rispost

ОРГАНИЗАЦИИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (ИСПДн)

7 января, 2020

 

ОРГАНИЗАЦИИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (ИСПДн)

 

 

 

Содержание

 

  1. Общие положения. 3
  2. Основные мероприятия при организации ИСПДн. 5

Перечень сведений, отнесенных к персональным данным (для анализа и классификации сведений, циркулирующих и обрабатываемых в организации) 12

  1. Список документов, регламентирующих обработку ПДн в ИСПДн. 16
  2. Приложения. 17

Частная модель угроз безопасности информационной системы персональных данных. 17

Акт классификации информационной системы персональных данных. 26

О контролируемой зоне помещения. 27

Технический паспорт ИСПДн. 29

Перечень применяемых средств защиты информации. 31

Технический паспорт на защищаемое помещение. 32

Акт об уничтожении ПДн. 34

Журнал учета обработки ПДн. 35

Перечень сведений конфиденциального характера. 36

Об организации работ по защите информации, содержащей персональные данные  37

Руководство администратора информационной безопасности. 39

Руководство пользователей и технология обработки персональных данных. 42

 

1. Общие положения

 

1.1. Настоящий документ разработан на основе Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, с целью совершенствования методического обеспечения деятельности в данной области государственных и муниципальных органов, юридических и физических лиц, организующих и (или) осуществляющих обработку персональных данных (ПДн), определяющих цели и содержание обработки ПДн (операторов), а также заказчиков и разработчиков информационных систем персональных данных (ИСПДн) при решении ими задач по обеспечению безопасности ПДн.

1.2. Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

Мероприятия по обеспечению безопасности ПДн формулируются в зависимости от класса ИСПДн, определяемого с учетом возможного возникновения угроз безопасности жизненно важным интересам личности, общества и государства.

1.3. Положения настоящего документа не распространяются на ИСПДн, обрабатывающие ПДн, отнесенные в установленном порядке к сведениям, составляющими государственную тайну. Порядок и содержание мероприятий по защите информации, содержащей сведения, составляющие государственную тайну, определяются в соответствии с нормативными и методическими документами в области защиты государственной тайны.

1.4. Настоящий документ является рекомендациями, определяющими мероприятия по организации и техническому обеспечению безопасности ПДн (не криптографическими методами) при их обработке в ИСПДн, в интересах решения задач:

проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

своевременного обнаружения фактов несанкционированного

доступа  (НСД)  к  ПДн;

недопущения воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;

постоянного контроля за обеспечением уровня защищенности ПДн.

Обеспечение безопасности ПДн с использованием криптографических методов в настоящем документе не рассматривается. Порядок организации и обеспечения указанных работ определяется в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации.

1.5. Настоящий документ применяется для обеспечения безопасности ПДн при их обработке в ИСПДн следующих видов:

ИСПДн государственных органов, организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных;

ИСПДн муниципальных органов, организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных;

ИСПДн юридических лиц, организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных;

ИСПДн физических лиц, организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).

1.6. Работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ по созданию ИСПДн. Результатом этих работ должно являться создание системы (подсистемы) защиты персональных данных ИСПДн.

1.7. Для обеспечения безопасности ПДн при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.

2. Основные мероприятия при организации ИСПДн.

 

Государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных далее именуется оператор.

Оператор обязан:

2.1. Провести инвентаризацию информационных ресурсов, обрабатываемых в информационной системе и определить перечень обрабатываемых ПДн;

2.2. Урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);

2.3. Оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;

Федеральный закон «О персональных данных» ФЗ-152

Ст.22. Уведомление об обработке персональных данных» направляется в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

Получение Выписки регламентируется Приказом Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.03.2008 г. №154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»:

п. 17. Операторы, включенные в Реестр, вправе получить выписку из Реестра по письменному обращению в Службу в срок не позднее тридцати дней.

2.4. Разработать модель угроз (на основании результатов обследования ИСПДн);

Модель угроз — систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн.

Угрозы безопасности ПДн — совокупность условий факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий при их обработке в ИСПДн.

Источник угрозы — субъект доступа, территориальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Нарушитель безопасности ПДн — физическое лицо случайно или преднамеренно совершающее действия, следствием которого является нарушение безопасности ПДн при их обработке техническими средствами в ИСПДн.

Уязвимость ИСПДн — недостаток ИСПДн, предоставляющий возможность реализации угроз безоп-ти обрабатываемых в ней ПДн.

 

Основные угрозы НСД и возможные последствия их реализации:

№ п/п Тип угрозы Возможные последствия
1 Анализ сетевого трафика Исследование характеристик сетевого трафика, перехват передаваемых данных, в том числе идентификаторов и паролей пользователей
2 Сканирование сети Определение протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей
3 Угроза выявления пароля Выполнение любого действия, связанного с получением несанкционированного доступа
4 Подмена доверенного объекта сети Изменение трассы прохождения сообщений, несанкционированное изменение маршрутно-адресных данных. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
5 Навязывание ложного маршрута сети Несанкционированное изменение маршрутно-адресных данных, анализ и модификация передаваемых данных, навязывание ложных сообщений
6 Внедрение ложного объекта сети Перехват и просмотр трафика. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
7 Отказ в обслуживании Частичное исчерпание ресурсов Снижение пропускной способности каналов связи, производительности сетевых устройств. Снижение производительности серверных приложений
Полное исчерпание ресурсов Невозможность передачи сообщений из-за отсутствия доступа к среде передачи, отказ в установления соединения. Отказ в предоставлении сервиса (электронной почты, файлового и т.д.)
Нарушение логической связности между атрибутами, данными, объектами Невозможность передачи, сообщений из-за отсутствия корректных маршрутно-адресных данных. Невозможность получения услуг ввиду несанкционированной модификации идентификаторов, паролей и т.п.
Использ-е ошибок в ПО Нарушение работоспособности сетевых устройств.
8 Удаленный запуск прило-жений Путем рассылки файлов, содержащих деструктивный код, вирусное заражение Нарушение конфиденциальности, целостности, доступности информации
Путем переполнения буфера серверного приложения  
Путем использования возм-ей удаленного управл-я системой Скрытое управление системой

 

Методика определения угроз безопасности ПДн  при их обработке в ИСПДн

  • Определяет порядок моделирования угроз безопасности ПД при их обработке в ИС и выявления актуальных угроз (на основе экспертного анализа).
  • Результаты определения актуальных угроз используются для определения конкретных организационно-технических требований по защите ИСПДн и для выбора СЗИ.

