Типовые недостатки: Подключение к открытым сетям осуществляется без

защиты
Для разграничения прав доступа пользователей не применяются сертифицированные средства защиты

информации от НСД

Администрирование информационной системы осуществляется сторонними специалистами

Классификация информационной системы персональных данных не проведена

Не проведена оценка угроз безопасности персональных данных при их обработке в информационной системе

Отсутствуют организационно-распорядительные документы

марта 1997 г. №188

27 июля 2006 г.
N 152-ФЗ
"О персональных данных"

обработке в информационных системах персональных данных, представляющих собой совокупность персональных

данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации

Постановление Правительства РФ от 17 ноября 2007 г. № 781

П О Л О Ж Е Н И Е об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

России, ФСБ России и Мининформсвязи России от 13 февраля 2008г.

№ 55/86/20.

«Положение о методах и способах защиты информации в информационных системах персональных данных»
утверждены приказом ФСТЭК России 5 февраля 2010 г. № 58

«Основные мероприятия по организации и техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
утверждены ФСТЭК России 15 февраля 2008г.

«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
утверждена ФСТЭК России 15 февраля 2008г.

«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
утверждена ФСТЭК России 14 февраля 2008г.

ЗАКОНОДАТЕЛЬНАЯ БАЗА ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

информации» (СТР-К)

утвержден приказом Гостехкомиссии России
от 30 августа 2002

года № 282

несанкционированного доступа к информации. Классификация автоматизированных систем и требования по

защите информации»
утверждён Председателем Гостехкомиссии России 30 марта 1992 г.

информацией разного уровня конфиденциальности. Пользователи имеют разные права доступа к

информации.

В Т О Р А Я
Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют одинаковые права доступа к информации.

Т Р Е Т Ь Я
Однопользовательская
АС, с информацией одного уровня конфиденциальности.

9 КЛАССОВ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА:

1 Б

1 А

2 Б

2 А

3 Б

3 А

1 В

1 Г

1 Д

3 ГРУППЫ АС:

на основании такой информации физическому лицу (субъекту персональных данных), в

том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных

меры, для защиты персональных данных от НСД, уничтожения, изменения, блокирования,

копирования, распространения и иных неправомерных действий
Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке
Федеральные органы уполномоченные в области обеспечения безопасности (ФСБ России, ФСТЭК России) осуществляют контроль и надзор
Лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность

который возлагается обеспечение контроля и надзора за соответствием обработки

персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных»

Статья 23, пункт 1

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СФЕРЕ СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты

ПДн;

разработку замысла обеспечения безопасности ПДн;

выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты;

решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты;

обеспечение реализации принятого замысла защиты;

планирование мероприятий по защите ПДн;

проведение работ по созданию системы защиты персональных данных (СЗПДн) в

рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних организаций к разработке и развертыванию СЗПДн или ее элементов в ИСПДн, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации ИСПДн;

разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;

развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн;

доработку СЗПДн по результатам опытной эксплуатации.

выполнения обязанностей по обеспечению безопасности ПДн оператором
Оценка возможности физического доступа

к ИСПДн

Анализ информационных ресурсов

Анализ уязвимых звеньев и возможных угроз

Анализ имеющихся в распоряжении мер и средств защиты ПДн

Анализ возможностей электромагнитного воздействия на ПДн, обрабатываемые в ИСПДн

Оценка возможности НСД к информации (непосредственного и удаленного, в том числе за счет программно-математических воздействий)

Выявление возможных ТКУИ

Оценка непосредственного ущерба от реализации угроз

Оценка ущерба от реализации угроз безопасности

Оценка опосредованного ущерба от реализации угроз

От физического доступа

От утечки по техническим каналам утечки информации

От несанкционированного доступа

От программно-математических воздействий

От электромагнитных воздействий

направлений по защите ПДн
Выбор основных способов защиты
Решение основных вопросов управления

защиты

Решение основных вопросов обеспечения

- по подразделениям;
- по уязвимым звеньям, направлениям защиты;
- по категориряим ПДн.

- по направлениям защиты;
- по актуальным угрозам;
- по возможности реализации с учетом затрат

- организация охраны;
- организация служебной связи и сигнализации;
- организация взаимодействия;
- организация резервирования программного и аппаратного обеспечения;
- организация управления администрированием

- финансового;
- технического и программного;
- информационного;
- кадрового

обработке в ИСПДн и эксплуатации СЗПДн

в обязательном порядке разрабатываются:

«Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн»;

«Требования по обеспечению безопасности ПДн при обработке в ИСПДн»;

Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;

«Рекомендации (Инструкции) по использованию программных и аппаратных средств защиты информации».

подготовкой кадров, выделением финансовых средств, закупкой и разработкой программного и

аппаратного обеспечения, а также с проведением НИОКР в интересах организации (совершенствования) защиты информации.

Основные виды обеспечения:
финансовое,
кадровое,
программное,
информационное,
материальное.

Мероприятия по видам обеспечения проводятся в соответствии с решением руководителя организации на организацию защиты информации (совершенствование защиты информации) и утвержденным замыслом или концепцией.

объектов информатизации
3. Порядок привлечения подразделений органа власти, специализированных сторонних организаций к

разработке и эксплуатации объектов информатизации и системы защиты информации, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации
4. Порядок взаимодействия подразделений управления, специализированных сторонних организаций при разработке и эксплуатации объектов информатизации и системы защиты информации
5. Обязанности и права должностных лиц по выполнению требований положения. Их ответственность за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки системы защиты информации

вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба:
непосредственный

и опосредованный

Состав и функциональное содержание методов и средств зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн

Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн
с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн

Порядок проведения классификации информационных систем персональных данных

нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых

и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн.
Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:
незапланированных и(или) непроизводительных финансовых или материальных затратах субъекта;
потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).

