bannerbanner
Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов
Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

Полная версия

Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

Настройки чтения
Размер шрифта
Высота строк
Поля
На страницу:
1 из 4

Организационное и правовое обеспечение информационной безопасности

Для студентов и специалистов


Иван Андреевич Трещев

«Если вы уверены, что написанная вами инструкция по правилам выбора паролей не может быть понята неправильно, всегда найдется сотрудник, который поймет ее именно так» – один из законов Мерфи.

Разработка документов Артем Александрович Богачев

Участие в разработке документов Анастасия Сергеевна Ватолина


© Иван Андреевич Трещев, 2019


ISBN 978-5-4496-4478-7

Создано в интеллектуальной издательской системе Ridero

Введение

Система защиты информации многогранна. Она включает в себя как вопросы защиты от утечки по техническим каналам, защиты от несанкционированного доступа, так и вопросы организационного и правового обеспечения, вопросы физической защиты и многое другое.

Данная книга содержит перечень документов, которые по мнению автора необходимы для любого предприятия. Документарное обеспечение упорядычивает работу по организации системы защиты информации. В случае отсутствия инструкции работодатель не вправе требовать от сотрудников их исполнения, поэтому к разработке документов следует отнестись серьезно.

Любые совпадения имен и фамилий являются случайными. Наименования и торговые марки использованные в книге взяты из открытых источников и являются собственностью их обладателей.

Книга построена на основе курса по организационному и правовому обеспечению информационной безопасности, который автор вот уже на протяжении более 5 лет использует при подготовке специалистов по защите информации.

Приведенные документы можно условно разделить на 3 категории:

1. Роскомнадзор – в области обеспечения исполнения законодательства по защите информации.

2. ФСТЭК – в области защиты информации некриптографическими средствами.

3. ФСБ – в области защиты информации с использованием средств криптографической защиты.


Практические занятия по дисциплине «Организационное и правовое обеспечение информационной безопасности» проводятся в интерактивной форме – форме деловых игр, отражающих проведение реальных аудиторских проверок «регуляторов». Всего в семестре устанавливается несколько контрольных точек по неделям:

2-я неделя – подача уведомления в «Роскомнадзор» (передача уведомления преподавателю).

5-я неделя – аудиторская проверка «Роскомнадзора».

10-я неделя – аудиторская проверка «ФСТЭК РФ».

15-я неделя – аудиторская проверка «ФСБ РФ».

Схемы контролируемой зоны, расположения средств вычислительной техники, средств защиты, электропитания и заземления необходимо согласовывать с преподавателем.

Ко второй неделе необходимо подготовить уведомление об обработке персональных данных. Пример уведомления приведен в книге далее, к 5-ой неделе комплект документов в соответствии со спецификацией приведенной далее для Роскомнадзора, к 10 неделе комплект документов в соответствии со спецификацией приведенной далее для ФСТЭК, к 15 неделе комплект документов в соответствии со спецификацией приведенной в далее для ФСБ. В каждом варианте обязательно в организации обеспечением информационной безопасности которой занимается студент ведется автоматизированная обработка более чем 100 000 субъектов персональных данных. Обязательно есть необходимость использовать технические средства защиты информации от утечек по техническим каналам, средства защиты от несанкционированного доступа, средства криптографической защиты информации. Ответственным за обеспечение информационной безопасности в организации назначается студент. Нужно учесть, что если количество ИСПДн в организации больше одной, то некоторые документы представляются по каждой ИСПДн в отдельности. Спецификации подаваемых документов подлежат обязательному согласованию с преподавателем.


Примерный перечень средств защиты от НСД

1 Secret Net 6.5

2 Dallas Lock 7.7

3 Accord

4 Аура

5 Страж NT

Перечень средств криптографической защиты

111 АПКШ Континент клиентская часть Континент АП.

112 ФПСУ/IP клиентская часть ФПСУ/IP клиент.

113 CheckPoint Connectra клиентская часть Connectra client.

114VipNet HW 1000 клиентская часть VipNet Client.

А) Соната, ЛГШ-1000, Корунд.

