Семинар «Организационные меры информационной безопасности в образовательной организации» Часть 2. 27.02.2014 28.02.2014. - презентация

1 Семинар «Организационные меры информационной безопасности в образовательной организации» Часть

2 Практический алгоритм работы оператора ПДн Особенности организации и проведения работ по обеспечению безопасности персональных данных

3 Федеральный закон «О персональных данных» Ст. 3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ст. 19. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

4 Требования к защите «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 г. 1119

5 Состав мер по защите «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. 21, зарегистрированы в Министерстве юстиции Российской Федерации, регистрационный от 14 мая 2013

6 Необходимые меры Организационное меры - это мероприятия, проведение которых не требует применения специально разработанных технических средств Технические меры предусматривают применение специальных технических средств и реализацию технических решений Технические средства выполняют свои функции по защите информации преимущественно без участия человека.

7 Мероприятия по обеспечению защиты информации формирование требований к защите информации, содержащейся в информационной системе разработка системы защиты информации информационной системы внедрение системы защиты информации информационной системы обеспечение защиты информации в ходе эксплуатации информационной системы обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации

8 Ответственный за обеспечение безопасности ПДн В соответствии с «Требованиями к защите персональных данных…», утвержденными постановлением Правительства Российской Федерации 1119: для обеспечения 3-го и 2-го уровней защищенности персональных данных назначается должностное лицо, ответственное за обеспечение безопасности персональных данных в информационной системе для обеспечения 1-го уровня защищенности персональных данных создается структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе, либо эти функции возлагаются на одно из структурных подразделений

9 Подсистема управления СЗПДн Оператор Комиссии Постояннодействующая экспертная комиссия Ответственное лицо Администратор безопасности Рабочая группа

10 Функции ОТВЕТСТВЕННОЕ ЛИЦО Управление процессом создания, функционирования и совершенствования ИСПДн Организация внутреннего контроля за соблюдением требований к обработке и защите ПДн Организация обучения и инструктажей сотрудников по обработке и защите ПДн Организация приема обращений и запросов субъектов ПДн и осуществление контроля за их обработкой

11 Функции ОТВЕТСТВЕННОЕ ЗА ОБРАБОТКУ ПД Обеспечение функционирования и совершенствования ИСПДн без применения средств автоматизации Прием и обработка обращений и запросов субъектов ПДн Осуществление внутреннего контроля за соблюдением работниками требований к обработке ПДн

12 Функции АДМИНИСТРАТОР БЕЗОПАСНОСТИ Обеспечение функционирования и совершенствования ИСПДн с применением средств автоматизации Осуществление внутреннего контроля за соблюдением работниками требований к защите ПДн …

13 Формирование требований к СЗПДн ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» ГОСТ Р «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»

14 Формирование требований к СЗПДн принятие решения о необходимости защиты информации, содержащейся в информационной системе определение уровней защищенности персональных данных в информационной системе, при обработке персональных данных в государственной информационной системе - определяется класс защищенности информационной системы определение актуальных угроз безопасности информации и разработку на их основе модели угроз безопасности информации определение требований к системе защиты информации информационной системы

15 Принятие решения о создании СЗПДн анализ целей создания информационной системы и задач, решаемых этой информационной системой определение информации, подлежащей обработке в информационной системе анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе определение основных этапов создания системы защиты информации информационной системы определение функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации (заказчика), оператора и уполномоченных лиц. Практически необходимо определить состав персональных данных и технические и программные средства, используемые для их обработки. То есть, необходимо определить, что именно подлежит защите

16 Определение защищаемой информации В целях определения защищаемой информации, то есть – персональных данных, подвергающихся автоматизированной обработке, технических средств, в которых она циркулирует, программных продуктов, с использованием которых осуществляется обработка, а также объектов и субъектов доступа и собственно технологии обработки персональных данных, рекомендуется провести обследование эксплуатируемых информационных систем или другими словами инвентаризацию

17 НПА оператора на этапе формирования требований СЗПДн перечни персональных данных, обрабатываемых в организации перечень информационных систем персональных данных перечень должностей предусматривающих осуществление обработки персональных данных либо осуществление доступа к персональным данным правила обработки персональных данных

18 Объекты защиты в АИС информация – персональные данные технические средства программное обеспечение: общесистемное, прикладное, специальное средства защиты информации

19 Состав описания технологического процесса обработки информации описание объектов доступа - к каким защищаемым техническим средствам и информационным ресурсам будет осуществляться доступ описание субъектов доступа - какие лица и (или) технические средства будут осуществлять доступ к объектам доступа особенности технологического процесса обработки информации, а именно, каким образом и с каких носителей информация вводится в ИСПДн, каким образом и на какие носители информация выводится, осуществляется ли обмен информацией со сторонними организациями, если да, то каким образом, с использованием каких носителей, по каким каналам связи

