Требования по уровню обеспечения безопасности
С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, информационные системы персональных данных классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе;
присвоение информационной системе соответствующего класса и его документальное оформление.
При проведении классификации информационной системы учитываются следующие исходные данные:
категория обрабатываемых в информационной системе персональных данных;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе);
заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.
В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
Результаты классификации информационных систем оформляются соответствующим Актом классификации.
Состав мероприятий по обеспечению безопасности персональных данных
Мероприятия по обеспечению безопасности персональных данных должны носить комплексный характер и включать в себя правовые, организационные и технические меры, описанные в настоящем Положении.
Порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются настоящим Положением.
Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Ответственными за реализацию указанных мер являются руководители структурных подразделений ОУ.
Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой с использованием средств автоматизации
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных должны включать в себя:
определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
учет лиц, допущенных к работе с персональными данными в информационной системе;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
описание системы защиты персональных данных.
К методам и способам защиты информации в информационных системах персональных данных относятся:
методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от несанкционированного доступа);
методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам).
Методами и способами защиты информации от несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.
При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с указанными методами и способами, основными методами и способами защиты информации от несанкционированного доступа являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.
Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки акустической речевой информации, угрозы утечки видовой информации и угрозы утечки информации по каналам побочных электромагнитных излучений и наводок.
Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса могут применяться следующие методы и способы защиты информации:
использование технических средств в защищенном исполнении;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
размещение объектов защиты в соответствии с предписанием на эксплуатацию;
размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.
В информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники.
При применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем для информационной системы 1 класса реализуются методы и способы защиты акустической (речевой) информации.
Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами.
Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки персональных данных в информационной системе.
Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.
Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств, в том числе средств криптографической защиты информации.
Система защиты персональных данных
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Разработка системы защиты персональных данных, частных моделей угроз, моделей нарушителя осуществляется специализированной организацией на основании специального разрешения (лицензии) на осуществление данного вида деятельности.
Частные модели угроз и нарушителя
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.
Под угрозами безопасности персональных данных при их обработке в информационной системы персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Частная модель угроз решает следующие задачи:
анализ защищенности информационной системы персональных данных от угроз безопасности персональных данных в ходе учреждении и выполнения работ по обеспечению безопасности персональных данных;
разработка системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационной системы персональных данных;
проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональных данных и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение воздействия на технические средства информационной системы персональных данных, в результате которого может быть нарушено их функционирование;
контроль обеспечения уровня защищенности персональных данных.
Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных ОУ должна содержать систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах пер�сональных данных, обусловленных преднамеренными или непреднамеренными действиями физических лиц, действиями зарубеж�ных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нару�шения безопасности персональных данных, которые ведут к ущербу жизненно важным интересам личности, общества и государства.
Частная модель угроз содержит единые исходные данные по угрозам безопас�ности персональных данных, обрабатываемых в информационной системе персональных данных, связанным:
с перехватом (съемом) персональных данных по техническим каналам с целью их копи�рования или неправомерного распространения;
с несанкционированным, в том числе случайным, доступом в информационной системы персональных данных с целью изменения, копирования, неправомерного распространения персональных данных или деструктивных воздействий на элементы информационной системы персональных данных и обрабатываемых в них персональных данных с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования персональных данных.
Состав и содержание угроз безопасности персональным данным определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случай�ного, доступа к персональным данным.
Совокупность таких условий и факторов формируется с учетом харак�теристик информационной системы персональных данных, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей и источников угроз.
При обеспечении безопасности персональных данных с использованием криптографических средств защиты информации производится нейтрализация атак, готовящимися и проводимыми нарушителями, причем возможности проведения атак обусловлены их возможностями. С учетом этого все возможные атаки определяются моделью нарушителя.
Модель нарушителя тесно связана с частной моделью угроз и, по сути, является ее частью. Смысловые отношения между ними следующие:
в частной модели угроз содержится максимально полное описание угроз безопасности объекта;
модель нарушителя содержит описание предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Средства защиты информации
Средства защиты информации, применяемые в информационных системах персональных данных, в установленном порядке проходят процедуру оценки соответствия.
Технические и программные средства обработки персональных данных должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Эксплуатация средств защиты информации должна осуществляться строго в соответствии с эксплуатационной документацией на такие средства. Сотрудники ОУ, эксплуатирующие средства защиты информации должны быть ознакомлены с такой документацией под роспись.
Требования к помещениям, в которых производится обработка персональных данных
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
В ОУ специальное оборудование помещений, в которых ведется работа с персональными данными, осуществляется в соответствии с РД 78.36.003-2002 «Инженерно-техническая укрепленность. Технические средства охраны. Требования и нормы проектирования по защите объектов от преступных посягательств».
Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, должны соответствовать требованиям пожарной безопасности, установленными действующим законодательством Российской Федерации.
В ОУ охрана помещений, в которых ведется работа с персональными данными, осуществляется в соответствии с локальными нормативными актами, разрабатываемыми службой безопасности.
Определения уровня специального оборудования помещения осуществляется специально создаваемой комиссией. По результатам определения класса и обследования помещения на предмет его соответствия такому классу составляются Акты.
Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, предъявляются дополнительные требования, определяемые методическими документами ФСБ России.
Требования к содержанию организационных мероприятий по обеспечению безопасности
Наряду с режимом ограничения доступа к персональным данным с целью обеспечения безопасности персональных данных в ОУ проводятся следующие мероприятия:
создание и уточнение технологического паспорта, определяющего техническую составляющую информационных систем персональных данных;
создание и уточнение технических паспортов на объекты информатизации, входящие в состав информационных систем персональных данных;
разрабатываются инструкции по конкретизации отдельных действий, направленных на обеспечение безопасности персональных данных;
создание комиссии по классификации информационных систем персональных данных;
создание актов классификации информационных систем персональных данных.
