close

Вход

Забыли?

вход по аккаунту

?

Концепция информационной безопасности

код для вставкиСкачать
Концепция информационной безопасности информационных систем персональных данных ГАОУ СПО ТО «Тюменский медицинский колледж», 2011 год
Концепция
информационной безопасности
ИСПДн ТМК
2
С
ОДЕРЖАНИЕ
1.
Определения
……………………………………
………………………………………
3 стр
2.
Обозначения и сокращения
……………………………………………………………
7 стр
3.
Введение
………………………………………………………………………………..
8 стр
4.
Общие положения
……………………………………………………………………...
9 стр
5.
Задачи СЗПДн
………………………………………………………………………….
9 стр
6.
Объекты за
щиты
……………………………………………………………………….
10 стр
6.1. перечень информационных систем
6.2. перечень объектов защиты
7.
Классификация пользователей ИСПДн
………………………………………………
11 стр
8.
Основные принципы построения системы комплексной защиты информации
…...
1
2 стр
9.
Меры, методы и средства обеспечения требуемого уровня защищенности
……….
15 стр
9
.1
. з
аконодательные (правовые) меры защиты
9
.2
. м
орально
-
этические меры защиты
.
9
.3
. о
рганизационные (административные) меры защиты
9
.4
. ф
изические меры защиты
9
.5
. а
ппаратно
-
программные средства защиты ПДн
10.
Контроль эффективности системы защиты ИСПДн ………………………………..
18 стр
11.
Сферы ответственности за безопасность ПДн
……………………………………….
18 стр
12.
Модель нарушителя безопасности
……………………………………………
………
19 стр
13.
Модель угроз безопасности
……………………………………………………………
19 стр
14.
Механизм реализации Концепции
…………………………………………………….
19 стр
15.
Ожидаемый эффект от реализации Концепции
……………………………………...
20 стр
16.
Список использованных источников
…………………………
………………………
20 стр
Концепция
информационной безопасности
ИСПДн ТМК
3
1.
О
ПРЕДЕЛЕНИЯ
В
соответствии с Федеральным законом от 27 июля 2006 года № 152
-
ФЗ
«О персональных данных» и Федеральным законом от 25
июля
2011
года №
261
-
ФЗ
«О внесении изменений в Федеральный закон «О персональных данных»
в
настоящем документе используются следующие термины и их опред
е
ления.
Автоматизированная система
–
система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информа
ционную технологию выполнения установленных функций.
Автоматизированная обработка персональных данных
–
обработка персональных данных с помощью
средств вычислительной техники.
Аутентификация отправителя данных
–
подтверждение того, что от
правитель полученных данных соответствует заявленному.
Безопасность
персональных данных
–
состояние защищенности персо
нальных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, це
лостность и доступность персональных данных при их обработке в
информа
ционных системах персональных данных.
Биометрические персональные данные
–
сведения, которые характер
и
зуют физиологические особенности человека и на основе которых можно уст
а
новить его личность, включая фотографии, отпечатки пальцев, образ сетчатк
и глаза, особенности строения тела и другую подобную информацию.
Б
локирование персональных данных
–
временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Вирус (компьютерн
ый, программный)
–
исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами не
санкционированного распространения и самовоспроизведения. Созданные ду
б
ликаты компьютерного вируса не всегда совпадают с оригиналом, но со
храняю
т способность к дальнейшему распространению и самовоспроизведе
нию.
Вредоносная программа
–
программа, предназначенная для осуществ
ления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональны
х данных.
Вспомогательные технические средства и системы
–
технические сред
ства и системы, не предназначенные для передачи, обработки и хранения перс
о
нальных данных, устанавливаемые совместно с техническими средст
вами и системами, предназначенными для об
работки персональных данных или в пом
е
щениях, в которых установлены информационные системы персо
нальных данных.
Доступ в операционную среду компьютера (информационной сист
е
мы персональных данных)
–
получение возможности запуска на выполн
е
ние штатных коман
д, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных про
грамм.
Доступ к информации
–
возможность получения информации и ее ис
пользования.
Закладочное устройство
–
элемент средства съема и
нформации, скрыт
но внедряемый (закладываемый или вносимый) в места возможного съема и
н
формации (в том числе в ограждение, конструкцию, оборудование, пред
меты интерьера, транспортные средства, а также в технические средства и системы обработки информации)
.
Защищаемая информация
–
информация, являющаяся предметом соб
ственности и подлежащая защите в соответствии с требованиями правовых д
о
кументов или требованиями, устанавливаемыми собственником информа
ции.
Концепция
информационной безопасности
ИСПДн ТМК
4
Идентификация
–
присвоение субъектам и объектам до
ступа иденти
фикатора и (или) сравнение предъявляемого идентификатора с перечнем пр
и
своенных идентификаторов.
Информативный сигнал
–
электрические сигналы, акустические, элек
-
тромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабаты
ваемая в информационной системе персональных данных.
И
нформационная система персональных данных
(ИСПДн)
–
совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
.
Информационные технологии
–
процессы, методы поиска, сбора, хра
нения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Использование персональных данн
ых
–
действия (операции) с перс
о
нальными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отн
о
шении субъекта персональных данных или других лиц либо иным образом з
а
трагивающих прав
а и свободы субъекта персональных данных или других лиц.
Источник угрозы безопасности информации
–
субъект доступа, мате
риальный объект или физическое явление, являющиеся причиной возникно
вения угрозы безопасности информации.
Контролируемая зона
–
простр
анство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторон
них лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных
–
обязательное для с
о
блю
дения опе
ратором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта пе
р
сональных данных или наличия иного законного основания.
Межсетевой экран
–
локальное (однокомпонентное) или функциональ
но
-
ра
спределенное программное (программно
-
аппаратное) средство (ком
плекс), реализующее контроль за информацией, поступающей в информаци
онную систему персональных данных и (или) выходящей из информацион
ной системы.