20 Технический паспорт и описание технологического процесса Эти документы потребуются для разработки системы защиты и последующей аттестации (если необходимо) Технический паспорт позволяет осуществлять контроль неизменности состава и расположения программных, технических средств и средств защиты информации. Позволяет сопоставить другие разработанные документы конкретной информационной системе Сведения из технического паспорта и описания технологического процесса обработки информации служат исходными данными для разработки модели угроз Технический паспорт и Описание технологического процесса обработки информации по принадлежности относятся к проектно- сметной или эксплуатационной документации

21 Состав технического паспорта В техническом паспорте рекомендуется отразить: состав технических средств расположение технических средств установленные программные средства установленные средства защиты

22 Состав описания технологического процесса обработки информации описание объектов доступа - к каким защищаемым техническим средствам и информационным ресурсам будет осуществляться доступ описание субъектов доступа - какие лица и (или) технические средства будут осуществлять доступ к объектам доступа особенности технологического процесса обработки информации, а именно, каким образом и с каких носителей информация вводится в ИСПДн, каким образом и на какие носители информация выводится, осуществляется ли обмен информацией со сторонними организациями, если да, то каким образом, с использованием каких носителей, по каким каналам связи

23 Определение актуальных угроз безопасности ПДн Пункт 1 части 2 статьи 19 Федерального закона «О персональных данных»: «…оператором определяются угрозы безопасности персональных данных при их обработке в информационных системах…»

24 Модель угроз «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

25 Общий алгоритм определения актуальных угроз сопоставить свою ИСПДн с типовой, приведенной в пункте 6 «Базовой модели угроз…» составить перечень потенциальных угроз добавить в перечень угрозы не предусмотренные «Базовой моделью угроз…» детализировать угрозы применительно к конкретным условиям в соответствии с «Методикой определения актуальных угроз…» в отношении каждой угрозы определяется ее актуальность Актуальной считается угроза, которая может быть реализована и представляет опасность для персональных данных

26 Структура модели угроз наименование ИСПДн описание информационной системы и ее структурно-функциональных характеристик, состав, места установки технических, программных средств и средств защиты информации, при наличии технического паспорта – ссылка на технический паспорт тип ИСПДн в соответствии с «Базовой моделью угроз…», перечень потенциальных угроз безопасности персональных данных промежуточные результаты оценки угроз, в том числе опросные листы экспертов перечень и описание актуальных угроз безопасности персональных данных для рассматриваемой ИСПДн, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации рекомендации по нейтрализации актуальных угроз

27 Определение уровня защищенности Уровни защищенности персональных данных устанавливается в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г Устанавливаются 4 уровня защищенности. самый низкий класс – четвертый, самый высокий - первый

28 Категории ПДн Информационные системы, обрабатывающие специальные категории персональных данных, а именно: касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных Информационные системы, обрабатывающие биометрические персональные данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, и не обрабатывающие специальные категории персональных данных Информационные системы, обрабатывающие общедоступные персональные данные, полученные только из общедоступных источников, созданных в соответствии со статьей 8 Федерального закона «О персональных данных», таких как, справочники, адресные книги Информационные системы, обрабатывающие иные категории персональных данных, если в них не обрабатываются вышеперечисленные категории персональных данных Информационные системы, обрабатывающие персональные данные сотрудников оператора, если в них обрабатываются персональные данные только указанных сотрудников, в остальных случаях информационные системы являются информационными системами, обрабатывающими персональные данные субъектов персональных данных, не являющихся сотрудниками оператора

29 Типы угроз Угрозы 1 типа, актуальны, если для информационной системы в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении Угрозы 2 типа, актуальны, если для информационной системы в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении Угрозы 3 типа, актуальны, если для информационной системы актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении

30 С – ИС, обрабатывающая специальные категории ПДн; Б – ИС, обрабатывающая биометрические ПДн; О – ИС, обрабатывающая общедоступные ПДн; И – ИС, обрабатывающая иные категории ПДн; Сот – ИС, обрабатывающая ПДн только сотрудников оператора; неСот – ИС, обрабатывающая ПДн субъектов ПДн, не являющихся сотрудниками оператора. Тип информационной системы О О Сот О неСот100 И Сот И неСот

