Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - Испдн требования к помещению

Испдн требования к помещению

Практическое руководство по выполнению требований 152-ФЗ

Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании. Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела. Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

10 апреля 2015 Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства.

Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход. Отношение Операторов персональных данных к требованиям законодательства разнообразно.

Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.

Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным. При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить.

Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций. Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее. Каждый оператор, приступая к работе, задается вопросом — с чего начать?

Определимся с нормативной базой, на которую будем опираться.

  • .
  • .
  • .

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет.

От этого будет зависеть подход к защите.

Как определить, ГИС перед нами или нет, описано в отдельной . Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС». Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы.

Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных».
В общем случае алгоритм выглядит так:

  • На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
  • Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  • На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  • По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  • Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  1. связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  2. связанные с наличием недекларированных возможностей в системном программном обеспечении;
  3. не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности.

Определяем, к какому максимальному типу они относятся. Следующим шагом необходимо определить категорию обрабатываемых данных.

Существуют следующие категории персональных данных:

  1. биометрические;
  2. иные.
  3. специальные;
  4. общедоступные;

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн.

Здесь возможны 3 вариации:

  1. более 100 тысяч;
  2. до 100 тысяч;
  3. ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей: Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.
Для этого определяются дополнительные к предыдущему разделу показатели:

  • Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.
  • Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС. Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17. В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС.

Назовем его базовый набор мер. Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе.

Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер.

На выходе получаем дополненный адаптированный базовый набор мер.

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ. Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации.

Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации.

На этом этапе привлекаются оказывающие соответствующие услуги. При самостоятельном внедрении . Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства. Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения.

Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой.

Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации. В результате данного подхода получаем систему защиты информации.

Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации. Система защиты информации внедрена и принята в эксплуатацию.

Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив.

Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.

Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами. Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур» Загрузить ещё

Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. Москва «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Зарегистрирован в Минюсте РФ 18 августа 2014 г. Регистрационный N 33620 В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г.

N 152-ФЗ «О персональных данных»1 приказываю: утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. Директор А. Бортников 1Собрание законодательства Российской Федерации, 2006, N 31 (ч.

I), ст. 3451; 2009, N 48, ст.

5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст.

6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст.

1651; N 30 (ч. I), ст. 4038. Приложение Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности I.

Общие положения 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

2. Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах.

3. Применение организационных и технических мер, определенных в настоящем документе, обеспечивает оператор с учетом требований эксплуатационных документов на СКЗИ, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах. 4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ и требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области.

II. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 4 уровня защищенности 5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N11191 (далее — Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; б) обеспечение сохранности носителей персональных данных; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

6. Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее — Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем: а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений; б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях; в) утверждения перечня лиц, имеющих право доступа в Помещения.

7. Для выполнения требования, указанного в подпункте «б» пункта 5 настоящего документа, необходимо: а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов); б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров. 8. Для выполнения требования, указанного в подпункте «в» пункта 5 настоящего документа, необходимо: а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

9. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее — атака), которое достигается путем: а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак; б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ; в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше.

10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих: а) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ; б) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ2; в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона)3; г) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак: внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программых средств, совместно с которыми штатнофункционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее — СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ; внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ; д) проведение атак на этапе эксплуатации СКЗИ на: персональные данные; ключевую, аутентифицирующую и парольную информацию СКЗИ; программные компоненты СКЗИ; аппаратные компоненты СКЗИ; программные компоненты СФ, включая программное обеспечение BIOS; аппаратные компоненты СФ; данные, передаваемые по каналам связи; иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее — АС) и программного обеспечения (далее — ПО); е) получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть «Интернет») информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация: общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы); сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ; содержание конструкторской документации на СКЗИ; содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ; общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ; сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее — канал связи); все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами; сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ; сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ; сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ; ж) применение: находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ; специально разработанных АС и ПО; з) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки: каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами; каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ; и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети; к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее — штатные средства). 11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей: а) проведение атаки при нахождении в пределах контролируемой зоны; б) проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты СФ.

Помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее — СВТ), на которых реализованы СКЗИ и СФ; в) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ; г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. 12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей: а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ; б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

13. СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 — 12 настоящего документа и не менее одной из следующих дополнительных возможностей: а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО; б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий; в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ. 14. СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 — 13 настоящего документа и не менее одной из следующих дополнительных возможностей: а) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО; б) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ; в) возможность располагать всеми аппаратными компонентами СКЗИ и СФ.

15. В процессе формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, дополнительные возможности, не входящие в число перечисленных в пунктах 10 — 14 настоящего документа, не влияют на порядок определения требуемого класса СКЗИ. III. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 3 уровня защищенности 16.

В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе. 17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе. 18. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом «в» пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе: СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа; СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

IV. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 2 уровня защищенности 19. В соответствии с пунктом 15 Требований к защите персональных данных для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5 и 16 настоящего документа, необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо: а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии; б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений; в) обеспечение информационной системы автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений; г) обеспечение периодического контроля работоспособности указанных в подпунктах «б» и «в» настоящего пункта автоматизированных средств (не реже 1 раза в полгода). 21. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом «в» пункта 9 и пунктом 18 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе: СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа; СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа; СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа. V. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для 1 уровня защищенности 22.

В соответствии с пунктом 16 Требований к защите персональных данных для обеспечения 1 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5, 16 и 19 настоящего документа, необходимо выполнение следующих требований: а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) создание отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение его функций на одно из существующих структурных подразделений. 23. Для выполнения требования, указанного в подпункте «а» пункта 22 настоящего документа, необходимо: а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе.

Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора; в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц). 24. Для выполнения требования, указанного в подпункте «б» пункта 22 настоящего документа, необходимо: а) провести анализ целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе; б) создать отдельное структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо возложить его функции на одно из существующих структурных подразделений.

25. Для выполнения требования, указанного в подпункте «а» пункта 5 настоящего документа, для обеспечения 1 уровня защищенности необходимо: а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения; б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения. 26. Для выполнения требования, указанного в подпункте «г» пункта 5 настоящего документа, необходимо вместо мер, предусмотренных подпунктом «в» пункта 9, пунктами 18 и 21 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе: СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа; СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа. 1 Собрание законодательства Российской Федерации, 2012, N 45, 6257.

2 К этапам жизненного цикла СКЗИ относятся разработка (модернизация) указанных средств, их производство, хранение, транспортировка, ввод в эксплуатацию (пусконаладочные работы), эксплуатация.

3 Границей контролируемой зоны могут быть периметр охраняемой территории предприятия (учреждения), ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

Техническая защита персональных данных в информационных сетях организаций

/ / 25 декабря 2020 ГК «Интегрус» оказывает полный комплекс услуг по построению системы технической защиты персональных данных (ПДн). Нами предлагается выбор адекватных угрозам средств защиты, предотвращающих:

  1. ее несанкционированное использование, модификацию, распространение;
  2. неправомерный доступ к персональной информации сотрудников, клиентов, поставщиков, пользователей информационных систем (ИС);
  3. утечку при хранении, обработке и в момент передачи по каналам связи.

Техническая защита персональных данных в информационных системах в организациях и на предприятиях бывает активной, пассивной и организационной. Пассивные методы технической защиты, как правило, требуют больших капиталовложений и серьезной доработки помещений любого центра обработки данных (ЦОД):

  1. использование железобетонных конструкций с повышенным содержанием металла (в качестве дополнительного экрана от электромагнитных помех и повышенной надежности от взлома) для возведения зданий ЦОДов (альтернатива – отделка помещений листовой сталью).
  2. установка решеток на окна, металлических входных дверей, турникетов, запорной арматуры на межкомнатные двери и т.д.;
  3. отделка помещений звукоизоляционными материалами;

На практике пассивные методы в системах технической защиты персональных данных используются редко и (или) частично.