Угрозы безопасности ПД могут быть реализованы за счёт:

  • несанкционированного доступа к базам данных
  • утечки ПД по техническим каналам:
  • угрозы утечки акустической (речевой) информации;
  • угрозы утечки видовой информации.

 

Частная модель угроз рассчитывается и оформляется в соответствии с Приложением 1.

 

2.5. Провести классификацию ИСПДн с оформлением соответствующего акта (Приложение 2).

Пояснения к заполнению акта классификации ИСПДн:

Наименование информационной системы

В графе «Наименование информационной системы» приведены наименования информационных систем конкретного органа власти, государственным заказчиком промышленной эксплуатации (оператором) которых он является в соответствии с распорядительными документами субъекта о вводе данных систем в промышленную эксплуатацию, а также в соответствии с паспортами на эти системы.

Структура ИСПДн

По структуре ИСПДн подразделяются на:

  1. Автономные (автоматизированные рабочие места) – комплексы технических и программных средств, предназначенные для обработки персональных данных, размещенные на одном рабочем месте и неподключенные к иным информационным системам;
  2. Локальные – комплексы автоматизированных рабочих мест, объединенных в единую информационную систему, передающие информацию по локальным (корпоративным) вычислительным сетям и расположенные на одной площадке;
  3. Модульные – комплексы автоматизированных рабочих мест и (или) локальных информационных систем, состоящие из модулей и (при необходимости) центральной части, расположенных на разных территориально удаленных площадках, объединенных каналами связи в единую информационную систему.

Наличие подключений информационной системы к сетям связи общего пользования (ССОП) и (или) сетям международного информационного обмена.

По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена ИСПДн подразделяются на:

Системы, имеющие подключения к ССОП;

Системы, не имеющие подключений к ССОП.

Тип (режим) обработки ПДн

В графе «Тип обработки ПДн» указывается режим обработки ПДн в классифицируемой ИСПДн. В соответствии с классификацией ФСТЭК РФ, режимы обработки ПДн подразделяются на:

  • Однопользовательские;
  • Многопользовательские.

По разграничению прав доступа к ресурсам ИСПДн на:

  • Системы без разграничения прав доступа;
  • Системы с разграничением прав доступа.

Местонахождение ИСПДн

Определение местонахождения ИСПДн подразумевает указание адресов площадок, где располагается оборудование ИСПДн. В случае территориально распределенной (модульной) ИСПДн, необходимо указывать местонахождение ИСПДн (средства, которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации), а так же адреса для центральной части и для каждого из модулей, входящих в состав распределенной ИСПДн.

Категория ПДн

В графе «Категория ПДн» указывается категория ПДн в соответствии с приказом ФСТЭК РФ от 13.02.2008 №55/86/20, а также приводится перечень информации о субъектах ПДн, обрабатываемых в классифицируемой ИСПДн.

В соответствии с классификацией ФСТЭК РФ, определено 4 категории ПДн, а именно:

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 – обезличенные и (или) общедоступные персональные данные.

Госзаказчик (оператор персональных данных) определяет категорию информации, как для центральной части, так и для каждого из модулей, входящих в состав распределенной ИСПДн.

Например, в Модуле 1.1 ИСПДн обрабатываются следующие ПДн: ФИО, место работы, семейное положение, доход, что соответствует 2ой категории ПДн.

В Модуле 1.2 обрабатываются следующие ПДн: ФИО, место жительства, что соответствует 3ей категории ПДн.

Объем обрабатываемых ПДн

В графе «Объем обрабатываемых ПДн» указывается группа ИСПДн по объему обрабатываемых ПДн в соответствии с классификацией ФСТЭК России, а также количество субъектов ПДн, информация о которых обрабатывается в классифицируемой ИСПДн.

В соответствии с классификацией ФСТЭК России, объем персональных данных, обрабатываемых в ИСПДн, разделяется на 3 группы:

Группа 1 — в информационной системе одновременно обрабатываются данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

Группа 2 — в информационной системе одновременно обрабатываются данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

Группа 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Класс системы

В случае, если Оператор персональных данных классифицировал свою систему как типовая ИСПДн, класс системы определяется на основании, а именно сопоставив 2 поля: «Объем обрабатываемых ПДн» и «Категория ПДн» Оператор получает класс классифицируемой ИСПДн. Определив класс типовой ИСПДн, Оператор должен проверить правильность проведенной классификации, путем сопоставления описания полученного класса и реальных условий обработки информации в ИСПДн.

Класс ИСПДн (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

Класс ИСПДн (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

Класс ИСПДн (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

Класс ИСПДн (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

2.6. Определить границы контролируемой зоны по периметру здания и оформить соответствующий акт (Приложение 3).

Определение границ КЗ необходимо для разработки ряда документов, в которых учитывается привязка к границам КЗ, в частности:

  • технический паспорт ИСПДн;

2) модель угроз безопасности ПДн при их обработке в ИСПДн.

2.7. В соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К) составить технический паспорт ИСПДн по форме Приложения 4.

2.8. На каждое автоматизированное рабочее место (АРМ) составить перечень применяемых средств защиты информации (СЗИ) и оформить в соответствии с Приложением 5.

2.9. Одним из основных организационных мероприятий по защите информации является организация режима и контроля доступа в помещения, в которых установлены аппаратные средства ИСПДн.

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Технический паспорт оформляется в соответствии с Приложением 6.

2.10. Носители информации на магнитной (магнитооптической), оптической и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях организации в установленном порядке. Уничтожение носителей оформляется в соответствии с Приложением 7.

