Технический канал утечки информации – совокупность носителя персональных данных (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается информация, содержащая персональные данные.

Технические средства информационной системы персональных данных (ТСИСПДн) – средства вычислительной техники, информационновычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, приложения и т. п.), средства защиты информации.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации, содержащей персональные данные, по техническим каналам – неконтролируемое распространение персональных данных от носителя персональных данных через физическую среду до технического средства, осуществляющего перехват информации, содержащей персональные данные.

Целостность информации, содержащей персональные данные – способность средства вычислительной техники или информационной системы персональных данных обеспечивать неизменность информации, содержащей персональные данные, в условиях случайного и/или преднамеренного искажения (разрушения).

2. Общие положения

2.1. Положение о порядке организации и проведения работ по обеспечению безопасности ПДн при их обработке в Администрации президента России по г. Комсомольску-на-Амуре Хабаровского края (далее – Положение) относится к основополагающим документам, определяющим общие принципы организации работ по информационной безопасности ПДн в организации. Положение разработано в соответствии с Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, постановлением Правительства РФ от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн», постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»; «Методикой определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 14.02.08, «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 15.02.08; Приказом ФСТЭК России от 05.02.2010 №58 (зарегистрированным в Минюсте России 19.02.2010 №16456) «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» и другими нормативными документами и определяет содержание и порядок осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн Администрации президента России по г. Комсомольску-на-Амуре Хабаровского края (далее – Организация), представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.

2.2. Организация и проведение работ по обеспечению безопасности информации, содержащей ПДн, на объекте информатизации Организации проводится на основании законодательных и нормативных актов Российской Федерации в области защиты информации и настоящего Положения. Безопасность ПДн при их обработке в ИСПДн достигается путем исключения НСД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иные несанкционированные действия.

2.3. Требования настоящего Положения являются обязательными для исполнения в Организации, а также организациями, учреждениями и предприятиями, выполняющими работы по защите информации в Организации.

2.4. Положение определяет порядок организации и проведения работ по защите информации, содержащей ПДн, на объект информатизации как в период их создания, так и в процессе повседневной эксплуатации.

2.5. Принимаемые меры по защите информации на объекте информатизации должны обеспечивать выполнение действующих требований и норм по защите информации.

При обработке ПДн в ИСПДн должно быть обеспечено:

– проведение мероприятий, направленных на предотвращение НСД к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

– своевременное обнаружение фактов НСД к ПДн;

– недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

– возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;

– постоянный контроль за обеспечением уровня защищенности ПДн.

2.6. Разработка мер и обеспечение защиты информации на объекте информатизации осуществляются отделом безопасности Организации или ответственным за защиту информации работником.

Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации, содержащей ПДн, по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в ИСПДн информационные технологии.

Для обеспечения безопасности ПДн при обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Методы и способы защиты ПДн в ИСПДн устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий.

Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии ФСТЭК России и ФСБ России на право проведения соответствующих работ.

Достаточность принятых мер по обеспечению безопасности ПДн при их обработке в ИСПДн оценивается при проведении государственного контроля и надзора.

Согласование планируемых мер, контроль выполнения работ на местах, соответствия принятых мер и проводимых мероприятий по защите информации действующим требованиям и нормам производит отдел безопасности или администратор информационной безопасности.

2.7. Объект информатизации Организации должен соответствовать требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.

Размещение ИСПДн и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты ПДн, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

2.8. Защита информации организуется в соответствии с действующими нормативными документами ФСТЭК России.

Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства. Ответственность за общее состояние и организацию работ по созданию и эксплуатации объекта информатизации возлагается на начальника Организации. Ответственность за обеспечение требований по защите информации, циркулирующей на объекте информатизации, возлагается на начальников структурных подразделений организации, эксплуатирующих объект информатизации.

2.9. Контроль выполнения требований настоящего Положения возлагается на начальника Организации.

2.10. Финансирование мероприятий по защите информации предусматривается сметами организации на планируемый год. При этом:

– расходы по защите информации при эксплуатации существующих помещений, технических систем и средств включаются в стоимость их содержания;

– затраты, связанные с защитой информации в создаваемых информационновычислительных и других технических системах, предусматриваются в стоимости создания и развития этих систем;

– расходы по защите информации при ремонте и реконструкции помещений предусматриваются в стоимости этих работ.