Нарушитель безопасности персональных данных
–
физическое лицо, случайно или преднамеренно совершающее действия, следствием которых явл
я
ется нарушение безопасности персональных данных при их обработке технич
е
скими средствами в информационных системах персональных данных.
Неавтоматизированная обработк
а персональных данных
–
обработка персональных данных, содержащихся в информационной системе персонал
ь
ных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия
с персональными данными, как использование, уточнение, распр
о
странение, уничтожение персональных данных в отношении каждого из суб
ъ
ектов персональных данных, осуществляются при непосредственном участии человека.
Недекларированные возможности
–
функциональ
ные возможности средств вычислительной техники, не описанные или не соответствующие оп
и
санным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой ин
формации.
Несанкционированный досту
п (несанкционированные действия)
–
дос
туп к информации или действия с информацией, нарушающие правила раз
граничения доступа с использованием штатных средств, предоставляемых и
н
формационными системами персональных данных.
Концепция
информационной безопасности
ИСПДн ТМК
5
Носитель информации
–
физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, коли
чественных характеристик физических величин.
О
безличивание персональных данных
–
действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретно
му субъекту персональных данных.
Обработка персональных данных
–
любое действие (операция) или совоку
пность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использов
ание, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
.
Общедоступные персональные данные
–
персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия су
бъекта перс
о
нальных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
О
ператор
–
государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совмес
тно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
.
Пер
ехват (информации)
–
неправомерное получение информации с ис
-
пользованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
П
ерсональные данные
–
любая
информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу
(субъекту персональных данных).
Побочные электромагнитные излучения и наводки
–
электромагни
т
ные излучения технических средств обработки защищаемой информации, во
з
ни
кающие как побочное явление и вызванные электрическими сигналами, дей
ствующими в их электрических и магнитных цепях, а также электромагнит
ные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Политика «чистого стола»
–
комплекс организационных мероприятий, контролирующих отсутствие з
аписывания на бумажные носители ключей и а
т
рибутов доступа (паролей) и хранения их вблизи объектов доступа.
Пользователь информационной системы персональных данных
–
л
и
цо, участвующее в функционировании информационной системы персональных данных или исполь
зующее результаты ее функционирования.
Правила разграничения доступа
–
совокупность правил, регламенти
рующих права доступа субъектов доступа к объектам доступа.
П
редоставление персональных данных
–
действия, направленные на раскрытие персональных данных о
пределенному лицу или определенному кругу лиц
.
Программная закладка
–
код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информ
ационной системы персональных данных и (или) блокировать аппа
ратные средства.
Программное (программно
-
математическое) воздействие
–
несан
к
цио
-
нированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вред
оносных программ.
Раскрытие персональных данных
–
умышленное или случайное нар
у
шение конфиденциальности персональных данных.
Концепция
информационной безопасности
ИСПДн ТМК
6
Р
аспространение персональных данных
–
действия, направленные на раскрытие персональных данных неопределенному кругу лиц
.
Ресурс инф
ормационной системы
–
именованный элемент системного, прикладного или аппаратного обеспечения функционирования информацио
н
ной системы.
Специальные категории персональных данных
–
персональные да
н
ные, касающиеся расовой, национальной принадлежности, политич
еских взгл
я
дов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.
Средства вычислительной техники
–
совокупность программных и тех
нических элементов систем обработки данных, способных функционир
о
вать самостоятельно или в составе других систем.
Субъект доступа (субъект)
–
лицо или процесс, действия которого рег
-
ламентируются правилами разграничения доступа.
Технический канал утечки информации
–
совокупность носителя ин
формации (средства обработки), физ
ической среды распространения инфор
мативного сигнала и средств, которыми добывается защищаемая информа
ция.
Технические средства информационной системы персональных да
н
ных
–
средства вычислительной техники, информационно
-
вычислительные комплексы и сети, с
редства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, пе
реговорные и телевизионные устройства, средства изготовления, тиражиро
вания документов и другие технические средства обработки рече
вой, графи
ческой, видео
-
и буквенно
-
цифровой информации), программные средства (оп
е
рационные системы, системы управления базами данных и т.п.), средства защ
и
ты информации, применяемые в информационных системах.
Т
рансграничная передача персональных данных
–
передача
персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу
.
Угрозы безопасности персональных данных
–
совокупность
условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправоме
рные действия при их обработке в информационной системе персональных данных
.
У
ничтожение персональных данных
–
действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данн
ых и (или) в результате которых уничтожаются материальн
ые носители персональных данных.
Уровень защищенности персональных данных
–
комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопа
сности персональных данных при их обработке в информационных системах персональных данных.
Утечка (защищаемой) информации по техническим каналам
–
н
е
кон
-
тролируемое распространение информации от носителя защищаемой инфор
мации через физическую среду до тех
нического средства, осуществляющего перехват информации.
Уязвимость
–
слабость в средствах защиты, которую можно использо
вать для нарушения системы или содержащейся в ней информации.
Целостность информации
–
способность средства вычислительной тех
ники ил
и автоматизированной системы обеспечивать неизменность инфор
мации в условиях случайного и/или преднамеренного искажения (разрушения).
Концепция
информационной безопасности
ИСПДн ТМК
7
2.