31 Классификация государственной информационной системы При обработке персональных данных в государственной информационной системе определяется класс защищенности информационной системы Порядок определения класса установлен в Приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от г. 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Устанавливаются 4 класса защищенности: самый низкий класс – четвертый самый высокий - первый Класс зависит от уровня значимости информации и масштаба информационной системы

32 Степень возможного ущерба: высокая - существенные негативные последствия, невозможность выполнять возложенные функции средняя – умеренные негативные последствия, невозможность выполнять хотя бы одну из возложенных функций низкая - незначительные негативные последствия, возложенные функции выполняются с недостаточной эффективностью Уровень значимости информации: высокий (УЗ 1) - хотя бы для одного из свойств безопасности определена высокая степень ущерба средний (УЗ 2) - хотя бы для одного из свойств безопасности определена средняя степень ущерба при отсутствии высокой степени низкий (УЗ 3) – для всех свойств безопасности определены низкие степени ущерба минимальный (УЗ 4) – степень ущерба не может быть определена, но в соответствии с законодательством информация подлежит защите

33 Масштаб информационной системы Федеральный функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях Региональный функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях Объектовый функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях

34 Классификация государственной информационной системы

35 Техническое задание на создание СЗПДн ГОСТ «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» ГОСТ Р «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» ГОСТ Р «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»

36 Разработка СЗПДн Осуществляется в соответствии с техническим заданием, с учетом ГОСТ Р и ГОСТ Р 51624, включает: проектирование разработку эксплуатационной документации макетирование и тестирование при необходимости

37 Выполнение требований

38 Требования для 4 УЗ организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; обеспечение сохранности носителей персональных данных; утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

39 Требования для 3 УЗ Для обеспечения 3 уровня защищенности персональных необходимо выполнение требований для 4 уровня и, кроме того: необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

40 Требования для 2 УЗ Для обеспечения 2 уровня защищенности персональных необходимо выполнение требований для 3 уровня и, кроме того: необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

41 Требования для 1 УЗ Для обеспечения 1 уровня защищенности персональных необходимо выполнение требований для 2 уровня и, кроме того: автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

42 Состав мер по обеспечению безопасности персональных данных: идентификация и аутентификация субъектов доступа и объектов доступа управление доступом субъектов доступа к объектам доступа ограничение программной среды регистрация событий безопасности антивирусная защита обнаружение вторжений контроль (анализ) защищенности персональных данных обеспечение целостности информационной системы и персональных данных обеспечение доступности персональных данных защита среды виртуализации защита технических средств защита информационной системы, ее средств, систем связи и передачи данных выявление инцидентов безопасности информации и реагирование на них управление конфигурацией информационной системы и системы защиты персональных данных

43 Внедрение системы защиты информации установка и настройка средств защиты информации разработка организационно-распорядительных документов внедрение организационных мер предварительные испытания опытная эксплуатация анализ уязвимостей приемочные испытания

44 Организационно-распорядительные документы устанавливают правила и процедуры по: идентификации и аутентификации субъектов доступа управлению доступом защите информации при использовании машинных носителей информации, в том числе порядок учета и хранения носителей регистрации событий безопасности обеспечению целостности информационной системы и информации физической защите технических средств, в том числе порядок доступа в служебные помещения управлению конфигурацией, в том числе порядок обновления ПО и контроля за несанкционированными подключениями технических средств и несанкционированной установкой ПО периодическому анализу угроз безопасности информации выявлению и реагированию на инциденты, связанные с обработкой и защитой информации обслуживанию системы защиты обучению и информированию пользователей

45 Контролю и анализу в первую очередь должны подвергаться: администрирование ИСПДн подключения внешних носителей к ИСПДн перенос информации с внешних носителей в ИСПДн перенос информации с ИСПДн на внешние носители вывод информации на «твердую копию» передача персональных данных по внешним каналам связи

46 Цели служебного расследования инцидентов, связанных с безопасностью информации: установление, привели ли нарушения требований к нарушению безопасности персональных данных, например их утечке, нарушению целостности, утере, или нет если да, установление, какие именно угрозы были реализованы установление причин появления нарушения выработка и реализация мер защиты

47 Оценка эффективности принятых мер Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

48 Наиболее важные мероприятия по защите информации в ходе эксплуатации системы защиты контроль состояния защиты информации, включая контроль за событиями и действиями пользователей обнаружение и регистрация инцидентов, выявление их причин, принятие мер по предупреждению и устранению инцидентов анализ и оценка функционирования системы защиты с целью выявления и устранения недостатков и совершенствования периодический анализ уязвимостей анализ изменения угроз и выявление новых угроз анализ влияния на систему защиты планируемых изменений в информационной системе