2.11. Настоящее положение не распространяется на ИСПДн, обрабатывающие ПДн, отнесенные в установленном порядке к сведениям, составляющим государственную тайну.

3.Классификация информационных систем персональных данных

3.1. Классификация ИСПДн в Организации осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн.

3.2. Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).

3.3. Состав, функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации выявленных угроз безопасности ПДн. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения ПДн или от иных неправомерных действий с ними. В зависимости от объекта, причинение ущерба которому вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный.

3.4. Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:

– незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

– потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;

– нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например – рассылка персонифицированных рекламных предложений и т.п.).

3.5. Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.

3.6. Классификация ИСПДн проводится комиссией, назначаемой начальником Организации, в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, и иными руководящими документами по защите ПДн.

3.7. Проведение классификации ИСПДн включает в себя следующие этапы:

– сбор и анализ исходных данных по ИСПДн;

– присвоение ИСПДн соответствующего класса и его документальное оформление.

3.8. При проведении классификации ИСПДн комиссией учитываются следующие исходные данные:

– категория обрабатываемых ПДн в ИСПДн;

– объем обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатываются в ИСПДн);

– заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн;

– структура ИСПДн;

– наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;

– режим обработки ПДн;

– режим разграничения прав доступа к ИСПДн;

– местонахождение технических средств ИСПДн.

3.9. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

3.10. Результаты классификации ИСПДн оформляются актом, подписанными членами комиссии, и утверждается начальником Организации.

3.11. Класс ИСПДн может быть пересмотрен:

– на основе проведенных комиссией анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;

– по результатам мероприятий по контролю и надзору уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн.

4. Основные цели и задачи защиты информации на объекте информатизации Организации

4.1. В соответствии с присвоенным классом ИСПДн и моделью угроз безопасности ПДн в Организации должен выполняться комплекс организационнотехнических мероприятий по защите информации, циркулирующей в помещениях, технических системах и средствах передачи, хранения и обработки информации.

4.2. Накопление, обработка, хранение и передача защищаемой информации в Организации происходит на объекте информатизации, который представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых» в соответствии с заданной информационной технологией, средств обеспечения, помещений, в которых они установлены, или помещений, предназначенных для ведения конфиденциальных переговоров.

К объекту информатизации в Организации относятся защищаемые, специальные помещения и средства вычислительной техники.

4.3. Целями защиты информации на объекте информатизации являются:

– предотвращение утечки информации по техническим каналам;

– предотвращение уничтожения, искажения, копирования, блокирования информации в системах информатизации за счет НСД к ней;

– соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах ее обработки;

– сохранение возможности управления процессом обработки и пользования информацией.

4.4. К основным задачам защиты информации на объекте информатизации относя гея задачи по предотвращению:

– несанкционированного доведения защищаемой информации до лиц, не имеющих права доступа к этой информации;

– получения защищаемой информации заинтересованным лицом с нарушением установленных прав или правил доступа к защищаемой информации;

– получения защищаемой информации разведкой с помощью технических средств;

– воздействия на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;

– воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств АС, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

4.5. Защита информации на объекте информатизации Организации достигается выполнением комплекса организационных мероприятий с применением сертифицированных средств защиты информации от утечки или воздействия на нее по техническим каналам путем НСД к ней, по предупреждению преднамеренных программно-технических воздействий, предпринятых с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

5. Порядок определения защищаемой информации организации

5.1. К защищаемой информации Организации относится:

– информация, содержащая ПДн работников, клиентов, граждан;

– общедоступная информация, уничтожение, изменение, блокирование которой может нанести ущерб Организации.

5.2. По результатам анализа информации обрабатываемой в Организации составляются:

– «Список сотрудников, допущенных к обработке ПДн» (с указанием названия и вида обрабатываемого документа: бумажный, электронный);

– «Перечень информационных ресурсов, содержащих ПДн, подлежащих защите в АС».

5.3. Защищаемая информация Организации может быть представлена:

– на бумажных носителях в виде отдельных документов или дел с документами;

– на машинных носителях в виде файлов, массивов; баз данных, библиотек и пр.;

– в виде речевой информации, при проведении совещаний, переговоров и пр.

5.4. С целью определения технических средств и систем, с помощью которых

обрабатывается информация, содержащая ПДн, а также помещений, где проводятся обсуждения с использованием такой информации, отделом информационных технологий, отделом безопасности или администратором информационной безопасности Организации составляются и утверждаются перечни ТС ИСПДн, защищаемых и специальных помещений.

6. Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации

6.1. Технический канал утечки информации (ТКУИ) представляет собой совокупность следующих факторов:

– источника информативного сигнала;

– физической среды его распространения;

– приемника, способного зарегистрировать данный сигнал.

6.2. При ведении переговоров и использовании технических средств для обработки и передачи информации на объекте информатизации Организации возможна реализация следующих ТКУИ:

– акустического излучения информативного речевого сигнала;

– электрических сигналов, возникающих при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям, выходящим за пределы КЗ;

– виброакустических сигналов, возникающих при преобразовании информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации защищаемого помещения;

– НСД к обрабатываемой в АС информации и несанкционированные действия с ней;

– воздействия на технические или программные средства ИС в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;

– ПЭМИН информативных сигналов от ТС ИСПДн и линий передачи информации;

– наводок информативного сигнала, обрабатываемого ТС ИСПДн, на цепи электропитания и линии связи, выходящие за пределы КЗ;

– радиоизлучений, модулированных информативным сигналом, возникающим при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

– радиоизлучений или электрических сигналов от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации («закладочные устройства»), модулированных информативным сигналом;

– радиоизлучений или электрических сигналов от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

– просмотра информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

– прослушивания телефонных и радиопереговоров;

– хищения технических средств с хранящейся в них информацией или носителей информации.

6.3. Перехват информации, циркулирующей на объекте информатизации, или воздействие на нее с использованием технических средств могут вестись:

– из-за границы КЗ из близлежащих строений и транспортных средств;

– из смежных помещений, принадлежащих другим организациям и расположенным в том же здании, что и объект информатизации;

– при посещении Организации посторонними лицами;

– за счет НСД к информации, циркулирующей в АС, как с помощью технических средств автоматизированной системы, так и через сети.

6.4. В качестве аппаратуры перехвата или воздействия на информацию и технические средства объекта информатизации могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации – «закладочные устройства», размещаемые внутри или вне защищаемого помещения.

6.5. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны, вследствие:

– непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемого помещения и его инженерно- технических систем;

– некомпетентных или ошибочных действий пользователей;

– непреднамеренного просмотра информации с экранов мониторов и пр.

6.6. Выявление и учет факторов, которые воздействуют или могут воздействовать на информацию, циркулирующую на объекте информатизации, проводятся в соответствии с «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 15.02.2008, и составляют основу для планирования мероприятий, направленных на защиту информации на объекте информатизации.

7. Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

7.1. В целях осуществления технического обеспечения безопасности ПДн при их обработке в ИСПДн, в зависимости от класса ИСПДн в Организации реализовываются Следующие мероприятия:

– мероприятия по защите от НСД к ПДн при их обработке в ИСПДн;

– мероприятия по защите информации от утечки по техническим каналам.

7.2. Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и неправомерных действий включают:

– управление доступом;

– регистрацию и учет;

– обеспечение целостности;

– контроль отсутствия НДВ;

– антивирусную защиту;

– обеспечение безопасного межсетевого взаимодействия ИСПДн;

– анализ защищенности;

– обнаружение вторжений.

7.3. Подсистему управления доступом, регистрации и учета необходимо реализовывать на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы сертифицированные программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации.

Средства диагностики осуществляют тестирование файловой системы и баз ПДн, постоянный сбор ПДн о функционировании элементов подсистемы обеспечения безопасности ПДн.

Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае угрозы НСД, которая не может быть блокирована системой.

Средства сигнализации предназначены для предупреждения операторов при их обращении к защищаемым ПДн и для предупреждения администратора при обнаружении факта НСД к ПДн, искажении программных средств защиты, выходе или выводе из строя аппаратных средств защиты и о других фактах нарушения штатного режима функционирования ИСПДн.

Средства имитации моделируют работу с нарушителями при обнаружении попытки НСД к защищаемым ПДн или программным средствам. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и дезинформировать нарушителя о месте нахождения защищаемых ПДн.

7.4. Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи не принятого пакета.

7.5. Подсистема контроля отсутствия НДВ реализуется в большинстве случаев на базе систем управления базами данных, средств защиты ПДн, антивирусных средств защиты ПДн.

<1 2 3 4 >

На страницу:

Перейти

2 из 4