О
БОЗНАЧЕНИЯ И СОКРАЩЕ
НИЯ
АВС
–
антивирусные средства
АРМ
–
автоматизированное рабочее место
ВТСС
–
вспомогательные те
хнические средства и системы
ИСПДн
–
информационная система персональных данных
КЗ
–
контролируемая зона
ЛВС
–
локальная вычислительная сеть
МЭ
–
межсетевой экран
НСД
–
несанкционированный доступ
ОС
–
операционная система
ПДн
–
персональные данные
ПМВ
–
пр
ограммно
-
математическое воздействие
ПО
–
программное обеспечение
ПЭМИН
–
побочные электромагнитные излучения и наводки
САЗ
–
система анализа защищенности
СЗИ
–
средства защиты информации
СЗПДн
–
система (подсистема) защиты персональных данных
СОВ
–
система
обнаружения вторж
е
ний
ТКУИ
–
технические каналы утечки информации
УБПДн
–
угрозы безопасности персональных данных
Концепция
информационной безопасности
ИСПДн ТМК
8
3.
В
ВЕДЕНИЕ
Настоящая Концепция информационной безопасности ИСПДн АОУ СПО ТО «Тюменский медицинский колледж» (далее –
У
чрежд
е
ние
), разработан
а
в АОУ СПО ТО «Тюменский медицинский колледж»
, является официальным документом, в котором определена система взглядов на обесп
е
чение информационной безопасности Учреждения.
Необходимость разработки Концепции обусловлена стремительным ра
с
ширением сферы при
менения информационных технологий и пр
о
цес
сов в Учреждении
, при обработке информации вообще, и персональных данных в частности.
Настоящая Концепция определяет основные цели и задачи, а также о
б
щую стратегию построения системы защиты персональных данных (СЗ
ПДн) У
ч
реждения. Концепция определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности информации.
Концепция разработана в соответствии с системным подходом к обесп
е
чению информационной безопасности. Сис
темный подход предполагает пров
е
дение комплекса мероприятий, включающих исследование угроз информац
и
онной безопасности и разработку системы защиты ПДн, с позиции комплек
с
ного применения технических и организационных мер и средств защиты.
Под информационно
й безопасностью ПДн понимается защищенность персональных данных и обрабатывающей их инфраструктуре от любых сл
у
чайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам ПДн) или инфр
аструктуре. Задачи информационной безопасности св
о
дятся к минимизации ущерба от возможной реализации угроз безопасности ПДн, а также к прогнозированию и предотвращению таких во
з
действий.
Концепция служит основой для разработки комплекса организационных и т
ехнических мер по обеспечению информационной безопасности Учрежд
е
ния
, а также нормативных и методических документов, обеспечивающих ее реализацию, и не предполагает подмены функций государственных органов власти Российской Федерации, отвечающих за обеспече
ние безопасности информационных технологий и защиту и
н
формации.
Концепция является методологической основой для:
1)
формирования и проведения единой политики в области обеспечения безопасн
о
сти ПДн в ИСПДн Учреждения;
2)
принятия управленческих решений и разработ
ки практических мер по воплощению политики безопасности ПДн и выработки комплекса согласова
н
ных мер нормативно
-
правового, технологического и организационно
-
технического характера, направленных на выявление, отражение и ликвидацию последствий реализации раз
личных видов угроз ПДн;
3)
координации деятельности структурных подразделений Учреждения при проведении работ по развитию и эксплуатации ИСПДн с соблюдением тр
е
бований обеспечения безопасности ПДн;
4)
разработки предложений по совершенствованию правового, нормат
и
в
ного, методического, технического и организационного обеспечения безопасности ПДн в ИСПДн У
ч
реждения.
Область применения Концепции распространяется на все структурные подразделения У
чреждения, эксплуатирующие те
х
нические и программные средства ИСПДн, в к
оторых осуществляется автом
а
тизированная обработка ПДн, а также на сотрудников
, осуществляющи
х
сопровождение, обслужив
а
ние и обеспечение нормального функционирования ИСПДн.
Правовой базой для разработки настоящей Концепции служат требования действующих в Р
оссии законодательных и нормативных документов по обе
с
печению безопасности персональных данных (ПДн).
Концепция
информационной безопасности
ИСПДн ТМК
9
4.
О
БЩИЕ ПОЛОЖЕНИЯ
Настоящая Концепция определяет основные цели и задачи, а также о
б
щую стратегию построения системы защиты персональных данных (СЗПДн) А
ОУ СПО ТО «Тюменский медицинский колледж»
, в соответствии с Перечнем ИСПДн
. Концепция определяет основные требования и базовые подходы к их реализации, для д
остижения требуемого уро
в
ня безопасности информации.
СЗПДн представляет собой совокупность организационных и тех
нических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, рас
прос
транения ПДн, а также иных неправомерных действий с ними.
Безопасность персональных данных достигается путем исключения несанкци
о
нированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, бл
окирование, к
о
пирование, распространение персональных данных, а также иных несанкционирова
н
ных действий.
Структура, состав и основные функции СЗПДн определяются исходя из класса ИСПДн. СЗПДн включает организационные меры и технические средс
т
ва защиты инфор
мации (в том числе средства предотвращения несанкционированного доступа, утечки инфо
р
мации по техническим каналам, программно
-
технических воздействий на технические сре
д
ства обработки ПДн), а также используемые в информационной системе информацио
н
ные техно
логии.
Эти меры призваны обе
с
печить:
1)
конфиденциальность
информации (защита от несанкционированного ознакомл
е
ния);
2)
целостность
информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированн
о
го изменения); 3)
доступ
ность
информации (возможность за приемлемое время п
о
лучить требуемую информационную услугу). Организационные меры
предусматривают создание и поддержание пр
а
вовой базы безопасности ПДн и разработку (введение в действие) предусмо
т
ренных Политикой информационной безопасности ИСПДн
следующих организационно
-
распорядительных д
о
кументов:
п
ереч
е
нь
персональных данных, подлежащих защите
;
акт
классификации информационной системы персональных данных
;
модель
угроз безопасности персональных данных
;
положение о разграничении пра
в доступа к обрабатываемым перс
о
нальным данным
.
