5.4Рекомендации по разработке Концепции информационной безопасности
Концепция информационной безопасности, определяет принципы обеспечения безопасности.
Пример Концепции информационной безопасности.
Концепция должна:
Быть оформлена в соответствии с внутренним порядком документооборота Учреждения.
Быть утверждена Руководителем Учреждения.
При выявлении положений, специфичных для обработки ПДн в конкретном Учреждении, они должны быть добавлены в Концепцию.
5.5Рекомендации по разработке Политики информационной безопасности
Политика информационной безопасности, определяет категории конкретных мероприятий по обеспечению безопасности ПДн.
Пример Политики информационной безопасности.
Политика должна:
Быть оформлена в соответствии с внутренним порядком документооборота Учреждения.
Быть утверждена Руководителем Учреждения.
В соответствующем разделе Политики, должен быть уточнен перечень групп пользователей, обрабатывающих ПДн. Группы пользователей, их права, уровень доступа и информированность должны быть отражены так, как это отражается рабочим порядком в Учреждении.
5.6Рекомендации по разработке Перечня персональных данных, подлежащих защите
Перечень персональных данных содержит перечисление объектов защиты для каждой ИСПДн.
Пример Перечня персональных данных, подлежащих защите.
Перечень должен:
Быть оформлен в соответствии с внутренним порядком документооборота Учреждения.
Быть утвержден Руководителем Учреждения на основании Отчета о результатах проведения внутренней проверки.
Дата введения Перечня, должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки.
Перечень составляется для каждой выявленной ИСПДн.
В пунктах 2.6 («Каналы информационного обмена и телекоммуникации и далее для всех ИСПДн») и 2.7 («Объекты и помещения, в которых размещены компоненты ИСПДн») примера Перечня и далее для всех ИСПДн должны быть явно указаны каналы передачи и помещения.
Состав перечня должен быть уточнен в соответствии с реалиями конкретного Учреждения.
5.7Рекомендации по разработке Приказа о проведении внутренней проверки
Приказ о проведении внутренней проверки определяет положение о проведении внутренней проверки.
Пример Приказа о проведении внутренней проверки.
Приказ должен:
Быть оформлен в соответствии с внутренним порядком документооборота Учреждения.
Быть утвержден Руководителем Учреждения.
В приказе должен быть установлен срок проведения проверки.
В приказе должен быть указан состав комиссии по классификации ИСПДн. В состав комиссии рекомендуется включить ответственного за обеспечение безопасности, руководителей отделов, чьи подразделения участвуют в обработке персональных данных, технических специалистов, обеспечивающих поддержку технических средств. Также к участию в комиссии в качестве консультантов можно привлекать специалистов сторонних организаций.
В приказе должен быть указан сотрудник ответственный за контроль исполнения приказа.
Ответственным сотрудником может быть Руководитель Учреждения, лицо, отвечающее за обеспечение режима безопасности или проведение внутренней проверки, или любой другой сотрудник, на которого возложен контроль за выполнение приказа.
5.8Рекомендации по разработке Отчета о результатах проведения внутренней проверки
Отчет о результатах проведения внутренней проверки описывает текущее состояние режимов обработки и защиты ПДн.
Пример Отчета о результатах проведения внутренней проверки.
Отчет должен:
Быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником.
Отчет составляется на основании приказа о проведении внутренней проверки.
В отчете указывается место и адрес Учреждения, где проводится проверка. Если проверка проводится также в филиалах, это тоже должно быть указано.
В отчете должны быть перечислены названиях всех выявленных ИСПДн.
Для каждой выявленной ИСПДн должен быть выделен раздел в отчете.
Для каждой ИСПДн должна быть определена ее структура, для которой определяются ее технические и эксплуатационные характеристики, режимы обработки ПДн и характеристики безопасности (см. раздел 4 на стр. 25).
Заданные характеристики безопасности персональных данных
|
Типовая информационная система / специальная информационная система
|
Структура информационной системы
|
Автоматизированное рабочее место/ Локальная информационная система / Распределенная информационная система
|
Подключение информационной системы к сетям общего пользования и / или сетям международного информационного обмена
|
Имеется / не имеется
|
Режим обработки персональных данных
|
Однопользовательская / многопользовательская система
|
Режим разграничения прав доступа пользователей
|
Система с разграничение доступа / без разграничения доступа
|
Местонахождение технических средств информационной системы
|
Все технические средства находятся в пределах Российской Федерации / технические средства частично или целиком находятся за пределами Российской Федерации
|
Дополнительные информация
|
К персональным данным предъявляется требование целостности и / или доступности
|
Характеристики рекомендуется заполнять следующим образом:
Все системы Учреждений являются специальными.