Б) Барон, Вето-М, Прокруст 2000


РОСКОМНАДЗОР

Спецификация


1. Уведомление

Исх. № ____ от «___» _________ 20__ г. Экз. № __

Руководителю Управления

Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций

Дальневосточное управление

О. В. Шахматовой

(Управление Роскомнадзора по Дальневосточному Федеральному округу)

ул. Ленина, д. 4 г. Хабаровск, 681000

Уведомление

об обработке (о намерении осуществлять обработку) персональных данных

Тип оператора: Государственный орган

Первичная профсоюзная организация администрации президента Российской Федерации

________________________________________________________________________

(полное и сокращенное наименования оператора)

пл. Старая, д. 4, Москва, 101000

________________________________________________________________________

(адрес местонахождения и почтовый адрес Оператора)

ИНН: 7710155192 КПП: 771001001 ОГРН: 1037739208870 ОКВЭД: 91.20 ОКПО: 584673?6

ОКФС: 52 ОКОГУ: 4220003 ОКОПФ: 20202

руководствуясь: Конституцией Российской Федерации, Налоговым кодексом РФ, Федеральным законом «О государственной гражданской службе Российской Федерации» от 27.07.2004 №79- ФЗ, Трудовым кодексом Российской Федерации от 30.12.2001 №197-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, Указом Президента Российской Федерации «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» от 30.05.2005 №609, Указом Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 №188.

________________________________________________________________________

(правовое основание обработки персональных данных)

с целью: регистрации сведений субъектов персональных данных, необходимых для осуществления деятельности в области государственного управления; персональных данных сотрудников (работников) и обращающихся лиц, сведений об профессиональной служебной деятельности работников.

________________________________________________________________________

(цель обработки персональных данных)

осуществляет обработку следующих категорий персональных данных:

сотрудники – фамилия, имя, отчество; год, месяц, дата и место рождения; адрес места прописки; семейное, социальное, имущественное положение; образование; профессия; доходы, ИНН, паспортные данные, данные медицинского полиса, страхового свидетельства, а также специальные категории персональных данных – состояние здоровья, биометрические персональные данные – отпечатки пальцев; обращающиеся граждане – фамилия, имя, отчество; год, месяц, дата и место рождения; адрес места прописки, ИНН, паспортные данные.

________________________________________________________________________

(категории персональных данных)

принадлежащих: работникам, лицам, делающим обращение в организацию, лицам, участвующих в конкурсах на замещение вакантных должностей, лицам, участвующих в конкурсе на зачисление в кадровый резерв, уволенным работникам, лицам, выполняющих поставки, работы, услуги по договорам, посетителям.

(категории субъектов, персональные данные которых обрабатываются)

Обработка вышеуказанных персональных данных осуществляется:

способом смешанной обработки – на бумажных, на электронных носителях и в ИСПДн с передачей по внутренней сети оператора, с передачей в сеть общего пользования Интернет;

операции с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение, уничтожение персональных данных.

________________________________________________________________________

(перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных)

Для обеспечения безопасности персональных данных принимаются следующие меры:

Ответственные должностные лица, их полномочия, обязанности и ответственность определены Положением по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, Приказом о назначении ответственных за обеспечение безопасности персональных данных в ППО администрации президента.

Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

Класс информационной системы персональных данных оператора: К1.

Для защиты персональных данных используются:

комплекс ФПСU-IP/Клиент, регистрационный номер СФ/124—3165, производителей ООО «АМИКОН», уровень криптографической защиты персональных данных КС1, уровень специальной защиты от утечки по каналам побочных излучений и наводок КС, уровень защиты от несанкционированного доступа АК3;

средства обеспечения безопасности: пароли, программно-аппаратные средства защиты информации: «Dallas Lock 7.7», «АМИКОН», «Прокруст 2000», пространственное зашумление: генератор вибро-акустический «Барон»; генератор радиоэлектронный «Вето-М», ключи доступа (применение следующих основных методов и способов защиты информации: а) управление доступом; б) регистрация и учет; в) обеспечение целостности; а также – анализ защищенности; использование средств обнаружения вторжений; защита информации от утечки по техническим каналам, защита информации от несанкционированных действий [НСД], использование межсетевых экранов, контроль отсутствия недекларированных возможностей [НДВ] программного обеспечения средств защиты информации [СЗИ] – при передаче персональных данных с использованием сети Интернет).

Ответственный за организацию обработки персональных данных: Богачев Артем Алексеевич; Тел.: +7 (914) -421-18-81; ул. Ленина, д. 60; 681010, г. Комсомольск-на-Амуре; artem@mail.ru

________________________________________________________________________

(Описание мер, предусмотренных статьями 18¹ и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименование этих средств); (Ф.И.О. физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты)

Сведения о наличии или об отсутствии трансграничной передачи персональных данных: Трансграничная передача персональных данных в процессе их обработки не осуществляется.

Сведения об обеспечении безопасности персональных данных:

На основании модели угроз безопасности информации (частной модели угроз безопасности персональных данных) разработана система защиты информации (СЗИ).

Хранение сведений организовано на электронных носителях (в ИСПДн) с использованием средств обеспечения безопасности, на бумажных носителях – в сейфах (шкафах исключающих несанкционированный доступ).