49 Меры по защите информации в ходе вывода информационной системы из эксплуатации или после окончания обработки информации при необходимости дальнейшего использования персональных данных, осуществляется их архивирование при необходимости передачи машинных носителей между пользователями информационной системы, в сторонние организации для ремонта, обслуживания или утилизации, осуществляется стирание данных и остаточной информации при выводе из эксплуатации машинных носителей осуществляется их уничтожение

50 Рекомендации: Обеспечение неизменности состава технических и программных средств, а также средств защиты и их настроек, соблюдение утвержденного технологического процесса обработки информации и принятие мер по нейтрализации актуальных угроз, определенных в модели угроз – основные задачи, решение которых обеспечивает высокую степень защищенности информации в информационной системе

51 Требуемые документы Перечень документов является примерным. Состав документов определяется оператором ПДн самостоятельно.

52

53 Перечень документов 1. Обработка ПДн 1.1 Перечень ПДн 1.2 Перечень лиц, допущенных к обработке ПДн 1.3 Политика в отношении обработки ПДн (общедоступная) 1.4 Положение об обработке ПДн 1.5 Положение о распределении ответственности за обработку и обеспечение безопасности ПДн 1.6 Регламент реагирования на запросы субъектов ПДн Комплект приказов 1.7 Приказ о назначении ответственных за обработку ПДн 1.8 Приказ о допуске сотрудников к обработке ПДн 1.9 Приказ о вводе в действие комплекта документов, регламентирующих обработку ПДн Проектирование СЗПДн 2.1 Протокол оценки вреда, который может быть причинен субъектам ПДн 2.2 Модель угроз 2.3 Акт определения уровня защищенности ПДн при их обработке в ИСПДн 2.4 План мероприятий по обеспечению безопасности ПДн 2.5 Перечень ИСПДн 2.6 Технический проект на СЗПДн (комплект документов) Комплект приказов 2.7 Приказ о планировании мероприятий по внедрению СЗПДн 2.8 Приказ о проведении анализа угроз безопасности ПДн 2.9 Приказ о внедрении СЗПДн

54 Перечень документов 3. Обеспечение ИБ 3.1 Положение об обеспечении безопасности ПДн 3.2 Положение об антивирусной защите 3.3 Положение о парольной защите 3.4 Регламент проведения мероприятий по контролю процессов обработки и системы защиты ПДн 3.5 Регламент предоставления и изменения прав доступа к информационным ресурсам 3.6 Положение о допустимом использовании ресурсов 3.7 Регламент резервного копирования и восстановления 3.8 Регламент проведения инструктажа по информационной безопасности Комплект приказов 3.9 Приказ о внедрении комплекта документов, регламентирующих обеспечение безопасности ПДн 4. Шаблоны форм 4.1 Должностные инструкции сотрудников, обрабатывающих ПДн 4.2 Должностные инструкции сотрудников, обеспечивающих ИБ и поддержку ИТ 4.3 Положения о подразделениях 4.4 Договора с 3ми лицами 4.5 Договора с сотрудниками 4.6 Комплект шаблонов форм согласия субъекта ПДн данных на обработку его ПДн 4.7 Уведомление РКН Комплект приказов 4.8 Приказ о внесении правок в договора с сотрудниками и третьими лицами

55 Перечень документов 5. Справочная информация 5.1 Перечень лиц, допущенных в серверное помещение 5.2 Перечень внешних документов, регламентирующих обработку и обеспечение безопасности ПДн 5.3 Перечень внутренних документов, регламентирующих обработку и обеспечение безопасности ПДн 5.4 Перечень СЗИ 5.5 Перечень администраторов средств обработки и защиты информации 5.6 Перечень носителей ПДн 6. Памятки 6.1 Памятка ответственному за организацию обработки ПДн 6.2 Памятка ответственному за обеспечение безопасности ПДн 6.3 Памятка ответственному за реагирование на обращения и запросы субъектов ПДн 6.4 Памятка пользователю 6.5 Памятка администратору 6.6 Памятка аудитору (контролеру) СЗПДн 7. Журналы 7.1 Журнал инструктажа сотрудников по вопросам ИБ 7.2 Журнал учета мероприятий по обеспечению и контролю безопасности ПДн 7.3 Журнал учета обращений и запросов субъектов ПДн, их законных представителей и государственных контролирующих органов 7.4 Журнал учета мобильных носителей 7.5 Журнал учета съемных носителей информации

56 Спасибо за внимание! Желаем безопасной работы с информацией!

57 Павлов Александр Владиславович Заместитель директора по информационным технологиям и безопасности +7 (3412)