Технические меры защиты реализуются при помощи соответствующих программно
-
технических средств и методов защ
и
ты.
Перечень необходимых мер защиты информации определяется по резул
ь
татам внутренней проверки безопасности ИСПДн
АОУ СПО ТО «Тюменский медицинский колледж»
.
5.
З
АДАЧИ СЗПД
Н
Основной целью СЗПДн является минимизация ущерба от возможной реализации угроз б
езопасности ПДн.
Для достижения основной цели система безопасности ПДн ИСПДн должна обеспеч
и
вать эффективное решение следующих задач:
1)
защиту от вмешательства в процесс функционирования ИСПДн пост
о
ронних лиц (возможность использования АС и доступ к ее ресур
сам должны иметь только зарегистрир
о
ванные установленным порядком пользователи);
2)
разграничение доступа зарегистрированных пользователей к аппара
т
ным, программным и информационным ресурсам ИСПДн (возможность доступа только к Концепция
информационной безопасности
ИСПДн ТМК
10
тем ресу
р
сам и выполнения только
тех операций с ними, которые необходимы конкретным пользователям ИСПДн для выполнения своих служебных обязанностей), то есть защиту от несан
к
ционированного доступа:
к информации, циркулирующей в ИСПДн;
к средствам вычислительной техники ИСПДн;
к аппаратны
м, программным средствам защиты, испол
ь
зуемым в ИСПДн;
3)
регистрацию действий пользователей при использовании защищаемых ресурсов ИСПДн в системных журналах и периодический контроль корректн
о
сти действий пользователей системы путем анализа содержимого этих журн
а
лов;
4)
контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения; 5)
защиту от несанкционированной модификации и контроль целостности используемых в ИСПДн программных средств, а также защиту системы о
т внедрения несанкцион
и
рованных программ;
6)
защиту ПДн от утечки по техническим каналам при ее обработке, хранении и п
е
редаче по каналам связи; 7)
защиту ПДн, хранимой, обрабатываемой и передаваемой по каналам связи, от н
е
санкционированного разглашения или иск
ажения; 8)
своевременное выявление источников угроз безопасности ПДн, причин и условий, способствующих нанесению ущерба субъектам ПДн, создание мех
а
низма оперативного реагирования на угрозы безопасности ПДн и негативные тенденции; 9)
создание условий для миним
изации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление нег
а
тивного влияния и ликвидация последствий нарушения безопасности ПДн.
6.
О
БЪЕКТЫ ЗАЩИТЫ
6.1.
Перечень информационных систем
В АОУ СПО ТО «Тюменск
ий медицинский колледж» производится обр
а
ботка персональных данных в информационных система обработки персонал
ь
ных данных (ИСПДн). Перечень ИСПДн определяется на основании Отчета по результатам внутренней проверки
.
6.2.
Перечень объектов защиты
Объектами защиты являются –
информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты. Перечень персональных данных, подлежащие защите, определ
ен в Перечне персональных данных, подлежащих защите в ИСПД
. Объекты защиты включают:
1)
о
брабатываем
ую
информаци
ю;
2)
т
ехнологическ
ую
информаци
ю;
3)
п
рограммно
-
технически
е средства обработки
;
4)
средства защиты ПДн;
5)
к
аналы информационного обмена и телекоммуникации
;
6)
о
бъекты и помещения, в которых размещены компоненты ИСПДн.
Концепция
информационной безопасности
ИСПДн ТМК
11
7.
К
ЛАССИФИКАЦИЯ ПОЛЬЗОВ
АТЕЛЕЙ ИСПД
Н
Пользователем ИСПДн является лицо, участвующее в функционировании
ИСПДн
или использующее результ
а
ты ее функционирования. Пользователем ИСПДн является любой сотрудник АОУ СПО ТО «Тюменский медицинский колледж»
, имеющий доступ к ИСПДн и ее ресурсам в соответствии с установленным порядком, в соответствии с его функциональн
ыми обяза
н
ностями.
Пользователи ИСПДн делятся на три основные категории: 1)
Администратор ИСПДн
–
сотрудник
АОУ СПО ТО «Тюменский медицинский колледж», который занимае
т
ся настройкой, внедрением и сопровождением системы. Администратор ИСПДн обладает сл
е
дующим
уровнем доступа:
обладает полной информацией о системном и прикладном пр
о
граммном обеспечении ИСПДн;
обладает полной информацией о технических средствах и конф
и
гурации ИСПДн;
имеет доступ ко всем техническим средствам обработки инфо
р
мации и данным ИСПДн;
обладает правами конфигурирования и административной настройки те
х
нических средств ИСПДн.
2)
Программист
-
разработчик ИСПДн
–
сотрудник
АОУ СПО ТО «Тюменский медицинский колледж» или ст
о
ронних организаций, которые занимаются разработкой программного обеспечени
я. Разработчик ИСПДн обладает следующим уровнем до
с
тупа:
обладает информацией об алгоритмах и программах обработки информ
а
ции на ИСПДн;
обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и с
о
провождения;
может располагать любыми фрагментами информации о топол
о
гии ИСПДн и технических средствах обработ
ки и защиты ПДн, обраб
а
тываемых в ИСПДн.
3)
Оператор ИСПДн
–
с
отрудники подразделений АОУ СПО ТО «Тюменский медицинский колледж», участву
ю
щие
в процессе эксплуатации ИСПДн. Оператор ИСПДн обладает следу
ю
щим уровнем доступа:
обладает всеми необходимыми атрибут
ами (например, паролем), обесп
е
чивающими доступ к некоторому подмножеству ПДн;
располагает конфиденциальными данными, к которым имеет до
с
туп.
Категории пользователей должны быть определены для каждой ИСПДн. Должно быть уточнено разделение сотрудников внутр
и категорий, в соответс
т
вии с типами пользователей определенными в Политике информационной безопасности
. Все выявленные группы пользователей отражаются в Отчете по результ
а
там внутренней проверки
.