________________________________________________________________________

(сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленные Правительством Российской Федерации)

Дата начала обработки персональных данных: 15.09.2017г. (число, месяц, год)

Срок или условия прекращения обработки персональных данных: бессрочно

Руководитель _________ Путин Владимир Владимирович

(должность) (подпись) (Ф.И.О.)

«15» сентября 2017 г.

2.Положение о подразделении

УТВЕРЖДАЮ

Начальник ППО «Администрация президента»

по г. Москва

В. В. Путин

от «15» сентября 2017 г.

№ ______

Положение о подразделении по защите персональных данных

Комсомольск-на-Амуре

2017

Приказ

«15» сентября 2017г.

Г г. Комсомольск-на-Амуре

№1111

О проведении работ по защите персональных данных в первичной профсоюзной организации «Администрация президента»

В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» в государственных органах:

П Р И К А З Ы В А Ю:

1) Назначить отдел информационных технологий ответственным за обеспечение защиты персональных данных, во главе с начальником отдела информационных технологий.

2) Осуществлять режим защиты персональных данных на основании принципов и положений:

а) Концепции информационной безопасности.

б) Политики информационной безопасности.

3) Осуществлять режим защиты персональных данных в отношении данных перечисленных в Перечне персональных данных, подлежащих защите.

4) Провести внутреннюю проверку, в срок до 2017 г., на предмет:

а) Классификации информационных систем обработки данных.

б) Определения режима обработки персональных данных в информационной системе.

в) Установления круга лиц участвующих в обработке персональных данных.

г) Выявления угроз безопасности персональных данных.

5) Разработать и внедрить:

а) План мероприятий по обеспечению защиты персональных данных.

б) Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

в) План внутренних проверок.

г) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

д) Инструкцию администратора безопасности информационных системах персональных данных.

е) Инструкцию пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.

6) Контроль за исполнением настоящего приказа возложить на начальника отдела безопасности.

Путин В. В. _________________

(подпись)

3.Положение о порядке организации и проведения работ по обеспечению безопасности ПДн

Приложение №1

УТВЕРЖДЕНО

Приказом ППО «Администрация президента»

по г. Москва

от «15» сентября 2017 г.

№ ______

ПОЛОЖЕНИЕ

о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в первичной профсоюзной организации «Администрация президента» по г. Москва

Комсомольск-на-Амуре

2017

Оглавление

1 Основные понятия и сокращения… 3

2 Общие положения… 6

3 Классификация информационных систем персональных данных… 7

4 Основные цели и задачи защиты информации на объекте информатизации организации… 4

5 Порядок определения защищаемой информации организации… 5

6 Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации… 10

7 Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных… 11

8 Организация работ по защите информации на объекте информатизации организации… 13

9 Ответственность должностных лиц организации за обеспечение защиты информации, содержащей ПДн, на объекте информатизации… 17

10 Планирование работ по защите персональных данных… 20

11 Контроль состояния защиты персональных данных… 21

12 Аттестование информационных систем персональных данных… 22

13 Взаимодействие с другими организациями… 24

1. Основные понятия и сокращения

В настоящем Положении используются следующие основные понятия и сокращения:

Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор АС – лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

Администратор безопасности АС – лицо, ответственное за защиту АС от несанкционированного доступа к информации.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа (ВП) – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы (ВТСС) – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.

Доступ к персональным данным – возможность получения персональных данных и их использования.

Защита от несанкционированного доступа – предотвращение или существенное затруднение несанкционированного доступа.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – сведения (сообщения, данные) независимо от формы их представления.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.

Контролируемая зона (КЗ) – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально – распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Недекларированные возможности (НДВ) – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ {несанкционированные действия) (НСД) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим техническим характеристикам и функциональному предназначению.

Несанкционированный доступ к персональным данным (несанкционированные действия), (НСД) – доступ к персональным данным или действия с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Объект доступа – единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, вероисповедание, национальность, другая информация.

Побочные электромагнитные излучения и наводки (ПЭМИН) – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь ИСПДн – лицо, участвующее в функционировании ИСПДн или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить персональные данные или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие (ПМВ) – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ

Ресурс информационной системы персональных данных – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы персональных данных.

Санкционированный доступ к персональным данным – доступ к персональным данным, не нарушающий правила разграничения доступа.

Средства вычислительной техники (СВТ) – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Система защиты информации – совокупность органов и (или) исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Система защиты персональных данных (СЗПДн) – комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности ПДн в ИСПДн.

На страницу:
1 из 4

Другие книги автора