врем€ попытки доступа к защищаемому файлу с указанием ее результата (успешна€, неуспешна€ Ц несанкционированна€), идентификатор субъекта доступа, спецификаци€ защищаемого файла;

-

+

+

20

ќсуществл€ть регистрацию попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, компьютерам, узлам сети »—ѕƒн, лини€м (каналам) св€зи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, запис€м, пол€м записей. ¬ параметрах регистрации указываютс€ дата и врем€ попытки доступа к защищаемому объекту с указанием ее результата (успешна€, неуспешна€ Ц несанкционированна€), идентификатор субъекта доступа, спецификаци€ защищаемого объекта Ц логическое им€ (номер);

-

+

+

21

ѕроводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

-

+

+

22

ќсуществл€ть очистку (обнуление, обезличивание) освобождаемых областей оперативной пам€ти компьютеров и внешних накопителей. ќчистка осуществл€етс€ однократной произвольной записью в освобождаемую область пам€ти, ранее использованную дл€ хранени€ защищаемых данных (файлов, информации);

-

+

+

IV

¬ подсистеме обеспечени€ целостности:

 

 

 

1

ќбеспечить целостность программных средств защиты в составе —«ѕƒн, а также неизменность программной среды. ѕри этом целостность средств защиты провер€етс€ при загрузке системы по наличию имен (идентификаторов) компонент —«ѕƒн, целостность программной среды обеспечиваетс€ отсутствием в »—ѕƒн средств разработки и отладки программ;

+

+

+

2

ќсуществл€ть физическую охрану »—ѕƒн (устройств и носителей информации), предусматривающа€ контроль доступа в помещени€ »—ѕƒн посторонних лиц, наличие надежных преп€тствий дл€ несанкционированного проникновени€ в помещени€ »—ѕƒн и хранилище носителей информации;

+

+

+

3

ѕроводить периодическое тестирование функций —«ѕƒн при изменении программной среды и персонала »—ѕƒн с помощью тест-программ, имитирующих попытки Ќ—ƒ;

+

+

+

4

должны быть в наличии средства восстановлени€ —«ѕƒн, предусматривающие ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности;

+

+

+

5

ѕроводить проверку целостности модулей средства защиты от ѕћ¬, необходимых дл€ его корректного функционировани€, при его загрузке с использованием контрольных сумм;

+

+

+

6

ќбеспечить возможность восстановлени€ средства защиты от ѕћ¬, предусматривающа€ ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности;

+

+

+

7

–еализовать механизмы проверки целостности пакетов обновлений средства защиты от ѕћ¬ с использованием контрольных сумм;

+

+

+

8

ѕроводить резервное копирование ѕƒн на отчуждаемые носители информации;

-

+

+

V

¬ подсистеме антивирусной защиты:

 

 

 

1

ѕроводить автоматическую проверку на наличие ¬ѕ или последствий ѕћ¬ при импорте в »—ѕƒн всех программных модулей (прикладных программ), которые могут содержать ¬ѕ, по их типовым шаблонам и с помощью эвристического анализа;

+

+

+

2

–еализовать механизмы автоматического блокировани€ обнаруженных ¬ѕ путем их удалени€ из программных модулей или уничтожени€;

+

+

+

3

–егул€рно выполн€ть (при первом запуске средств защиты ѕƒн от ѕћ¬ и с устанавливаемой периодичностью) проверка на предмет наличи€ в них ¬ѕ;

+

+

+

4

ƒолжна инициироватьс€ автоматическа€ проверка »—ѕƒн на предмет наличи€ ¬ѕ при вы€влении факта ѕћ¬;

+

+

+

5

–еализовать механизм отката дл€ устанавливаемого числа операций удалени€ ¬ѕ из оперативной или посто€нной пам€ти, из программных модулей и прикладных программ или программных средств, содержащих ¬ѕ.

+

+

+

6

ƒополнительно в »—ѕƒн должен проводитьс€ непрерывный автоматический мониторинг информационного обмена с внешней сетью с целью вы€влени€ ¬ѕ.

+

+

+

VI

 онтроль отсутстви€ Ќƒ¬ в ѕќ —«»

 

 

 

1

ƒл€ программного обеспечени€, используемого при защите информации в »—ѕƒн (средств защиты информации Ц —«», в том числе и встроенных в общесистемное и прикладное программное обеспечение Ц ѕќ), должен быть обеспечен соответствующий уровень контрол€ отсутстви€ в нем Ќƒ¬ (не декларированных возможностей).

+

+

+

VII

ќбнаружение вторжений в »—ѕƒн

 

 

 

 

ќбнаружение вторжений должно обеспечиватьс€ путем использовани€ в составе »—ѕƒн программных или программно-аппаратных средств (систем) обнаружени€ вторжений (—ќ¬).

 

+

+

+

1

 Ќеобходимо об€зательное использование системы обнаружени€ сетевых атак, использующие сигнатурные методы анализа

+

-

-

2

 Ќеобходимо об€зательное использование системы обнаружени€ сетевых атак, использующие сигнатурные методы анализа и методы вы€влени€ аномалий

-

+

+

VIII

«ащита »—ѕƒн от ѕЁћ»Ќ

 

 

 

1

ƒл€ обработки информации необходимо использовать —¬“, удовлетвор€ющие требовани€м стандартов –оссийской ‘едерации по электромагнитной совместимости, по безопасности и эргономическим требовани€м к средствам отображени€ информации, по санитарным нормам, предъ€вл€емым к видеодисплейным терминалам ѕЁ¬ћ (например, √ќ—“ 29216 91, √ќ—“ – 50948-2001, √ќ—“ – 50949-2001, √ќ—“ – 50923 96, —анѕиЌ 2.2.2.542 96).

+

+

+

IX

ќценка соответстви€ »—ѕƒн требовани€м безопасности ѕƒн

 

 

 

1

ѕровести об€зательную сертификацию (аттестацию) по требовани€м безопасности информации;

-

+

+

2

ƒекларировать соответствие или об€зательную сертификацию (аттестацию) по требовани€м безопасности информации (по решению оператора);

+

-

-

ѕримечание: ƒл€ »—ѕƒн 4 класса перечень меропри€тий по защите ѕƒн определ€етс€ в зависимости от ущерба который может быть нанесен в следствии несанкционированного или непреднамеренного доступа к ѕƒн.