С одной стороны, это очень дорого.

С другой, часто невозможно технически (экономически нецелесообразно) или требует проведения строительно-монтажных работ «с нуля». Почти всегда доступны для использования следующие пассивные средства технической защиты информации и персональных данных:

  1. фильтры для электрических сетей (в том числе слаботочных);
  2. замена запорной аппаратуры
  3. разделительные и распределительные электрощиты;

Одновременно пассивными и активными методами технической защиты информации в организациях и на предприятиях являются:

  1. антижучки, подавители, генераторы шума, устройства обнаружения скрытых видеокамер, детекторы радиокоммуникаций, индикаторы магнитного поля;
  2. звукоизоляционная и звукоусилительная аппаратура, колонки и микрофоны, пульты управления оборудованием в защищенном исполнении;
  3. сетевые помехоподавляющие фильтры для защиты от высокочастотных наводок.
  4. специализированные средства для защиты речевой информации от утечки по акустическом, виброакустическим каналам, цепям заземления, электропитания;

Активные методы защиты ПДн применяются, когда контролируемая зона информационной системы превышает площадь объекта или когда использование пассивных средств нецелесообразно экономически или невозможно технически. К активным методам относятся:

  1. электромагнитное или ультразвуковое подавление диктофонов.
  2. генераторы импульсов для уничтожения закладных устройств (жучков);
  3. пространственное зашумление для создания маскирующих помех в окружающем пространстве (затрудняет считывание и дешифровку электромагнитных полей, возникающих при работе мониторов, системных блоков, соединительных кабелей);
  4. линейное зашумление линий электропитания;
  5. генераторы шума для защиты акустической информации (в кабинетах, переговорных, офисах, включая open space, при использовании гарнитуры);

К организационным методами технической защиты персональных данных можно отнести:

  1. проведение специальных проверок и исследований защищенности информационных систем;
  2. проверки каналов и линий связи, носителей информации на внедрение электронных средств перехвата (уничтожения) информации (этот метод является одновременно и организационным и пассивным)

Технические методы защиты персональных данных разделяются на:

  1. аппаратные – активные (зашумление электромагнитных генераторов, виброакустическая защита) и пассивные (экраны и фильтры, дополнительные системы заземления);
  2. физические, ограничивающие доступ к носителям информации, например, замки на дверях, решетки на окнах, и даже использование при отделке помещений звукоизоляционных материалов для предотвращения прослушки;
  3. программные – антивирусные программы, программное обеспечение для шифрования данных (криптографическое ПО), межсетевые экраны (брандмауэры и файрволы) между локальной и глобальной сетями, VPN, прокси-сервера.

Согласно п.

5 ч. 1 ст. 12 ФЗ от 04.05.2011 г. №99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической подлежит лицензированию. И хотя обработка персональных данных не является лицензируемым видом деятельности, на оператора ПДн накладываются обязательства по принятию технических мер для защиты персональных данных (ч.

1 ст. 19 ФЗ от 27.07. 2006 г. N 152-ФЗ «О персональных данных»).

При разработке мер по технической защите ПДн необходимо учитывать требования . Защитные меры устанавливаются нормативными актами ФСТЭК и Роскомнадзора.

Документов множество, но содержащиеся в них формулировки размыты, а также содержат отсылки на иные правовые акты. К базовым следует отнести:

  • «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (требования к защите персональных данных).
  • «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (перечень технических средств), определяет уровни угроз и конкретизирует меры защиты.
  • «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
  • «О персональных данных». Описывает правовые основания обработки ПДн (цель, сроки хранения, наличие политики, согласие не обработку).
  • «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (защита информации, не составляющей гостайну).

Рекомендации ФСТЭК определяют 15 групп мероприятий технического характера, каждая из которых имеет четко прописанные базовые и рекомендуемые позиции.