Состав организационных мероприятий по обеспечению безопасности персональных данных может уточняться в зависимости от конкретных условий функционирования информационных систем персональных данных в ОУ.
Разработка, согласование и утверждение указанных документов осуществляется аналогично документам, создаваемых в рамках режима ограничения доступа к персональным данным.
Требования к персоналу, задействованному в обработке персональных данных
Лица, доступ которых к персональным данным, обрабатываемым в информационных системах ОУ, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Руководителем ОУ.
Лица, обрабатывающие персональные данные обязаны:
знать и выполнять действующее законодательство в области персональных данных;
знать и выполнять локальные нормативные документы ОУ по вопросам обработки и обеспечения безопасности персональных данных;
правильно эксплуатировать средства защиты информации, в соответствии с документацией к ним.
Требования к порядку передачи (пересылки) носителей информации, содержащих персональные данные
Передача (пересылка) носителей информации, содержащих персональные данные должна осуществляться способом, исключающим несанкционированный доступ к такой информации. Факт передачи (пересылки) таких носителей должна оформляться в Журнале учета лиц (организаций), получивших доступ к персональным данным, и (или) лиц (организаций), которым такая информация была предос�тавлена или передана.
Требования к техническим средствам, системному программному обеспечению и их настройкам
Требования к техническим средствам, системному программному обеспечению и их настройкам определяются требованиями документов по оценке соответствия средств защиты информации, заводской и эксплуатационной документации на них.
Регламент оценки соответствия требованиям по безопасности информации
Порядок оценки соответствия информационных систем персональных данных требованиям безопасности информации осуществляется в порядке, определяемом действующим законодательством Российской Федерации и Программой такой оценки. Программу проведения оценочных испытаний разрабатывает организация, проводящая такую оценку. Программа согласовывается с ОУ.
Программа оценки соответствия информационных систем персональных данных требованиям безопасности информации должна содержать:
перечень работ и их продолжительность;
методики испытаний (или используются типовые методики);
количественный и профессиональный состав оценочной комиссии;
необходимость использования контрольной аппаратуры и тестовых средств.
Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации.
По результатам оценки соответствия информационных систем персональных данных требованиям безопасности информации оформляются протоколы и заключение о соответствии таким требованиям. На основании заключения, в случае получения положительного решения о соответствии информационной системы персональных данных предъявляемым требованиям по обеспечению безопасности персональных данных, оформляется документ, подтверждающий выполнение требований по безопасности информации.
Порядок контроля за соблюдением требований по обработке и обеспечению безопасности персональных данных
Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности данных
С целью соблюдения законности обработки и обеспечения безопасности персональных данных в ОУ проводится периодический контроль за соблюдением установленных требований по данным вопросам.
Контроль за исполнением нормативных актов ОУ по вопросам обработки и обеспечения безопасности персональных данных возлагается на заместителя Руководителя ОУ.
Основными вопросами внутреннего контроля являются:
соответствие документации по вопросам персональных данных реальному положению дел;
соблюдение лицами, допущенными к обработке персональных данных, всех требований, установленными локальными нормативными актами по вопросам персональных данных в ОУ.
проверка соблюдения защиты прав субъектов персональных данных, путем анализа их обращений и действий совершаемыми сотрудниками ОУ в связи с этими обращениями.
Порядок внешнего контроля за соблюдением требований по обработке и обеспечению безопасности данных
Законодательство в области персональных данных определяет следующие контролирующие органы по вопросам обработки и обеспечения безопасности персональных данных:
уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства в области персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи;
контроль и надзор за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Порядок проведения контроля устанавливается соответствующими административными регламентами. При этом уполномоченный орган по защите прав субъектов персональных данных имеет право:
запрашивать информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении законодательства в области персональных данных.
Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
Ответственность за нарушение норм, регулирующих обработку персональных данных
Лица, допустившие нарушений правил обработки или обеспечения безопасности персональных данных несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Мероприятия при возникновении обстоятельств непреодолимой силы (форс-мажор)
В случае возникновения обстоятельств непреодолимой силы, возникших в результате событий чрезвычайного характера, которые ОУ не могло предвидеть и предотвратить разумными мерами, должностные лица ОУ обязаны принять все возможные меры по недопущению нарушения прав субъектов персональных данных.
К обстоятельствам непреодолимой силы относятся события, на которые ОУ не могло оказывать влияние и за возникновение которых оно не несет ответственности: землетрясение, наводнение, пожар, забастовки, насильственные или военные действия любого характера, решения органов государственной власти препятствующие исполнению требований законодательства в области персональных данных.
Надлежащим доказательством наличия указанных выше обстоятельств будут служить официальные документы ОУ и органов государственной власти Российской Федерации.
ОУ в случае возникновении указанных выше обстоятельств и нарушении прав субъектов персональных данных, связанных с такими обстоятельствами, обязано известить субъектов персональных данных любым доступным способом.
Мероприятия по обработке персональных данных при ликвидации или реорганизации ОУ
При ликвидации ОУ все носители персональных данных подлежат уничтожению установленным настоящим Положением способом, за исключением носителей, подлежащих в соответствии с действующим законодательством Российской Федерации передаче в организацию-учредитель ОУ.
При реорганизации ОУ в форме слияния, присоединения и преобразования решение о необходимости уничтожения персональных данных или передаче их вновь образуемому образовательному учреждению принимается в соответствии с действующим законодательством Российской Федерации.
| | | | |
|
|
|
|
|
|
Перечень документов по разработке
|
Положения о персональных данных в ОУ
|
|
|
|
|
| |