2.11. Составить и вести журнал учета обработки ПДн согласно форме Приложения 8.

2.12. Для всех информационных ресурсов организации, содержащих персональные данные, необходимо:

  • определить их статус (на основании чего созданы: в соответствии с законодательством, для исполнения договора, по собственной инициативе и т.д.);
  • уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, из публичных источников, от третьих лиц и т.д.);
  • установить сроки хранения и сроки обработки данных в каждом информационном ресурсе;
  • определить способы обработки; определить лиц, имеющих доступ к данным; сформулировать юридические последствия;

Документально оформить перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативно-правовыми актами, по форме Приложения 9.

Например:

 

Перечень сведений конфиденциального характера
№ п/п Наименование сведений Типы док-ов, где возможно появление сведений конф. хар-ра
1. Сведения раскрывающие систему, средства защиты информации ЛВС предприятия от НСД, а также значения действующих кодов и паролей. Руководство по защите конфиденциальной информации предприятия (учреждения).
2. Сводный перечень работ предприятия на перспективу, на год (квартал). План работ предприятия на перспективу.
3. Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов. ст. 6, п. 2 ФЗ РФ “Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования”.
4. Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица. ст. 6, п. 2 ФЗ РФ “Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования”.
5. Основные показатели задания на проектирование комплекса (установки). НОУ-ХАУ технологии — различные технические, коммерческие и другие сведения, оформленные в виде технической документации. ТТЗ и ТЭО. Техническая документация с пометкой “Для служебного пользования”.
6. Методические материалы, типовые технологические и конструктивные решения, разработанные на предприятии и используемые при проектировании. Методики, проектная и конструкторская документация.
7. Требования по обеспечению сохранения служебной тайны при выполнении работ на предприятии. План работ предприятия на перспективу. Раздел ТТЗ на НИР (НИОКР).
8. Порядок передачи служебной информации ограниченного распространения другим организациям. Руководство по защите конфиденциальной информации предприятия (учреждения).

 

Перечень сведений, отнесенных к персональным данным (для анализа и классификации сведений, циркулирующих и обрабатываемых в организации)

 

  • Анкетные данные
  • Сведения о образовании
  • Биографические данные
  • Сведения о трудовом и общем стаже
  • Сведения о составе семьи
  • Паспортные данные
  • Сведения о воинском учете
  • Сведения о заработной плате сотрудника
  • Сведения о доходах
  • Сведения о социальных льготах
  • Специальность, занимаемая должность
  • Сведения о наличии судимостей
  • Адрес места жительства
  • Домашний телефон
  • Сведения о месте работы или учебы членов семьи и родственников
  • Сведения о характере взаимоотношений в семье
  • Выписки из медицинских книжек, сведения о здоровье
  • Копии решений судов (о взыскании алиментов и т.д.), нотариальные и адвокатские документы
  • Содержание трудового договора
  • Состав декларируемых сведений о наличии материальных ценностей
  • Сведения о содержании декларации, подаваемой в налоговую инспекцию
  • Подлинники и копии приказов по личному составу
  • Личные дела и трудовые книжки сотрудников
  • Основания к приказам по личному составу
  • Сведения о делах, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации,
    служебным расследованиям
  • Сведения о отчетах, направляемых в органы статистики
  • Материалы переписки с организациями
  • Телефонные справочники, сведения о телефонных переговорах, почтовых отправлениях, телеграфных или иных
    сообщениях и так далее
  • Сведения о деятельности страховщика
  • Журналистские или редакционные сведения
  • Сведения личного характера, ставшие известными при оказании социальных услуг
  • Сведения об усыновлении (удочерении)
  • Сведения о частной жизни (о состоянии здоровья, любовных связях, дурных привычках, склонностях, пристрастиях, врожденных или приобре-тенных пороках, скрытых физических недостатках, о порочном социальном прошлом, о порочащих деловых дружеских связях, интимных взаимо-отношениях, дневники, вероисповедование и т.д.
  • Сведения о результатах голосования
  • Отчеты, в которых содержатся персональные данные о гражданах (фамилия, имя, отчество и другая информация, предназначенная для установления контактов)
  • Сведения об обладателях вещных и иных прав
  • Сведения об участниках конкурса, подавших заявки на участие в конкурсе
  • Сведения о ключах, кодах, паролях и идентификаторах пользователей, осуществляющих обработку конфиденциальной информации
  • Сведения о закрытом ключе уполномоченного лица удостоверяющего центра
  • Сведения о закрытом ключе владельца сертификата открытого ключа подписи
  • Пароли, предоставляемые пользователям удостоверяющего центра, в процессе прохождения процедуры регистрации
  • Персональная и корпоративная информация пользователей
  • Сведения, полученные при выполнении совместных работ с другими министерствами, службами, агентствами и организациями, содержащие конфиденциальную информацию этих организаций
  • Сведения о фактах ведения переговоров, предметах и целях совещаний и заседаний по защите конфиденциальной информации и сторонних участников, итоговые протоколы (решения)
  • Документы о прохождении конкурса на замещение вакантной должности гражданской службы (если гражданин назначен на должность по результатам конкурса)
  • Копии решений о награждении государственными наградами, присвоении почетных, воинских и специальных званий, присуждении государственных премий
  • Экземпляры служебного контракта, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в служебный контракт
  • Копии актов государственного органа о переводе гражданского служащего на иную должность гражданской службы, о временном замещении им иной должности гражданской службы
  • Копии актов государственного органа об освобождении гражданского служащего от замещаемой должности гражданской службы, о прекращении служебного контракта или его приостановлении
  • Аттестационные листы гражданского служащего, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период
  • Экзаменационные листы гражданского служащего и отзыв об уровне его знаний, навыков и умений (профессиональном уровне) и о возможности присвоения ему классного чина государственной гражданской службы Российской Федерации
  • Копии документов о присвоении гражданскому служащему классного чина государственной гражданской службы Российской Федерации (иного классного чина, квалификационного разряда, дипломатического ранга)
  • Копии решений о поощрении гражданского служащего, а также о наложении на него дисциплинарного взыскания до его снятия или отмены
  • Копии документов о начале служебной проверки, ее результатах, об отстранении гражданского служащего от замещаемой должности гражданской службы
  • Документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности гражданской службы связано с использованием таких сведений
  • Письменные объяснения гражданского служащего
  • Личные е-mail, номера сотовых телефонов
  • Сведения, содержащиеся в регистрах бухгалтерского учета и внутренней бухгалтерской отчетности
  • Сведения о паролях и криптографических ключах, используемых средствами идентификации и авторизации пользователей
  • Сведения, содержащиеся в книгах записей актов гражданского состояния или в метрических книгах церквей, миссий, приходов, о рождении, заключении брака, расторжении брака, смерти, усыновлении, установлении отцовства, перемене фамилии, имени, отчества
  • Списки со сведениями на детей (до 18 лет), оставшихся без попечения родителей и подлежащих устройству в семью (передачу под опеку, на усыновление, удочерение), с указанием индивидуальных внешних данных и психологических характеристик детей, медицинских сведений, данных о месте и времени рождения, родителях, обстоятельствах лишения родительских прав
  • Сведения о результатах комплексных проверок
  • Данные о штатной численности организации