На основании Отчета определяются права доступа к элементам ИСПДн для всех групп пользователей и отражаются в Матрице до
с
тупа в Положении о разграничении прав доступа к обрабатываемым перс
о
нальным данным
.
Концепция
информационной безопасности
ИСПДн ТМК
12
8.
О
СНОВНЫЕ ПРИНЦИПЫ ПОС
ТРОЕНИЯ СИСТЕМЫ КОМП
ЛЕКСНОЙ ЗАЩИТ
Ы ИНФОРМАЦИИ
Построение системы обеспечения безопасности ПДн ИСПДн АОУ СПО ТО «Тюменский медицинский колледж»
и ее функционирование должны осуществляться в соответствии со следующими основными принц
и
пами:
законность;
системность;
комплексность;
непрерывно
сть;
своевременность;
преемственность и непрерывность совершенствования;
персональная ответственность;
минимизация полномочий;
взаимодействие и сотрудничество;
гибкость системы защиты;
открытость алгоритмов и механизмов защиты; простота применения средств
защиты;
научная обоснованность и техническая реализуемость;
специализация и профессионализм;
обязательность контроля.
8.1. Законность
Предполагает осуществление защитных мероприятий и разработку СЗПДн АОУ СПО ТО «Тюменский медицинский колледж»
в соответс
твии с действующим законодательством в области защиты ПДн и других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их комп
е
тенции.
8.2. Системность
Системный подход к построению СЗПДн АОУ СПО ТО «Тюменский медицинский колледж» предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени эл
е
ментов, условий и факторов, существенно значимых для понимания и решения проблемы обеспеч
е
ния безопасности ПДн ИСПДн АОУ СПО ТО «Т
юменский медицинский колледж»
.
При создании системы защиты должны учитываться все слабые и наиб
о
лее уязвимые места системы обработки ПДн, а также характер, возможные об
ъ
екты и направления атак на систему со стороны нарушителей (особенно высококвалифицирова
нных злоумышленников), пути проникновения в распред
е
ленные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к и
н
формации, но и с учетом возможности появления принципиально новых путей
реализации угроз безопасности.
8.3. Комплексность
Комплексное использование методов и средств защиты предполагает согласованное применение разнородных средств при построении целостной си
с
темы защиты, перекрывающей все существенные (значимые) каналы реали
з
а
ции угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Защита должна строиться эшелонировано. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать нескол
ь
ко защитных рубежей. Создание защитных рубе
жей осуществляется с учетом того, чтобы Концепция
информационной безопасности
ИСПДн ТМК
13
для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми
м
е
рами. 8.4. Непрерывность защиты ПДн
Защита ПДн –
не разовое мероприятие и не простая совокупность пров
е
денных мероприятий и установленных средств защиты, а непрерывный
,
целенаправленный процесс
, пре
д
полагающий принятие соответствующих мер на всех этап
ах жизненного цикла ИСПДн.
ИСПДн должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом дол
ж
ны приниматься меры по недопущению перехода ИСПДн в незащищенное с
о
стояние.
Большинству физически
х и технических средств защиты для эффекти
в
ного выполнения своих функций необходима постоянная техническая и организационная (администрати
в
ная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, пер
е
определение по
лномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "з
а
кладок" и других средств преодоления системы защиты после во
сстановления ее функционир
о
вания.
8.5. Своевременность
Предполагает упреждающий характер мер обеспечения безопасности ПДн, то есть п
о
становку задач по комплексной защите ИСПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработки ИСПД
н в целом и ее системы защиты информации, в ч
а
стности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектир
о
вании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные си
с
темы. 8.6. Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты и
н
формации на основе преемственности организационных и те
хнических реш
е
ний, кадрового состава, анализа функционирования ИСПДн и ее системы защ
и
ты с учетом изменений в методах и средствах перехвата информации, норм
а
тивных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
8.7. Персональная ответственность Предполагает возложение ответственности за обеспечение безопасности ПДн и системы их обработки на каждого сотрудника в пределах его полном
о
чий. В соответствии с этим принципом распределение прав и обязанностей с
о
трудников стро
ится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к мин
и
муму.
Пользователи и обслуживающий персонал ПДн ИСПДн АОУ СПО ТО «Тюменский медицинский колледж» должны быть осведомлены о порядке работы с защищаемой и
нформацией и об ответственности за защиту
ПДн.
Концепция
информационной безопасности
ИСПДн ТМК
14
8.8. Принцип минимизации полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью, на основе принципа «все, что не разрешено, запрещено». Дос
туп к ПДн должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обяза
н
ностей.
8.9. Взаимодействие и сотрудничество Предполагает создание благоприятной атмосферы в коллективах подра
з
делений, обе
спечивающих деятельность ИСПДн АОУ СПО ТО «Тюменский медицинский колледж»
, для снижения вероятности возникновения негативных действий связанных с человеческим фактором. В такой обстановке сотрудники должны осознанно соблюдать устано
в
ленные правила и оказы
вать содействие в деятельности подразделений технической защиты информ
а
ции.
8.10. Гибкость системы защиты ПДн
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недост
а
точны
й уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающ
ую систему, не нарушая пр
о
цесса ее нормального функционирования. 8.11. Открытость алгоритмов и механизмов защиты Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности стру
к
т
урной организации и алгоритмов функционирования ее подсистем. Знание а
л
горитмов работы системы защиты не должно давать возможности ее преодол
е
ния (даже авторам). Однако, это не означает, что информация о конкретной системе защиты должна быть общедоступна.