Оператор имеет право использовать рекомендуемые меры по своему усмотрению, основываясь на актуальных моделях угроз и экономической целесообразности.

Правильность применяемых решений по защите трижды в год проверяется оператором, а в рамках выездных или документарных проверок контролируется ФСТЭК по заранее определенному плану.

Исполнение законодательства о персональных данных делегировано Роскомнадзору.

ФСБ и ФСТЭК разрабатывают требования по методологии, отвечают за организацию и техническую сторону защиты ИСПДн. Требования постоянно обновляются с учетом вновь появляющихся угроз, хотя и не всегда успевают за действиями хакеров. Технические средства защищают конфиденциальную информацию и ПДн от:

  • криптографические, ограничивающие вывод информации за пределы защищаемого контура;
  • межсетевые экраны;
  • разграничивающие доступ к информации;
  • блокираторы вывода-ввода информации.
  • Технических утечек по каналам связи. В целях безопасности используются экранированные кабели, высокочастотные фильтры, шумогенераторы.
  • Проникновения. В качестве превентивных мер используют системы:
    • разграничивающие доступ к информации;
    • криптографические, ограничивающие вывод информации за пределы защищаемого контура;
    • антивирусы;
    • межсетевые экраны;
    • блокираторы вывода-ввода информации.
  • антивирусы;

Выбор технических средств определяется .

На этом этапе важны основные характеристики систем обработки данных, конфигурации, необходимость использования электронной подписи, установление антивирусной/криптографической защиты.

Важно соблюдать баланс между оценкой угроз и финансовой целесообразностью.

Защищенность ПДн имеет 4 класса (самый первый класс – самый «высокий» по степени необходимой защиты):

  • Идентификация субъекта ПДн.
  • Здоровье, личная жизнь, политические/религиозные взгляды.
  • Сведения общие, обезличенные, не имеющие привязки к конкретным людям.
  • Данные о человеке, позволяющие извлечь дополнительную информацию о нем.

Чем выше класс, тем больше должно быть вложено средств и усилий.

Привлечение сторонней специализированной фирмы, занимающейся организацией защитной системы персональной информации, возможно только при наличии у нее лицензии на оказание подобной услуги.

Специальные технические средства защиты необходимы при работе с данными первой категории. Все остальные классы защищаются по базовому сценарию.

Чем больше обрабатываемых данных хранится и используется, тем жестче требования к охране информации. Создание технической защиты – трудоемкий процесс, приводящий механизмы обработки ПДн в соответствие с подзаконными актами. Организационные и технические меры по защите персональных данных имеют последовательность этапов:

  • Обоснование требований:
    • моделирование угроз;
    • определение класса ИСПДн;
    • определение необходимости в криптографии.
  • моделирование угроз;
  • оценку угроз, анализ «слабых звеньев»;
  • Проектирование, создание, ввод системы защиты:
    • перечень защитных мероприятий исходя из класса;
    • написание техзадания;
    • развертывание и ввод готовой системы.
  • развертывание и ввод готовой системы.
  • обзор мероприятий и средств защиты.
  • определение необходимости в криптографии.
  • Получение лицензии на выполнение работ по техзащите информации.
  • Анализ информационной ресурсной базы предприятия на соответствие методическим рекомендациям ФСТЭК учитывает:
    • перечень ПДн, нуждающихся в охране;
    • состав и структуру ИСПДн для каждого отдельного случая;
    • оценку угроз, анализ «слабых звеньев»;
    • оценку вероятного ущерба в случае нарушения безопасности;
    • обзор мероприятий и средств защиты.
  • перечень ПДн, нуждающихся в охране;
  • перечень защитных мероприятий исходя из класса;
  • написание техзадания;
  • Сертификация ИСПДн по классам безопасности, в т.ч.

    сертификация всех информационных средств защиты.

    Использование иных средств должно обосновываться процедурой оценки их достаточности для обеспечения безопасности.