2.13. В обязательном порядке назначить администратора безопасности, а также создать подразделение или назначить должностное лицо для обеспечения безопасности ПДн. Формы приказа согласно Приложению 10.

Описание порядка установки, настройки, конфигурирования и администрирования средств антивирусной защиты, а также порядка действий в случае выявления факта вирусной атаки или иных нарушений требований по защите от программно-математических воздействий должны быть включены в руководство администратора безопасности информации в ИСПДн, составленное по аналогии с Приложением 11.

Также разрабатывается руководство пользователя ИСПДн по форме Приложения 12.

3. Список документов, регламентирующих обработку ПДн в ИСПДн.

 

1)      Акт классификации информационной системы персональных данных (ИСПДн).

2)      Модель угроз безопасности ПДн при их обработке в ИСПДн (для специальных систем).

3)      Определение границ контролируемой зоны ИСПДн.

4)      Технический паспорт ИСПДн.

5)      Регламент разграничения прав доступа.

6)      Разрешительная система доступа.

7)      Руководство администратора ИСПДн.

8)      Руководство пользователя ИСПДн.

9)      Перечень применяемых средств защиты информации (СЗИ).

10)     Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.

11)     Положение об организации режима безопасности помещений, где осуществляется работа с ПДн.

12)     Положение о порядке хранения и уничтожения носителей ПДн.

13)     Формы учета для организации обработки ПДн (шаблоны, бланки).

14)     Перечень сведений конфиденциального характера.

15)     Приказ о назначении администратора безопасности ИСПДн, структурного подразделения или должностного лица, ответственного за обеспечение безопасности ПДн.

16)     Копия «Уведомления об обработке ПДн», выписка из реестра операторов ПДн.

 

4. Приложения

Приложение 1

Частная модель угроз безопасности информационной системы персональных данных

 

(наименование информационной системы персональных данных)

Исходная степень защищенности информационной системы персональных данных: ___________

 

Показатель защищенности Y1 = _______(0 – для высокой степени исходной защищенности, 5 – для средней, 10 – для низкой)

 

Справочно:

Вероятность реализации Y2 =

0 для маловероятной угрозы;

2 для низкой вероятности угрозы;

5 для средней вероятности угрозы;

10 для высокой вероятности угрозы.

 

 

Коэффициент реализуемости угрозы

Y = (Y1 + Y2)/20.

 

 

Возможность реализации угрозы

0 < Y < 0,3, — низкая;

0,3 < Y < 0,6, — средняя;

0,6 < Y < 0,8, — высокая;

Y > 0,8, —  очень высокая

 
Наименование угрозы Вероятность реализации угрозы (Y2) Возможность реализации угрозы (Y) Опасность угрозы Актуальность угрозы Меры по противодействию угрозе
Технические Организационные
Угрозы преднамеренного электромагнитного воздействия на ее элементы         Экранирование зданий и помещений, технических средств.

 

Удаление от границы контролируемой зоны
Угрозы от утечки по техническим каналам      
Угрозы утечки акустической информации Мало вероятная Низкая Низкая Неактуальная Виброгенераторы, генераторы шумов, звукоизоляция. Инструкция пользователя

Технологический процесс

Угрозы утечки видовой информации  
Просмотр информации на дисплее сотрудниками, не допущенными к обработке персональных данных           Инструкция пользователя
Просмотр информации на дисплее посторонними лица, находящимися в помещении в котором ведется  обработка персональных данных           Инструкция пользователя

Пропускной режим

Просмотр информации на дисплее посторонними лица, находящимися за пределами помещения в котором ведется  обработка персональных данных         Жалюзи на окна Инструкция пользователя
Просмотр информации с помощью специальных электронных устройств внедренных в помещении в котором ведется  обработка персональных данных           Порядок пропускного режима
Угрозы утечки информации по каналам ПЭМИН  
Утечка информации по сетям электропитания         Генератор шума по цепи электропитания Инструкция пользователя

Инструкция ответственного

Инструкция администратора безопасности

Технологический процесс обработки

Акт установки средств защиты

Исключение электрических линий выходящих за границы контролируемой зоны линий

Размещение трансформаторной подстанции в контролируемой зоне

Контур заземления

Утечка за счет наводок на линии связи, технические средства расположенные в помещении и системы коммуникаций         Генераторы пространственного зашумления Инструкция пользователя

Инструкция ответственного

Инструкция администратора безопасности

Технологический процесс обработки

Акт установки средств защиты

Исключение электрических линий выходящих за границы контролируемой зоны линий

Размещение трансформаторной подстанции в контролируемой зоне

Контур заземления

Побочные излучения технический средств         Генераторы пространственного зашумления Инструкция пользователя