Структура информационной системы может быть представлена как:
Автоматизированное рабочее место, если вся обработка ПДн производится в рамках одного рабочего места.
Локальная информационная система, если вся обработка ПДн производится в рамках одной локальной вычислительной сети.
Распределенная информационная система, если обработка ПДн производится в рамках комплекса автоматизированных рабочих мест и / или локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа. Т.е. элементы ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и / или международного обмена.
Подключение информационной системы к сетям общего пользования и / или сетям международного информационного обмена. Если ИСПДн или ее элементы имеют подключение к сети Интернет или другим сетям, вне зависимости обусловлено ли это служебной необходимостью – ИСПДн имеет подключение.
Режим обработки персональных данных. Система является однопользовательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройку и поддержку технических и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.
Режим разграничения прав доступа пользователей. Если в системе все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью, а вход под другими учетными записями не осуществляется, то ИСПДн не имеет системы разграничения прав доступа. Во всех других случаях ИСПДн имеет систему разграничения прав доступа.
Местонахождение технических средств информационной системы. Все ИСПДн Учреждений находятся на территории Российской Федерации.
Дополнительная информация. К ИСПДн Учреждений предъявляются требования целостности. Если также должно обеспечиваться требование доступности, то необходимо внести соответствующие изменения.
Для каждой ИСПДн должен быть определен перечень обрабатываемых персональных данных, а также состав объектов защиты. Примерный состав обрабатываемых персональных данных и объектов защиты описан в Перечне персональных данных, подлежащих защите.
На основании состава персональных данных должен быть сделан вывод о категории обрабатываемых персональных данных (ХПД) (см. раздел 4 на стр. 25).
Должен быть определен объем записей персональных данных (ХПДН). В ИСПДн объем ПДн может принимать значение:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2- в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3- в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
На основании категории персональных данных и их объема, ИСПДн присваивается класс (см. раздел 4 на стр. 25).
Для каждой ИСПДн должна быть нарисована конфигурация ИСПДн –схематичное взаиморасположение элементов системы. Конфигурация может быть нарисована в любом графическом редакторе.
При составлении конфигурации могут использоваться следующие условные обозначения:
 – Группа пользователей ИСПДн.
 – АРМ пользователей ИСПДн.
 – Сервер, например, почтовый, файловый, proxy сервер, сервер приложений и другие.
 – Сервер баз данных.
 – Межсетевой экран.
 – Сеть общего доступа и / или международного обмена, например, Интернет.
 – Направление информационного взаимодействия.
Пример конфигурации ИСПДн приведен на рисунке 1. Здесь показана ИСПДн, основным элементом которой является сервер баз данных ORACLE. К БД ORACLE осуществляют доступ Операторы и Разработчики ИСПДн, авторизуясь под своими доменными учетными записями в домене Domain.
К БД ORACLE также имеют удаленный доступ Операторы филиала. Удаленный доступ организуется по сети общего пользования и международного обмена – Интернету. Операторы филиала вначале авторизуются в своем домене Domain-F, подключаются по сети Интернет к терминальному серверу Terminal Server, авторизуясь на нем под учетной записью основного домена Domain. Затем Операторы филиала авторизуются в БД ORACLE.
Рисунок 1
Для каждой ИСПДн должно быть нарисовано территориальное расположение ИСПДн относительно контролируемой зоны. Расположение ИСПДн относительно контролируемой зоны может быть нарисовано в любом графическом редакторе.
При составлении конфигурации могут использоваться следующие условные обозначения:
– АРМ пользователей ИСПДн.
– Серверы ИСПДн.
Пример расположение ИСПДн относительно контролируемой зоны приведен на рисунке 2.
Рисунок 2
Для каждой ИСПДн должна быть описана структура обработки ПДн. Структура обработки должна включать всю последовательность шагов по вводу ПДн, их обработке, передаче в другие ИСПДн и другим процессам. Структура обработки ПДн может быть описана как в текстовом, так и в графическом виде.
Пример описания структуры ИСПДн:
Сотрудник Регистратуры авторизуется на своем рабочем месте в ОС Windows XP в домене.
Сотрудник авторизуется в программе Медиалог.