8.12. Простота применения средств защиты Механизмы защиты должны быть интуитивно понятны и просты в и
с
пользовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополните
льных трудозатрат при обычной работе зарегистрированных уст
а
новленным порядком пользователей, а также не должно требовать от пользов
а
теля выполнения рутинных малопонятных ему операций (ввод нескольких п
а
ролей и имен и т.д.).
Должна достигаться автоматизаци
я максимального числа действий пол
ь
зователей и администраторов ИСПДн.
8.13. Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на совр
еме
н
ном уровне развития науки и техники, научно обоснованы с точки зрения до
с
тижения заданного уровня безопасности информации и должны соответств
о
вать установленным нормам и требованиям по безопасности ПДн.
СЗПДн должна быть ориентирована на решения, возмо
жные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практ
и
ческую проверку.
Концепция
информационной безопасности
ИСПДн ТМК
15
8.14. Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты информ
а
ции специализированных о
рганизаций, наиболее подготовленных к конкретному виду де
я
тельности по обеспечению безопасности ПДн, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация администрати
в
ных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специал
и
стами АОУ СПО ТО «Тюменский медицинский колледж»
.
8.15. Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных прави
л обеспечения безопасности ПДн на основе используемых систем и средств защиты информации при совершенств
о
вании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в отн
о
ше
нии любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охват
ы
вать как несанкционированные, так и санкционированные действия пользов
а
телей.
9.
М
ЕРЫ
,
МЕТОДЫ И СРЕДСТВА ОБ
ЕСПЕЧЕНИЯ ТРЕБУЕМОГ
О УРОВНЯ ЗАЩИЩЕННОСТ
И
Обеспечение требуемого уровня защищенности должности достигаться с использованием мер, методов и средств безопасности. Все меры обеспечения безопасности ИСПДн подразделяются на: законодательные (правовые); морально
-
этические; орга
низационные (административные); физические;
технические (аппаратные и программные). Перечень выбранных мер обеспечения безопасности отражается в Плане мероприятий по обеспечению защиты персональных данных
.
9.1. Законодательные (правовые) меры защиты
К правовым мерам защиты относятся действующие в Российской Федерации
законы, указы и нормативные акты, регламентирующие правила обращения с ПДн, закрепляющие права и о
бязанности участников информационных отношений в пр
о
цессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использ
о
ванию ПДн и являющиеся сдерживающим фактором для потенциа
льных нар
у
шителей. Правовые меры защиты носят в основном упреждающий, профилактич
е
ский характер и требуют постоянной разъяснительной работы с пользователями и обсл
у
живающим персоналом системы.
9.2. Морально
-
этические меры защиты
К морально
-
этическим мера
м относятся нормы поведения, которые тр
а
диционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательн
ы
ми, как законодательно утвержденные нормативные акты, однако, их несоблюдение вед
ет обычно к падению авторитета, престижа человека, группы лиц или орг
а
низации. Морально
-
этические нормы бывают как неписаные (например, общ
е
признанн
ые нормы честности и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписан
ий. Концепция
информационной безопасности
ИСПДн ТМК
16
Морально
-
этические меры защиты являются профилактическими и тр
е
буют постоянной работы по созданию здорового морального климата в колле
к
тивах подразделений. Морально
-
этические меры защиты снижают вероятность возникновения негативных действий связанных с человеческим фактором.
9.3. Организационные (административные) меры защиты
Организационные (административные) меры защиты –
это
меры орган
и
зационного характера, регламентирующие процессы функционирования ИСПДн, использование ресурсов ИСПДн, деятельност
ь обслуживающего пе
р
сонала, а также порядок взаимодействия пользователей с ИСПДн таким обр
а
зом, чтобы в наибольшей степени затруднить или исключить возможность ре
а
лизации угроз безопасности или снизить размер потерь в случае их реализации.
Главная цель адм
инистративных мер, предпринимаемых на высшем управленческом уровне –
сформировать Политику информационной безопасн
о
сти
ПДн (отражающую подходы к защите информации) и обеспечить ее выполнение, выд
е
ляя необходимые ресурсы и контролируя состояние дел.
Реализация Политики информационной безопасности ПДн в ИСПДн с
о
стои
т из мер административного уровня и организационных (процедурных) мер защиты информации.
К административному уровню от
носятся решения руководства, затраг
и
вающие деятельность ИСПДн в целом. Эти решения закрепляются в Политике информационной безопасности. Примером таких решений могут быть:
принятие решения о формировании или пересмотре комплексной пр
о
граммы обеспечения безо
пасности ПДн, определение ответственных за ее ре
а
лизацию;
формулирование целей, постановка задач, определение направлений деятельности в области безопасности ПДн;
принятие решений по вопросам реализации программы безопасности, которые рассматриваются на ур
овне АОУ СПО ТО «Тюменский медицинский колледж»
;
обеспечение нормативной (правовой) базы вопросов безопасности и т.п.
Политика верхнего уровня должна четко очертить сферу влияния и огр
а
ничения при определении целей безопасности ПДн, определить какими ресу
р
сами (материальными
, кадровыми
) они будут достигнуты и найти разумный ко
м
промисс между приемлемым уровнем безопасности и функциональностью ИСПДн.
На организационном уровне определяются процедуры и правила дост
и
жения целей и решения задач Политики информаци
онной безопасности ПДн. Эти правила определяют:
какова область применения политики безопасности ПДн;
каковы роли и обязанн
ости должностных лиц, отвечающих
за проведение полит
и
ки безопасности ПДн, а так же их ответственность;
кто имеет права доступа к ПДн;
какими мерами и средствами обеспечивается защита ПДн;
какими мерами и средствами обеспечивается контроль за соблюдением введенного режима безопасности.