  • оценку вероятного ущерба в случае нарушения безопасности;
  • состав и структуру ИСПДн для каждого отдельного случая;
  • определение класса ИСПДн;

«Защитное поле» персональных данных имеет ряд четко прописанных норм:

  1. осуществление регулярных проверок уровня защищенности информационной системы персональных данных;
  2. использование систем обеспечения целостности информации, способных восстанавливать поврежденные компоненты и данные при повреждении системы либо их несанкционированном изменении;
  3. оператор ведет постоянный мониторинг безопасности с одновременной защитой журнала проверок от удаления/модификации;
  4. устанавливаются системы, обнаруживающие и предотвращающие вторжения, выявляющие и анализирующие факты несанкционированного проникновения на уровнях сети или конкретного компьютера, блокируя трафик, сбрасывая соединение при превышении полномочий либо попытке внедрить вредоносное программное обеспечение;
  5. ограничение перечня прикладного и системного ПО для каждого сотрудника, защищая ИСПДн от случайных действий;
  6. обязательна идентификация/аутентификация всех объектов, нуждающихся в защите, с разграничением прав доступа;
  7. антивирусные комплексы являются неотъемлемой частью технической защиты информационной инфраструктуры;
  8. обеспечение полноценной, непрерывной защиты за счет внедрения развернутых программных компонентов, аппаратного инструментария и актуальных настроек.
  9. обработка и хранение персональных данных осуществляется только после отладки оборудования;

Техническое задание на проектирование системы защиты персональных данных является первым этапом на выработку системы требований к ИСПДн.

Техзадание включает в себя:

  1. список актуальных угроз, подлежащих нейтрализации;
  2. описание подсистем защиты;
  3. базовый набор мер по обеспечению безопасности ПДн на основе Приказа ФСТЭК №21;
  4. порядок адаптации базовых мер с учетом существующего уровня защищенности ИС и ее конфигурации (например, не требуется защита виртуальных средств, если таковые не используются).

Наиболее трудоемким является адаптация мер безопасности, т.к. на этом этапе составления технического задания нашему специалисту предстоит проанализировать предложенные меры на их достаточность. В некоторых случаях базовые решения ФСТЭК приходится дополнять собственными разработками.

Разработать, а затем внедрить комплекс мер по защите персональных данных трудно без оперирования нормативной базой, умением настраивать технические средства, работать с программным обеспечением, отвечающим требованиям информационной безопасности.

Случайная ошибка на любом из уровней защиты может оказаться фатальной, с потерей клиентуры и штрафными санкциями. Работа начинается с составления технического задания на систему защиты ПДн.

Выложенные в Интернет инструкции позволяют самостоятельно:

  1. определить роли и разграничение доступа.
  2. разработать регламент сбора информации;
  3. уведомить Роскомнадзор о деятельности организации как оператора ПДн;

Этап составления политики и подбора угроз требует глубоких, и, главное, актуальных знаний:

  1. антивирусов, межсетевых экранов;
  2. документации ФСБ и ФСТЭК;
  3. ориентации в классах СВТ;
  4. обеспечения безотказности и конфиденциальности связи для сегментов ИСПДн.

Крупные организации способны ввести в штат группу специалистов, отвечающих за безопасность информации, которым делегируются полномочия по получению лицензии, созданию и поддержке системы защиты персональных данных.

Небольшие организации чаще привлекают сторонник лицензиатов, профессионально занимающихся информационной защитой, знающих нормативную и правовую базы, имеющих опыт создания систем информационной безопасности. Присоединяйтесь к нам,чтобы получать чек-листы, реальные кейсы, а также обзоры сервисов раз в 2 недели. Нас читает уже 1285 руководителей!

Генеральный директор доб. 100 Генеральный директор доб.

102 Технический директор Интернет-маркетолог доб. 117 SEO-специалист доб. 121 SMM-менеджер доб. 120 Руководитель технической поддержки доб.

105 Системный администратор доб.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+