Сотрудник вносит в программу данные из больничной карты пациента.
Данные хранятся на сервере MS SQL Server.
Для каждой ИСПДн должны быть определены группы пользователей участвующие в обработке ПДн. Список групп берется из Политики информационной безопасности. Для всех групп должен быть определен перечень прав и уровень доступа. Все это необходимо отразить в Матрице доступа.
Таблица 1 – Пример матрицы доступа
Группа
|
Уровень доступа к ПДн
|
Разрешенные действия
|
Сотрудники отдела
|
Администраторы ИСПДн
|
Обладают полной информацией о системном и прикладном программном обеспечении ИСПДн.
Обладают полной информацией о технических средствах и конфигурации ИСПДн.
Имеют доступ ко всем техническим средствам обработки информации и данным ИСПДн.
Обладают правами конфигурирования и административной настройки технических средств ИСПДн.
|
сбор
систематизация
накопление
хранение
уточнение
использование
уничтожение
|
Отдел информационных технологий
|
Администратор безопасности
|
Обладает правами Администратора ИСПДн.
Обладает полной информацией об ИСПДн.
Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн.
Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
|
сбор
систематизация
накопление
хранение
уточнение
использование
уничтожение
|
Петров П.П.
|
Операторы ИСПДн с правами записи
|
Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн.
|
сбор
систематизация
накопление
хранение
уточнение
использование
уничтожение
|
Отдел регистратуры
|
Операторы ИСПДн с правами чтения
|
Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ к подмножеству ПДн.
|
|
Сотрудники call-центра
|
Для каждой ИСПДн должен быть определен поименный список сотрудников, участвующих в обработке.
Для каждой ИСПДн должны быть определены угрозы безопасности персональных данных. Список угроз безопасности определяется на основании Методических рекомендаций по составлению модели угроз, раздел 7.4.
Для каждой ИСПДн должны быть определены имеющиеся технические меры защиты. Должны быть описаны все меры защиты как штатного ПО (операционные системы и программы), так и специально установленных систем безопасности (перечень возможных специальных систем безопасности описан в Политике информационной безопасности, раздел 4).
Таблица 2 – Пример описания технических средств защиты
Элемент ИСПДн
|
Программное средство обработки ПДн
|
Установленные средства защиты
|
АРМ пользователя
|
ОС Windows XP
Браузер
|
Средства ОС:
- управление и разграничение доступа пользователей;
- регистрация и учет действий с информацией.
Антивирус НАЗВАНИЕ
- регистрация и учет действий с информацией;
- обеспечение целостности данных;
- обнаружение вторжений.
|
АРМ администратора
|
ОС Windows XP
Клиент приложения
|
Средства ОС:
- управление и разграничение доступа пользователей;
- регистрация и учет действий с информацией.
Антивирус НАЗВАНИЕ
- регистрация и учет действий с информацией;
- обеспечение целостности данных;
- обнаружение вторжений.
|
Сервер приложений
|
OS Windows Server 2007
|
Средства ОС:
- управление и разграничение доступа пользователей;
- регистрация и учет действий с информацией;
- обеспечение целостности данных.
Антивирус НАЗВАНИЕ
- регистрация и учет действий с информацией;
- обеспечение целостности данных;
- производить обнаружений вторжений.
|
СУБД
|
БД ORACLE
|
Средства БД
Средства ОС:
- управление и разграничение доступа пользователей;
- регистрация и учет действий с информацией;
- обеспечение целостности данных.
- обнаружение вторжений.
|
Граница ЛВС
|
|
Межсетевой экран:
- управление и разграничение доступа пользователей;
- регистрацию и учет действий с информацией;
- обеспечение целостности данных.
- обнаружение вторжений.
|
Каналы передачи
|
|
СКЗИ НАЗВАНИЕ
Средства СКЗИ:
- управление и разграничение доступа пользователей;
- регистрация и учет действий с информацией;
- обеспечение целостности данных.
|
Для каждой ИСПДн должны быть определены имеющиеся организационные меры защиты. Перечень возможных организационных мер представлен в Плане мероприятий по обеспечению защиты ПДн.
Для каждой ИСПДн должны быть определены необходимые меры по снижению опасности актуальных угроз. Анализ актуальности угроз производится на основании Методических рекомендаций по составлению модели угроз, раздел 10.
Перечень возможных организационных мер представлен в Плане мероприятий по обеспечению защиты ПДн.
|