Организационные меры должны:
предусматривать регламент информационных отношений, исключа
ю
щих возможность
несанкционированных действий в отношении объектов з
а
щиты;
определять коалиционные и иерархические принципы и методы разгр
а
ничения доступа к ПДн; определять порядок работы с программно
-
математическими и технич
е
скими
(аппаратными
) средствами защиты
,
и друг
их защитных механизмов;
Концепция
информационной безопасности
ИСПДн ТМК
17
организовать меры противодействия НСД пользователями на этапах аутентификации, авторизации, идентификации, обеспечивающих гарантии реализации прав и ответственности субъектов информационных о
т
ношений.
О
рганизационные меры должны сос
тоять из:
1)
регламента доступа в помещения ИСПДн;
2)
поряд
к
а
допуска сотрудников к использованию ресурсов ИСПДн АОУ СПО ТО «Тюменский медицинский колледж»
;
3)
регламента процессов ведения баз данных и осуществления модификации и
н
формационных ресурсов;
4)
регламента п
роцессов обслуживания и осуществления модификации аппара
т
ных и программных ресурсов ИСПДн;
5)
инструкций пользователей ИСПДн;
6)
инструкции
пользователя при в
озникновении внештатных ситуаций.
9.4. Физические меры защиты
Физические меры защиты основаны на примен
ении разного рода механ
и
ческих, электро
-
или электронно
-
механических устройств и сооружений, сп
е
циально предназначенных для создания физических препятствий на возможных путях проникновения и доступа поте
н
циальных нарушителей к компонентам системы и защищае
мой информации, а также техн
и
ческих средств визуального наблюдения, связи и охранной сигнализации. Физическая защита здания
, помещений, объектов и средств информат
и
зации должна осуществляться путем установления соответствующих постов охраны, с помощью тех
нических средств охраны или любыми другими спос
о
бами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контрол
и
р
уемой (охраняемой) зоны технических средств разведки.
9.5. Аппаратно
-
программные средства защиты ПДн
Технические (аппаратно
-
программные) меры защиты основаны на и
с
пользовании различных электронных устройств и специальных программ, вх
о
дящих в состав ИСПДн и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, кри
п
тографическое закрытие информации и т.д.).
С учетом всех требований
и принципов обеспечения безопасности ПДн в ИСПДн по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
средства идентификации (опознавания) и аутентификации (подтверждения по
д
линности) пользователей ИСПДн;
средства р
азграничения доступа зарегистрированных пользователей системы к ресурсам ИСПДн АОУ СПО ТО «Тюменский медицинский колледж»
;
средства обеспечения и контроля целостности программных и инфо
р
мационных ресурсов;
средства оперативного контроля и регистрации событ
ий безопасности
.
Успешное применение технических средств защиты на основании при
н
ципов (раздел 8
) предполагает, что выполнение перечисленных ниже требов
а
ний обеспечено организационными (административными) мерами и используемыми физическими средствами з
а
щит
ы:
обеспечена физическая целостность всех компонент
ов
ИСПДн; каждый сотрудник (пользователь ИСПДн) или группа пользователей имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы; Концепция
информационной безопасности
ИСПДн ТМК
18
все изменения конфигурации технических и программных средств ИСПДн производятся строго установленным порядком (регистрируются и ко
н
тролируются) только на основании распоряжений руководства АОУ СПО ТО «Тюменский медицинский колледж»
; с
етевое оборудование (
концентраторы, коммутаторы
, маршрутизаторы и т.п.) располагается в контролируемых местах (специальных п
о
мещениях, шкафах, и т.п.). специалистами АОУ СПО ТО «Тюменский медицинский колледж»
осуществляется непрерывное управление и админ
и
стративная поддержка функционирования средств защиты. 10.
К
ОНТРОЛЬ ЭФФЕКТИВНОСТ
И СИСТЕМЫ ЗАЩИТЫ ИСПД
Н Контроль эффективности СЗПДн должен осуществляется на периодич
е
ской основе. Целью контроля эффективности является своевременное выявл
е
ние ненадлежащи
х режимов работы СЗПДн (отключение средств защиты, н
а
рушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а так
же
прогнозирование и превентивное реагирование на новые угрозы безопасности ПДн.
Контроль может проводиться как админист
раторами ИСПДн (опер
а
тивный контроль в процессе информационного взаимодействия в ИСПДн), так и привлека
е
мыми для этой цели компетентными организациями, имеющими лицензию на этот вид де
я
тельности, а также ФСТЭК России и ФСБ России в пределах их компетенции.
Контроль может осуществляться администратором ИСПДн как с помощью штатных средств системы защиты ПДн, так и с помощью специал
ь
ных программных средств контроля.
Оценка эффективности мер защиты ПДн проводится с использованием технических и программных средс
тв контроля на предмет соответствия уст
а
новленным требованиям.
11.
С
ФЕРЫ ОТВЕТСТВЕННОСТИ
ЗА БЕЗОПАСНОСТЬ ПД
Н
Ответственным за разработку мер и контроль над обеспечением безопа
с
ности ПДн
является руководитель организации –
директор АОУ СПО ТО «Тюменский м
едицинский колледж»
. Директор колледжа
может делегировать часть полномочий по обеспечению безопасности перс
о
нальных данных
одному из своих заместителей на основании соответствующего приказа
.
Сфера ответственности руководителя включает следующие направления
обеспечения безопасности ПДн: 1)
п
ланирование и реализация мер по обеспечению безопасности ПДн;
2)
а
нализ угроз безопасности ПДн;
3)
р
азработку, внедрение, контроль исполнения и поддержание в актуал
ь
ном состоянии политик, руководств, концепций, процедур, регламен
тов, инструкций и других организационных документов по обеспеч
е
нию безопасности;
4)
к
онтроль защищен
ности ИСПДн от угроз информационной безопасности
пу
тем:
обучения и информирования
пользователей ИСПДн о порядке р
а
боты с ПДн и средствами защиты;
предотвращени
я, выявления
, реагировани
я
и р
асследования
нар
у
шений безопасности ПДн.