Инструкция ответственного

Инструкция администратора безопасности

Технологический процесс обработки

Акт установки средств защиты

Удаление от границы контролируемой зоны

Утечки за счет, электромагнитного воздействия на технические средства         Генераторы пространственного зашумления Инструкция пользователя

Инструкция ответственного

Инструкция администратора безопасности

Технологический процесс обработки

Акт установки средств защиты

Угрозы несанкционированного доступа к информации  
Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн  
Кража ПЭВМ         Охранная сигнализация

Решетки на окна

Металлическая дверь

Кодовый замок

Шифрование данных

Пропускной режим

Охрана

Акт установки средств защиты

Кража носителей информации         Охранная сигнализация

Хранение в сейфе

Шифрование данных

Акт установки средств защиты

Учет носителей информации

Кража ключей доступа         Хранение в сейфе Инструкция пользователя

 

Кражи, модификации, уничтожения информации.         Охранная сигнализация

Решетки на окна

Металлическая дверь

Кодовый замок

Шифрование данных

Система защиты от НСД

Акт установки средств защиты
Вывод из строя узлов ПЭВМ, каналов связи         Охранная сигнализация

Решетки на окна

Металлическая дверь

Кодовый замок

Пропускной режим

Охрана

 

Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ         Система защиты от НСД Шифрование данных Ремонт в организация имеющих лицензию на защиту информации

Акт установки средств защиты

Несанкционированное отключение средств защиты         Настройка средств защиты Инструкция администратора безопасности

Технологический процесс обработки

Акт установки средств защиты

Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкци-онированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-матема-тических воздействий);  
Компьютерные вирусы         Антивирусное ПО Инструкция пользователя

Инструкция ответственного

Инструкция администратора безопасности

Технологический процесс обработки

Инструкция по антивирусной защите

Акт установки средств защиты

Недекларированные возможности системного ПО и ПО для обработки персональных данных           Сертификация
Установка ПО не связанного с исполнением служебных обязанностей         Настройка средств защиты Инструкция пользователя

Инструкция ответственного

 

Наличие аппаратных закладок в приобретаемых ПЭВМ           Сертификация
Внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн         Защита помещения Опломбирование
Внедрение аппаратных закладок сотрудниками организации           Опломбирование
Внедрение аппаратных закладок обслуживающим персоналом (ремонтными организациями)           Ремонт в организация имеющих лицензию на защиту информации
Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неатропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.  
Утрата ключей доступа           Инструкция пользователя

Инструкция администратора безопасности

Непреднамеренная модификация (уничтожение) информации сотрудниками         Настройка средств защиты Резервное копирование
Непреднамеренное отключение средств защиты         Доступ к установлению режимов работы средств защиты предоставляется только администратору безопасности Инструкция пользователя

Инструкция администратора безопасности

Выход из строя аппаратно-программных средств           Резервирование
Сбой системы электроснабжения Высокая Высокая Средняя Актуальна угроза Использование источника бесперебойного электропитания Резервное копирование
Стихийное бедствие         Пожарная сигнализация  
Угрозы преднамеренных действий внутренних нарушителей  
Доступ к информации, модификация, уничтожение  лиц не допущенных к ее обработке         Система защиты от НСД Акт установки средств защиты

Разрешительная система допуска

Технологический процесс обработки

 

Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке           Договор о не разглашении

Инструкция пользователя

Угрозы несанкционированного доступа по каналам связи  
Несанкционированный доступ через сети международного обмена         Межсетевой экран Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

Несанкционированный доступ через ЛВС организации         Межсетевой экран Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

Утечка атрибутов доступа         Межсетевой экран Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

Угрозы перехвата при передаче по проводным (кабельным) линиям связи  
Перехват за переделами с контролируемой зоны         Шифрование Технологический процесс
Перехват в пределах контролируемой зоны внешними нарушителями         Шифрование

Физическая зашита канала связи

Пропускной режим

Технологический процесс

 

Перехват в пределах контролируемой зоны внутренними нарушителями         Шифрование

Физическая зашита канала связи

Технологический процесс

 

Приложение 2

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.

Акт классификации информационной системы персональных данных

(наименование ИСПДн)  
   
Исходные данные для классификации  информационной системе персональных данных:
Обрабатываемые персональные данные  
Категория обрабатываемых персональных данных  
Объем обрабатываемых персональных данных  
Структура информационной системы  
Режим обработки персональных данных  
Режим разграничения прав доступа пользователей к информационной системе  
Наличие подключения информационной системы к сетям связи общего пользования и сетям международного информационного обмена.  
Место нахождение технических средств информационной системы  
Дополнительные информация  
Тип информационной системы персональных данных:  
На основании анализа исходных данных информационной системы и в соответствии с классификацией утвержденной приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» и с учетом модели угроз информационной системе присвоен ___ класс.

 

Приложение 3

Утверждаю

Руководитель органа

исполнительной власти

(органа местного самоуправления)

И.О.Фамилия

__________________________

«___» _______________20__ г.

 

 

О контролируемой зоне помещения № ___

 

 

 

В соответствии  с требованиями “Специальных требований и рекомендаций по защите конфиденциальной информации“ (СТР-К) ФСТЭК России:

 

п р и к а з ы в а ю:

 

  1. Определить контролируемую зону помещения № ___ по периметру охраняемой территории в соответствии с приложенной схемой.
  2. Обеспечение контролируемой зоны возлагается на

Должность Ф. И. О.

  1. Контроль за исполнением приказа оставляю за собой.

 

 

 

Начальник органа власти                                                               И. О. Фамилия

 

СХЕМА

контролируемой зоны помещения № 123

 

 

СХЕМАТИЧЕСКО

Приложение 4

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.

