Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава
Под организацией обеспечения безопасности ПД при их обработке в ИСПД понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПД. Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПД, а также иных неправомерных действий с ними, возлагаются на оператора.
Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПД при их обработке в ИСПД оператором или уполномоченным им лицом должно назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПД. Технические и программные средства, используемые для обработки ПД в ИСПД, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в ИСПД, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
Обеспечение безопасности ПД осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой системы (подсистемы) защиты персональных данных (СЗПД). Структура, состав и основные функции СЗПД определяются исходя из класса ИСПД. СЗПД включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПД), а также используемые в информационной системе информационные технологии.
Рекомендуемые стадии создания СЗПД Предпроектная стадия, включающая предпроектное обследование ИСПД, разработку технического (частного технического) задания на ее создание; стадия проектирования (разработки проектов) и реализации ИСПД, включающая разработку СЗПД в составе ИСПД; стадия ввода в действие СЗПД, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПД требованиям безопасности информации.
Предпроектная стадия На предпроектной стадии по обследованию ИСПД рекомендуются следующие мероприятия: устанавливается необходимость обработки ПД в ИСПД; определяется перечень ПД, подлежащих защите от НСД; определяются условия расположения ИСПД относительно границ контролируемой зоны (КЗ); определяются конфигурация и топология ИСПД в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПД, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке; определяются режимы обработки ПД в ИСПД в целом и в отдельных компонентах; определяется класс ИСПД; уточняется степень участия должностных лиц в обработке ПД, характер их взаимодействия между собой; определяются (уточняются) угрозы безопасности ПД применительно к конкретным условиям функционирования ИСПД (разработка частной модели угроз).
Техническое (частное техническое) задание на разработку СЗПД Оно должно содержать: обоснование разработки СЗПДн; исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн; ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн; конкретизацию мероприятий и требований к СЗПДн; перечень предполагаемых к использованию сертифицированных средств защиты информации; обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации; состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПД.
В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства ИСПДн подразделяются на следующие классы: класс 1 (К1) – ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) – ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) – ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) – ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. 55/86/20.
На стадии проектирования и создания ИСПД (СЗПД) проводятся следующие мероприятия: разработка задания и проекта проведения работ (в том числе строительных и строительно- монтажных) по созданию (реконструкции) ИСПД в соответствии с требованиями технического (частного технического) задания на разработку СЗПД; выполнение работ в соответствии с проектной документацией; обоснование и закупка совокупности используемых в ИСПД серийно выпускаемых технических средств обработки, передачи и хранения информации; разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями; обоснование и закупка совокупности используемых в ИСПД сертифицированных технических, программных и программно-технических средств защиты информации и их установка; проведение сертификации по требованиям безопасности информации технических, программных и программно-технических средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации; разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПД информации; определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПД; разработка эксплуатационной документации на ИСПД и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов); выполнение других мероприятий, характерных для конкретных ИСПД и направлений обеспечения безопасности ПД.
Стадия ввода в действие ИСПД (СЗПД) осуществляется: выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации; опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн; приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации; организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации; оценка соответствия ИСПДн требованиям безопасности ПДн. Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в виде: для ИСПДн 1 и 2 классов – обязательной сертификации (аттестации) по требованиям безопасности информации; для ИСПДн 3 класса – декларирования соответствия требованиям безопасности информации. Для ИСПДн 4 класса оценка соответствия проводится по решению оператора.
Для функционирующих ИСПД доработка (модернизация) СЗПД должна проводиться в случае, если: изменился состав или структура самой ИСПД или технические особенности ее построения (изменился состав или структура программного обеспечения, технических средств обработки ПД, топологии ИСПД); изменился состав угроз безопасности ПД в ИСПД; изменился класс ИСПД.
В соответствии с положениями Федерального закона от 8 августа 2001 г. 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПД при проведении мероприятий по обеспечению безопасности ПД (конфиденциальной информации) при их обработке в ИСПД 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.