При взаимодействии со сторонними организациями в случаях, когда с
о
трудникам этих организаций предоставляется доступ к объектам защиты (ра
з
дел 6
), с этими организациями должно быть заклю
чено «Соглашение о конф
и
денциальности», либо «Соглашение о соблюдении режима безопасности ПДн при выполнении работ в ИСПДн». Подготовка типовых вариантов этих соглашений осуществляется совместно с юрисконсультом
.
Концепция
информационной безопасности
ИСПДн ТМК
19
12.
М
ОДЕЛЬ НАРУШИТЕЛЯ БЕЗ
ОПАСНОСТИ Под на
рушителем понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб объектам з
а
щиты (раздел 6
).
Нарушители подразделяются по признаку принадлежн
о
сти к ИСПДн. Все нарушители делятся на две группы:
внешние нарушители
–
фи
зические лица, не имеющие права преб
ы
вания на территории контролируемой зоны, в пределах которой размещается обор
у
дование ИСПДн;
внутренние нарушители
–
физические лица, имеющие право преб
ы
вания на территории контролируемой зоны, в пределах которой размеща
ется обор
у
дование ИСПДн.
Классификация нарушителей представлена в Модели угроз безопасности персональных данных
каждой ИСПДн.
13.
М
ОДЕЛЬ УГРОЗ БЕЗОПАСН
ОСТИ
Для И
СПДн АОУ СПО ТО «Тюменский медицинский колледж»
выделяются следующие основные категории угроз безопасности персональных данных: 1)
Угрозы утечки по техническим каналам.
2)
Угрозы несанкционированного доступа к информации:
у
грозы уничтожения, хищения аппаратных средств ИСПДн носителей и
н
формации путем физического доступа к элементам ИСПДн
;
у
грозы хищения, несанкционированной модификации или бл
о
кирования информации за счет несанкционированного доступа (НСД) с применением программно
-
аппаратных и программных средств
(в том числе программно
-
математических воздейс
т
вий);
у
грозы не преднамеренных действий пользователей и нар
у
шений безопасности функционирования ИСПДн и СЗПДн в ее составе из
-
за сб
о
ев в программном обеспечении, а также от угроз неантропогенного (сб
о
ев аппар
атуры из
-
за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) хара
к
тера;
у
грозы преднамеренных действий внутренних нарушителей
;
у
грозы несанкционированного доступа по каналам связи.
Описание угроз, вероя
тность их реализации, опасность и актуальность представлены в Модели угроз безопасности персональных данных
каждой ИСПДн.
14.
М
ЕХАНИЗМ РЕАЛИЗАЦИИ К
ОНЦЕПЦИИ
Реали
зация Концепции должна осуществляться на основе перспективных программ и планов, которые составляются на основании и во исполнение:
федеральных законов в области обеспечения информационной безопа
с
ности и защиты информации;
постановлений Правительства Росси
йской Федерации;
руководящих, организационно
-
распорядительных и методических д
о
кументов ФСТЭК России;
потребностей ИСПДн в средствах обеспечения безопасности информ
а
ции.
Концепция
информационной безопасности
ИСПДн ТМК
20
15.
О
ЖИДАЕМЫЙ ЭФФЕКТ ОТ Р
ЕАЛИЗАЦИИ К
ОНЦЕПЦИИ
Реализация Концепции безопасности ПДн
в ИСПДн позволит:
оценить состояние безопасности информации ИСПДн, выявить источники вну
т
ренних и внешних угроз информационной безопасности, определить приоритетные напра
в
ления предотвращения, отражения и нейтрализации этих угроз;
разработать распорядител
ьные и нормативно
-
методические документы примен
и
тельно к ИСПДн;
провести классификацию ИСПДн;
провести организационно
-
режимные и технические мероприятия по обеспечению безопасности ПДн в ИСПДн;
обеспечить необходимый уровень безопасности объектов защиты.
О
существление этих мероприятий обеспечит создание единой, целостной и скоординированной системы информационной безопасности ИСПДн и создаст условия для ее дал
ь
нейшего совершенствования.
16.
С
ПИСОК ИСПОЛЬЗОВАННЫХ
ИСТОЧНИКОВ
Основными нормативно
-
правовыми и
методическими документами, на которых базир
у
ется Концепция
являются:
1)
Федеральный Закон от 27.07.2006 г. № 152
-
ФЗ «О персональных да
н
ных».
2)
Федеральный закон от 25.07.2011
г.
№
261
-
ФЗ «О внесении изменений в Федеральный закон «О персональных данных»
.
3)
«Поло
жение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержде
н
ное Постановлением Правительства РФ от 17.11.2007 г. № 781.
4)
«Порядок проведения классификации информационных систем перс
о
нальных
данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и М
и
нинформсвязи РФ № 20 от 13.02.2008 г. 5)
«Положение об особенностях обработки персональных данных, осущ
е
ствляемой без использования средств автоматизации», утвержденное Постано
влением Правител
ь
ства РФ от 15.09.2008 г. № 687.
6)
Нормативно
-
методические документы Федеральной службы по техн
и
ческому и экспертному контролю Российской Федерации (
ФСТЭК
)
по обеспечению безопасности ПДн при их обработке в ИСПДн:
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК Ро
с
сии 15.02.08 г.;
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в
информационных си
с
темах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г.
;
Базовая модель угроз безопасности персональных данных при их обработке в информац
и
онных системах персональных данных, утв. Зам. директор
а ФСТЭК России 15.02.08 г.;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директор
а ФСТЭК России 15.02.08 г.
Автор
vicar27
Документ
Категория
Ведомственные документы
Просмотров
882
Размер файла
664 Кб
Теги
информационные, безопасности, концепция
1/--страниц
Пожаловаться на содержимое документа