Технический паспорт ИСПДн

указывается полное наименование автоматизированной системы
1. Общие сведения об ИС
1.1. Наименование ИС: полное наименование ИС
1.2. Расположение АС: адрес, здание, строение, этаж, комнаты
1.3. Класс ИС: номер и дата акта классификации ИС, класс ИС
2. Состав оборудования ИС
2.1. Состав основных технических средств и систем (ОТСС), входящих в состав ИС :
№ п/п Тип ОТСС Заводской номер Сведения по сертификации, специсследованиям и спецпроверкам
       
2.2. Состав основных технических средств и систем (ВТСС), входящих в состав ИС :
№ п/п Тип ВТСС Заводской номер Примечание
       
         
2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта:
Структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны, схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны объекта.
2.4. Системы электропитания и заземления:
Схемы электропитания и заземления ОТСС объекта. Схемы прокладки кабелей и шины заземления. Схемы расположения трансформаторной подстанции и заземляющих устройств с привязкой к границам контролируемой зоны объекта. Схемы электропитания розеточной и осветительной сети объекта. Сведения о величине сопротивления заземляющего устройства.
2.5. Состав средств защиты информации:
№ п/п Наименова-ние и тип технического средства Заводской номер Сведения о сертификате Место и дата установки
         
         
3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:
Инвентарные номера аттестата соответствия, заключения по результатам аттестационных испытаний, протоколов испытаний и даты их регистрации.
4. Результаты периодического контроля.
Дата проведения Наименование организации, проводившей проверку Результаты проверки, номер отчетного документа
     
         

 

 

Приложение 5

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.
Перечень применяемых средств защиты информации
на объекте вычислительной техники — автоматизированное рабочее место
на базе автономной ПЭВМ (инв. № ____________)
органа исполнительной власти (органа местного самоуправления) расположенном в помещении №_______
№ п/п Наименование и тип технического средства Заводской (серийный) номер Сведения о сертификате Место и дата установки
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
Монтаж средств защиты информации выполнен в соответствии с требованиями технической документации. В ходе инструментальной проверки установлено, что средства защиты информации работоспособны и обеспечивают защищенность информации.

 

 

Приложение 6

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.
Технический паспорт на защищаемое помещение № ______
1. Ответственность за режим безопасности в защищаемом помещении (ЗП) и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, или лицо, специально на то уполномоченное.
2. Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации предприятия.
3. В нерабочее время помещение должно закрываться на ключ.
4. В рабочее время, в случае ухода руководителя, помещение должно закрываться на ключ или оставляться под ответственность лиц назначенных руководителем подразделения.
5. При проведении конфиденциальных мероприятий бытовая радиоаппаратура, установленная в помещении (телевизоры, радиоприемники и т.п.), должна отключаться от сети электропитания.
6. Должны выполняться предписания на эксплуатацию средств связи, вычислительной техники, оргтехники, бытовых приборов и др. оборудования, установленного в помещении.
7. Запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком, спикерфоном и имеющих выход в городскую АТС, следует отключать эти аппараты на время проведения конфиденциальных мероприятий.
8. Повседневный контроль за выполнением требований по защите помещения осуществляют лица, ответственные за помещение, и служба безопасности предприятия.
9. Периодический контроль эффективности мер защиты помещения осуществляется специалистами по защите информации.
Примечание: В памятку целесообразно включать и другие сведения, учитывающие особенности установленного в ЗП оборудования; действия персонала в случае срабатывания установленной в помещении сигнализации, порядок включения средств защиты, организационные меры защиты и т.п.

 

 

 

 

Перечень оборудования, установленного в помещении
Вид оборудования Тип Учетный(зав.) номер Дата установки Класс ТС (ОТСС или ВТСС) Сведения по сертификации, специсследованиям и спецпроверкам
           
           
Отметка о проверке средств защиты
Вид оборудования Учетный номер Дата проверки Результаты проверки и № отчетного документа
       
           
Результаты аттестационного и периодического контроля помещения
Дата проведения Результаты аттестации или периодического контроля, № отчетного документа Подпись проверяющего
     
           

 

 

 

Приложение 7

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.

Акт об уничтожении ПДн

 

№ п/п Персональные данные Место  нахождения ПДн Способ уничтожения Дата уничто-жения Лицо, проводившее уничтожение. Подпись Лицо, разрешившее уничтожение. Подпись
             
             
Ответственный за защиту информации подпись Ф. И. О

 

 

Приложение 8

Журнал учета обработки ПДн

 на объекте вычислительной техники — автоматизированное рабочее место на базе автономной ПЭВМ (инв. № ____________) органа исполнительной власти (органа местного самоуправления) расположенном в помещении №_______.


п/п
Ф. И. О. сотрудника, производившего обработку ПДн. Подпись Дата и время Производимые работы Лицо, разрешившее доступ. Подпись
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         
         

 

Приложение 9

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.

Перечень сведений конфиденциального характера

 

№ п/п Наименование сведений Типы док-ов, где возможно появление сведений конф. хар-ра
     
     

 

 

 

Приложение 10

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.

Об организации работ по защите информации, содержащей персональные данные

 

В целях обеспечения режима конфиденциальности проводимых работ и в соответствии с требованиями руководящих документов ФСТЭК России по защите информации, содержащей персональные данные, обрабатываемой на объектах информатизации органа исполнительной власти (органа местного самоуправления):

 

п р и к а з ы в а ю:

 

  1. Назначить ответственным за защиту информации, содержащей персональные данные на объектах информатизации органа исполнительной власти (органа местного самоуправления), (должность, Ф.И.О.).
  2. Ответственному за защиту информации, содержащей персональные данные:

— организовать проведение работ по защите информации. В своей работе ответственному руководствоваться методическими документами_____названия внутренних документов, регламентирующих обработку персональных данных_____, другими руководящими и нормативными документами ФСТЭК России по защите информации;

— подготовить и представить на утверждение проект план-схемы контролируемой зоны.

  1. Назначить комиссию по классификации объектов информатизации, предназначенных для обработки персональных данных, в составе:

Ф.И.О. –  должность — председатель комиссии;

Ф.И.О. –  должность;

Ф.И.О. –  должность.

  1. Председателю комиссии до ______________ 200__ г. представить на утверждение:

— акт классификации автоматизированной системы, предназначенной для обработки персональных данных.

