7.8Рекомендации по применению программно- аппаратных средств для подсистемы анализа защищенности
Подсистема анализа защищенности не является обязательной для всех типов ИСПДн (см. раздел 6.2). Выбор средств подсистемы анализа защищенности следует осуществлять на основании наличия сертификата ФСТЭК России.
7.9Рекомендации по применению программно- аппаратных средств для подсистемы обнаружения вторжений
Подсистема обнаружения вторжений не является обязательной для всех типов ИСПДн (см. раздел 6.2). Выбор средств подсистемы обнаружения вторжений следует осуществлять на основании наличия сертификата ФСТЭК России.
8Рекомендации по проведению аттестационных испытаний и по декларированию соответствия для ИСПДн Учреждений
После реализации организационно-технических мероприятий по приведению ИСПДн в соответствие с требованиями Закона, учреждения и организации Минздравсоцразвития России должны провести аттестационные испытания (аттестацию проводит контролирующий орган или специально уполномоченный контролирующим органом лицензиат) или составить декларацию соответствия ИСПДн классу.
Аттестация ИСПДн обязательна для систем К1, К2. Аттестационные испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК России, и состоят из следующих этапов:
Анализ ИСПДн учреждения, изучение вновь принятых решений по обеспечению безопасности информации и включают проверку:
организационно-технических мероприятий по обеспечению безопасности ПДн;
защищенности информации от утечек по техническим каналам (ПЭМИН);
защищенности информации от НСД.
По результатам аттестационных испытаний принимается решение о выдаче «Аттестата соответствия» информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на 3 года.
Декларирование соответствия – это подтверждение соответствия характеристик ИСПДн предъявляемым к ней требованиям, установленным законодательством Российской Федерации, руководящими и нормативно-методическими документами ФСТЭК России и ФСБ России. Декларирование соответствия может осуществляться на основе собственных доказательств учреждения или на основании доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии.
В случае проведения декларирования на основе собственных доказательств Учреждение самостоятельно формирует комплект документов, таких как техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к классу К3. Для информационных систем К4 оценка соответствия не регламентируется и осуществляется по решению учреждения.
Декларации о соответствии, полученные на основе собственных доказательств и с участием третьей стороны, имеют одинаковую юридическую силу. Также они имеют действие, аналогичное действию сертификата (аттестата) соответствия, и также действительны на территории всей страны и стран, признающих разрешительные документы системы ГОСТ Р в течение всего срока действия. Инструкция по составлению декларации см. в Приложении.
Заключение
На основании данных Методических рекомендаций необходимо подготовить необходимый комплект документов (см. Приложение). Документы оформляются в соответствии с положениями раздела 5.
В случае возникновения вопросов по использованию данных методических рекомендаций обращайтесь по телефону Многоканального круглосуточного ежедневного Call-Центр Министерства здравоохранения и социального развития Российской федерации для специалистов учреждений здравоохранения, социальной сферы, труда и занятости по вопросам защиты информации:
8-800-100-3984 (звонок бесплатный).
9Список использованных источников
Разработка Методических рекомендаций была осуществлена в соответствии со следующими нормативными документами:
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы О защите физических лиц при автоматической обработке персональных данных»
Федеральный закон от 10 января 202 года № 1-ФЗ «Об электронной цифровой подписи»
Указ Президента Российской Федерации от 12 мая 2009 года № 537 “О стратегии национальной безопасности Российской Федерации до 2020 года”.
Доктрина информационной безопасности Российской Федерации. Утверждена Президентом Российской Федерации 9 сентября 2000 года № Пр-1895
Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»
Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»
Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и / или производству средств защиты конфиденциальной информации»
Постановление Правительства Российской Федерации от 26 июня 1995 года № 608 «О сертификации средств защиты информации»
Постановление Правительства Российской Федерации от 28 февраля 1996 года № 226 «О государственном учете и регистрации баз и банков данных»
Постановление Правительства Российской Федерации от 3 ноября 1994 года № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»
Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994г.
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утвержден Председателем Гостехкомиссии России 25 июля 1997 г.
Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114
Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. № 187 (часть 1, часть 2, часть 3)
Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144.
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622
Шаблоны документов и инструкции по их заполнению
Учреждениям Минздравсоцразвития России в обязательном порядке необходимо самостоятельно или с привлечением лицензиатов ФСТЭК России разработать и утвердить следующие внутренние нормативные документы по защите персональных данных:
Положение о защите персональных данных.
Положение о подразделении по защите информации.
Приказ о назначении ответственных лиц за обработку ПДн.
Перечень персональных данных, подлежащих защите.
Приказ о проведении внутренней проверки.
Отчет о результатах проведения внутренней проверки.
Акт классификации информационной системы персональных данных угроз для конкретной ИСПДн.
Положение о разграничении прав доступа к обрабатываемым персональным данным.
Модель угроз безопасности персональных данных угроз для конкретной ИСПДн.
План мероприятий по обеспечению защиты ПДн.
Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.
Должностные инструкции сотрудников, обрабатывающих ПДн:
Должностная инструкция администратора ИСПДн.
Инструкция пользователя ИСПДн.
Должностная инструкция администратора безопасности ИСПДн.
Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
План внутренних проверок.
Журнал по учету мероприятий по контролю состояния защиты ПДн.
Журнал учета обращений субъектов ПДн о выполнении их законных прав.
Положение об Электронном журнале обращений пользователей информационной системы к ПДн.
Копия уведомления Роскомнадзора с исходящим номером и датой подписания
Для правильного выполнения технических мероприятий желательно иметь следующие документы:
Концепция информационной безопасности ИСПДн учреждения.
Политика информационной безопасности ИСПДн учреждения.
Техническое задание на разработку системы обеспечения безопасности ИСПДн.
Эскизный проект на создание системы обеспечения безопасности ИСПДн.
Настоящие методические рекомендации содержат шаблоны перечисленных выше основных требуемых внутренних нормативных документов по защите персональных данных. После учета специфики учреждения эти документы необходимо ввести в действие приказом по учреждению.
|