Порядок проведения классификации информационных систем персональных данных

систем;
КОГДА? – на этапе создания информационных

систем либо в ходе их эксплуатации
(для ранее введённых и (или)
модернизируемых);
ЦЕЛЬ – установление методов и способов
защиты информации, необходимых для
обеспечения безопасности персональных
данных

«Порядок проведения классификации информационных систем персональных данных»

системе соответствующего класса
документальное оформление результатов
Проведение классификации информационных систем включает

в себя следующие этапы:

Порядок проведения классификации информационных систем персональных данных

персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются

в информационной системе) - Хнпд;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.

Исходные данные для проведения классификации информационной системы

взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2

- персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.

Категории обрабатываемых в информационной системе персональных данных –
Хпд

Порядок проведения классификации информационных систем персональных данных

100 000 субъектов персональных данных или персональные данные субъектов персональных

данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
- в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
- в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

В зависимости от объема Хнпд может принимать следующие значения:

«Порядок проведения классификации информационных систем персональных данных»

от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы

одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)

Типовые информационные системы
- информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных

Порядок проведения классификации информационных систем персональных данных

системы
Локальные информационные системы

безопасности персональных данных, обрабатываемых в них, может привести к значительным

негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (КЗ) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

КЛАСС ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

информационных системах персональных данных»
утверждена ФСТЭК России 15 февраля 2008г.
Классификация

угроз безопасности персональных данных
по видам возможных источников угроз;
по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
по виду несанкционированных действий, осуществляемых с ПДн;
по способам реализации угроз;
по виду каналов, с использованием которых реализуются те или иные угрозы.

составе информационной системы подсистем, каждая из которых является информационной системой,

информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем

К1

К2

К1

проведенных им анализа и оценки угроз безопасности персональных данных с

учетом особенностей и (или) изменений конкретной информационной системы

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

по обеспечению безопасности персональных данных в

ИСПДн должны быть определены мероприятия по:

выявлению закрытию технических каналов утечки
ПДн в ИСПДн;
защите ПДн от несанкционированного доступа и
неправомерных действий;
установке, настройке и применению и средств
защиты.

Мероприятия по выявлению и закрытию технических каналов утечки ПДн в ИСПДн формулируются на основе анализа и оценки угроз безопасности ПДн.

информационных системах персональных данных»
утверждены ФСТЭК России 15 февраля 2008г.
«Основные

мероприятия по организации и техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
утверждены ФСТЭК России 15 февраля 2008г.

ЗАКОНОДАТЕЛЬНАЯ БАЗА ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты

ПДн;

разработку замысла обеспечения безопасности ПДн;

выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты;

решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты;

обеспечение реализации принятого замысла защиты;

планирование мероприятий по защите ПДн;

проведение работ по созданию системы защиты персональных данных (СЗПДн) в

рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних организаций к разработке и развертыванию СЗПДн или ее элементов в ИСПДн, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации ИСПДн;

разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;

развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн;

доработку СЗПДн по результатам опытной эксплуатации.

контроля отсутствия недекларированных возможностей;
антивирусной защиты;
обеспечения безопасного межсетевого взаимодействия ИСПДн;
анализа защищённости;
обнаружения

вторжений (в соответствии с требованиями нормативных документов ФСБ России).

применяется межсетевое экранирование
Классифицированная
ИСПДн на базе ЛВС
К2
К1
Классифицированная
ИСПДн на

базе ЛВС

МЭ

Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 3 и 4 классов рекомендуется использовать МЭ не ниже пятого уровня защищенности.

Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 2 класса рекомендуется использовать МЭ не ниже четвертого уровня защищенности.

Для обеспечения безопасного межсетевого взаимодействия в ИСПДн 1 класса рекомендуется использовать МЭ не ниже третьего уровня защищенности.

использовать системы обнаружения сетевых атак, использующие сигнатурные методы анализа.

Для обнаружения

вторжений в ИСПДн 1 и 2 класса рекомендуется использовать системы обнаружения сетевых атак, использующие наряду с сигнатурными методами анализа методы выявления аномалий.

Для защиты ПДн от утечки по техническим каналам применяются организационные и технические мероприятия, направленные на исключение утечки акустической (речевой), видовой информации, а также утечки информации за счет ПЭМИН.

и разных правах доступа пользователей в ИСПДн:

счет побочных электромагнитных излучений и наводок относятся:
использование в ИСПДн сертифицированных

технических средств защиты информации;

выбор помещений для установки аппаратных средств ИСПДн;

установление контролируемой зоны вокруг ИСПДн;

выбор мест установки аппаратных средств в помещениях;

разнос аппаратных средств ИСПДн и их соединительных линий от посторонних проводников;

организация режима и контроля доступа в помещения, в которых установлены аппаратные средства ИСПДн.

для ИСПДн 1 класса должны быть реализованы мероприятия по

защите акустической (речевой) информации

ее перехвата с использованием технических средств и обеспечивается путем звукоизоляции

помещений, в которых устанавливаются аппаратные средства ИСПДн и применением организационных мер, направленных на исключение несанкционированного доступа в эти помещения.