  1. Ответственному за защиту информации, содержащей персональные данные, в срок до ______________ 200__ г. организовать проведение аттестации (приведение в соответствие требованиям защиты информации) объектов вычислительной техники в составе автоматизированных рабочих мест на базе автономных ПЭВМ (инв. №_________) органа исполнительной власти (органа местного самоуправления) (далее — объекты ВТ) и представить на утверждение организационно-распорядительные документы на объекты ВТ.
  2. Назначить ответственным за обеспечение безопасности информации на объекте ВТ – администратором информационной безопасности (должность, Ф.И.О.).
  3. Назначить ответственным за эксплуатацию объекта ВТ (должность, Ф.И.О.).
  4. Обработку информации, отнесенной законами Российской Федерации к персональным данным, производить на объектах информатизации, прошедших аттестацию (соответствующих требованиям защиты информации), в соответствии с Приказом о вводе в эксплуатацию и списком допущенных лиц.
  5. Приказ довести до ответственных лиц в части касающейся.
  6. Контроль за исполнением приказа оставляю за собой.

 

 

 

 

Руководитель органа исполнительной

власти (органа местного самоуправления)                                    И.О. Фамилия

Приложение 11

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.

 

Руководство администратора информационной безопасности

органа исполнительной власти (органа местного самоуправления)

 

  1. Общие положения.

1.1. Администратор информационной безопасности назначается приказом начальника органа исполнительной власти и отвечает за обеспечение устойчивой работоспособности и информационной безопасности объекта информатизации.

1.2. Администратор информационной безопасности несет ответственность за организацию работ по обеспечению безопасности информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники (СВТ) на объектах вычислительной техники (ОВТ), а также правильность использования и нормального функционирования средств защиты информации (СЗИ), подготовку сотрудников по вопросам безопасной обработки информации на СВТ.

  1. Функции администратора информационной безопасности.

2.1. Осуществляет настройку и сопровождение системы защиты от НСД на ОВТ, при этом:

  • реализует полномочия доступа (чтение, запись) для каждого пользователя к элементам защищаемых информационных ресурсов (том, каталог, файл, запись, поле записи) на основе утвержденного руководством списка сотрудников, допущенных к работе на ОВТ;
  • вводит описание пользователей ОВТ в информационную базу системы защиты от НСД;
  • назначает пароли к информационным ресурсам и вводит в базу данных системы защиты описание полномочий доступа пользователей к защищаемым ресурсам;
  • своевременно удаляет описание пользователя из базы данных при увольнении или перемещении сотрудника;
  • периодически производит смену паролей пользователями для доступа в систему обработки информации ОВТ.
    • Осуществляет настройку и сопровождение подсистемы регистрации и учета:
  • вводит в базу данных системы защиты от НСД описания событий, подлежащих регистрации в системном журнале;
  • проводит регулярный анализ системного журнала для выявления попыток несанкционированного доступа к защищаемым ресурсам;
  • своевременно информирует руководство о несанкционированных действиях персонала и организует расследование попыток НСД.
    • Сопровождает подсистемы обеспечения целостности рабочего программного обеспечения (ПО):
  • проводит периодическое тестирование функций системы защиты от НСД при изменении программной среды и полномочий исполнителей ОВТ;
  • осуществляет восстановление системы защиты от НСД при сбоях;
  • проводит контроль соответствия общесистемной программной среды эталону;
  • обеспечивает поддержание установленного порядка и соблюдение требований инструкции по антивирусной защите.
    • Осуществляет сопровождение подсистемы защиты информации от утечки за счет ПЭМИН:
  • контролирует соблюдение требований по размещению и использованию технических средств, указанных в Предписании на эксплуатацию этих средств;
  • включает в рабочий режим установленные средства активной защиты, генератор шума по сети электропитания и линиям заземления СОНАТА-РС1, генератор шума ГШ-2500 при проведении обработки информации содержащей персональные данные на ОВТ;
    • Требует прекращения обработки информации в случае нарушения установленного порядка работ или нарушения функционирования средств и систем защиты информации.
    • Участвует в анализе ситуаций, касающихся функционирования средств защиты информации и расследования фактов несанкционированного доступа.
    • Производит выдачу исполнителям  паролей для средств защиты информации (СЗИ) от несанкционированного доступа (НСД), а также осуществляет оперативный контроль за действиями пользователей ОВТ.
  1. Администратор информационной безопасности обязан:

3.1. Обеспечивать функционирование и поддерживать работоспособность средств защиты автоматизированных рабочих мест в пределах возложенных на них функций.

3.2. В случае отказа работоспособности технических средств и программного обеспечения СВТ, в том числе средств защиты АРМ принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

3.3. Информировать  начальника органа исполнительной власти (органа местного самоуправления) Смоленской области о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам АРМ.

  1. Администратор информационной безопасности имеет право:

4.1.   Контролировать работу пользователей на  автоматизированных рабочих местах АРМ.

4.2. Требовать прекращения обработки информации как в целом, так и отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования АРМ.

 

Ответственный за защиту информации                                        И.О. Фамилия

 

 

Приложение 12

Утверждаю
Руководитель органа
исполнительной власти
(органа местного самоуправления)
И.О.Фамилия
__________________________
«___» _______________20__ г.

 

 

Руководство пользователей и технология обработки персональных данных

на объекте вычислительной техники (ОВТ) — автоматизированное рабочее место (АРМ)

на базе автономной ПЭВМ (инв. № ________)

органа исполнительной власти (органа местного самоуправления) расположенном в помещении №___

 

  1. Общие положения.
  2. Объект вычислительной техники (ОВТ) разрешается использовать для обработки информации содержащей персональные данные при соблюдении следующих условий:

1.1. Вспомогательные технические средства и системы, провода и кабели располагать от основных технических средств и систем (ОТСС) в соответствии с Предписаниями на эксплуатацию.

1.2. Подключение ОТСС осуществлять с использованием штатных кабелей.

1.3. Право работы на ОВТ предоставляется Администратору информационной безопасности  и пользователям.

1.4 Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ОВТ, несет персональную ответственность за свои действия.

  1. Обязанности пользователя ОВТ.

2.1. Выполнять на ОВТ только те процедуры, которые определены для него в «Разрешительной системе доступа к информационным (программным) ресурсам объекта вычислительной техники — автоматизированное рабочее место на базе автономной ПЭВМ (инв. №________) органа исполнительной власти (органа местного самоуправления) расположенном в помещении №___».

2.2. Знать и соблюдать установленные требования по режиму обработки персональных данных, учету, хранению и пересылке машинных носителей информации, а также руководящих и организационно-распорядительных документов на  данный ОВТ.

2.3. Пользователи перед началом обработки на ОВТ файлов, хранящихся на съемных носителях информации, должны осуществить проверку файлов на наличие компьютерных вирусов. Антивирусный контроль ОВТ должен осуществляться пользователем не реже одного раза в неделю.

2.4. Экран видеомонитора в помещении располагать во время работы так, чтобы исключалась возможность ознакомления с отображаемой на них информацией посторонними лицами, шторы на оконных проемах должны быть завешаны (жалюзи закрыты).

2.5. Соблюдать установленный режим разграничения доступа к информационным ресурсам: получать у Администратора информационной безопасности (АИБ) пароль, надежно его запоминать и хранить в тайне.

2.6. Немедленно докладывать АИБ обо всех фактах и попытках НСД к обрабатываемой на ОВТ информации или об ее исчезновении (искажении).

2.7. Пользователям ОВТ запрещается:

  • записывать и хранить информацию на неучтенных носителях информации (НИ);
  • оставлять во время работы магнитные НИ (или ОВТ с НИ) без присмотра, передавать их другим лицам и выносить за пределы помещения, в котором разрешена обработка информации;
  • отключать (блокировать) средства защиты информации, предусмотренные организационно-распорядительными документами на данный ОВТ;
  • производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;
  • самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
  • обрабатывать на ОВТ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к информационным ресурсам обработки информации;
  • сообщать (или передавать) посторонним лицам личные атрибуты доступа к ресурсам ОВТ;
  • работать на ОВТ при обнаружении каких-либо неисправностей;
  • хранить НИ вблизи сильных источников электромагнитных излучений и прямых солнечных лучей;
  • хранить на учтенных НИ программы и данные, не относящиеся к рабочей информации;
  • вводить в ОТСС персональные данные под диктовку или с микрофона;
  • осуществлять электропитание и заземление ОТСС от нештатных сетей электропитания и заземления;
  • привлекать посторонних лиц для производства ремонта ОТСС без согласования со специалистом по защите информации.
  1. Организация парольной защиты при работе на объектах информатизации.

3.1 Личные пароли доступа к объекту информатизации, системе защиты от НСД, выдаются пользователям Администратором информационной безопасности, и при этом необходимо руководствоваться следующими требованиями:

— длина пароля должна быть не менее 8-ти буквенно-цифровых символов;

— пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дни рождения и другие памятные даты, номера телефонов, автомобилей, адреса места жительства, наименования АРМ, общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP, GUEST, ADMINISTRATOR и т.д.), и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об ответственном исполнителе;

— не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;

— не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, 1234567 и т.п.);

— при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

— в числе символов пароля, обязательно должны присутствовать буквы в верхнем и нижнем регистрах, а также цифры;

— не использовать ранее использованные пароли.

3.2.  Лица, использующие паролирование, обязаны:

— четко знать и строго выполнять требования настоящей инструкции и других руководящих документов по паролированию;

— своевременно сообщать Администратору информационной безопасности о всех нештатных ситуациях, нарушениях работы подсистем защиты от НСД, возникающих при работе с паролями.

3.3. При организации парольной защиты запрещается:

— записывать свои пароли в очевидных местах, внутренности ящика стола, на мониторе ПЭВМ, на обратной стороне клавиатуры и т.д.;

—  хранить пароли в записанном виде  на отдельных листах бумаги;

— сообщать посторонним лицам свои пароли, а также сведения о применяемой системе защиты от НСД.

  1. Порядок применения парольной защиты.

4.1. Полная плановая смена паролей на ОВТ проводится один раз в 3 месяца.

4.2. Удаление (в т.ч. внеплановая смена) личного пароля любого пользователя  ОВТ должна производиться в следующих случаях:

—        в случае подозрения на дискредитацию пароля;

  • по окончании срока действия;
  • в случае прекращения полномочий (увольнение, переход на другую работу внутри организации) пользователя после окончания последнего сеанса работы данного с системой;
  • по указанию Администратора информационной безопасности.

4.3. Смена пароля осуществляется Администратором информационной безопасности.

4.4. Для предотвращения доступа к персональным данным, находящейся в ПЭВМ, минуя ввод пароля, пользователь во время перерыва в работе обязан осуществить блокирование системы нажатием комбинации Ctrl+Alt+Del и кнопки «Блокировать» в появившемся меню, или выключить ПЭВМ.

Порядок применения (смены) паролей при работе на ПЭВМ, оборудованных системой защиты от НСД, приведен в эксплуатационной документации на СЗИ.

  1. Технология обработки персональных данных.

5.1.  При первичном допуске к работе на ОВТ Пользователь знакомится с требованиями руководящих, нормативно-методических и организационно-распорядительных документов по вопросам автоматизированной обработки информации, получает персональный идентификатор или личный текущий пароль у Администратора информационной безопасности.

5.2. Пользователь  включает ОВТ, визуально убеждается в целостности голографических наклеек, исправности и нормальном функционировании ОВТ.

5.3. В процессе работы пользователь создает файлы и массивы информации на  ОВТ с применением операционных систем Windows ____.

5.5. При необходимости вывод персональных данных из ОВТ осуществляется следующим образом:

  • копированием на учтенные  носители;
  • на печатающее устройство (принтер) инв. №_____________.

 

 

Ответственный за защиту информации                              И.О. Фамилия

 

Комментариев нет

No comments yet.

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Авторские курсы Е.И. Гаврюшина «Практическая Аналитика» © 2005-2007