Федеральный Закон от 27.
07.2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн.
Правительства РФ
11.2007 г. № 781.
и Мининформсвязи РФ
02.2008 г.
Правительства РФ
09.2008 г. № 687.
Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (далее — ФСТЭК России) по обеспечению безопасности ПДн при их обработке в ИСПДн.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.
02.08 г.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.
02.08 г.
«Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденное директором ФСТЭК от 05 [https:// , 14].
01.2010 г. № 58.
В. И. Комплексная, А. А. Информационная, В. Ф. Информационная
Приложение Вероятность реализации угроз безопасности ПДн Коэффициент вероятности реализации (Y2) определяется по 4 вербальным градациям:
- маловероятно — отсутствуют объективные предпосылки для осуществления угрозы (Y2=0);
- низкая вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют её реализацию (Y2=2);
- средняя вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры безопасности ПДн недостаточны (Y2=5);
- высокая вероятность — объективные предпосылки для реализации угрозы существуют и меры обеспечения безопасности ПДн не приняты (Y2=10).
Угроза безопасности ПДн Коэффициент вероятности реализации (Y2) угроза перехвата управления загрузкой 0 угроза НСД с применением стандартных функций операционной системы 2 угроза НСД с помощью прикладной программы 2 угроза НСД с с применением специально созданных для этого программ 0 угроза НСД при передаче информации по внешним каналам 0 угроза утечки информации при удаленном доступе к информационным ресурсам 0 угроза утечки информации с использованием копирования её на съемные носители 5 угроза утечки информации посредством её печати на множительной технике 2 угроза утечки информации за счет её несанкционированной передачи по каналам связи 2 угроза внедрения вредоносных программ с использованием съемных носителей 2 угроза «Анализ сетевого трафика» 0 угроза сканирования открытых портов, служб и соединений 2 угроза обхода системы идентификации и аутентификации сообщений 0 угроза обхода системы идентификации и сетевых объектов 2 угроза внедрения ложного объекта сети 2 угроза навязывания ложного маршрута 2 угроза перехвата и взлома паролей 2 угроза подбора паролей доступа 2 угроза типа «Отказ в обслуживании» 2 угроза внедрения троянских программы 2 угроза атаки типа «Переполнение буфера» 2 угроза удаленного запуска приложений с использованием средств удаленного администрирования 0 угроза внедрения вредоносных программ через почтовые сообщения 2 угроза внедрения вредоносных программ через обмен и загрузку файлов 2 угроза заражения сетевыми червями, использующими уязвимости сетевого ПО 2
Персональные данные как информация ограниченного доступа
... быть: государство, юридические лица (организации), физические лица (граждане). Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений, что определено не ... жизни субъекта этой информации. Распространение информации ограниченного доступа в Российской Федерации контролируется или запрещается в интересах обеспечения национальной безопасности, а также ...
Оценка возможности реализации и опасности угроз Формула расчета коэффициента реализуемости угрозы: Y=(Y1+Y2)/20, где Y1 — оценка уровня исходной защищенности, Y2 — вероятность реализации угрозы.
Возможность реализации угрозы определяется по следующим диапазонам:
0>Y>0,3 — низкая
0,3>Y>0,6 — средняя
0,6>Y>0,8 — высокая
Y>0,8 — высокая
Оценка опасности, которая определяется на основе опроса специалистов по вербальным показателям опасности с тремя значениями:
- низкая опасность — если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
- средняя опасность — если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
- высокая опасность — если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Угроза безопасности ПДн Коэф. реализ-сти угрозы (Y) Возможность реализации угрозы Оценка опасности угрозы угроза перехвата управления загрузкой 0,25 низкая низкая угроза НСД с применением стандартных функций операционной системы 0,35 средняя средняя угроза НСД с помощью прикладной программы 0,35 средняя низкая угроза НСД с с применением специально созданных для этого программ 0,25 низкая низкая угроза НСД при передаче информации по внешним каналам 0,25 низкая высокая угроза утечки информации при удаленном доступе к информационным ресурсам 0,25 низкая высокая угроза утечки информации с использованием копирования её на съемные носители 0,5 средняя высокая угроза утечки информации посредством её печати на множительной технике 0,35 средняя высокая угроза утечки информации за счет её несанкционированной передачи по каналам связи 0,35 средняя низкая угроза внедрения вредоносных программ с использованием съемных носителей 0,35 средняя средняя угроза «Анализ сетевого трафика» 0,35 средняя средняя угроза сканирования открытых портов, служб и соединений 0,35 средняя низкая угроза обхода системы идентификации и аутентификации сообщений 0,25 низкая низкая угроза обхода системы идентификации и сетевых объектов 0,35 средняя низкая угроза внедрения ложного объекта сети 0,35 средняя низкая угроза навязывания ложного маршрута 0,35 средняя низкая угроза перехвата и взлома паролей 0,35 средняя низкая угроза подбора паролей доступа 0,35 средняя средняя угроза типа «Отказ в обслуживании» 0,35 средняя низкая угроза внедрения троянских программ 0,35 средняя средняя угроза атаки типа «Переполнение буфера» 0,35 средняя низкая угроза удаленного запуска приложений с использованием средств удаленного администрирования 0,35 средняя низкая угроза внедрения вредоносных программ через почтовые сообщения 0,35 средняя средняя угроза внедрения вредоносных программ через обмен и загрузку файлов 0,35 средняя низкая угроза заражения сетевыми червями, использующими уязвимости сетевого ПО 0,35 средняя низкая Перечень актуальных угроз ИСПДн Отнесение угрозы к актуальной производится по правилам, приведенным в Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.
Разработка частной модели угроз и технического задания на информационную ...
... на информацию. Общие положения». Модель определяет угрозы безопасности персональных данных, обрабатываемых в информационной системе персональных данных «ИСПДн ЧТК». 2. Перечень угроз, представляющих потенциальную опасность для персональных данных, обрабатываемых в ИСПДн Потенциальную опасность безопасности персональных данных (далее ...
02.2008.
В соответствии с правилами отнесения угроз безопасности к актуальным для ИСПДн ГОУ СОШ существуют следующие характеристики актуальности угроз:
Угроза безопасности ПДн Актуальность угрозы угроза перехвата управления загрузкой неактуальная угроза НСД с применением стандартных функций операционной системы неактуальная угроза НСД с помощью прикладной программы неактуальная угроза НСД с с применением специально созданных для этого программ неактуальная угроза НСД при передаче информации по внешним каналам актуальная угроза утечки информации при удаленном доступе к информационным ресурсам актуальная угроза утечки информации с использованием копирования её на съемные носители актуальная угроза утечки информации посредством её печати на множительной технике актуальная угроза утечки информации за счет её несанкционированной передачи по каналам связи неактуальная угроза внедрения вредоносных программ с использованием съемных носителей актуальная угроза «Анализ сетевого трафика» актуальная угроза сканирования открытых портов, служб и соединений неактуальная угроза обхода системы идентификации и аутентификации сообщений неактуальная угроза обхода системы идентификации и сетевых объектов неактуальная угроза внедрения ложного объекта сети неактуальная угроза навязывания ложного маршрута неактуальная угроза перехвата и взлома паролей неактуальная угроза подбора паролей доступа неактуальная угроза типа «Отказ в обслуживании» неактуальная угроза внедрения троянских программ актуальная угроза атаки типа «Переполнение буфера» неактуальная угроза удаленного запуска приложений с использованием средств удаленного администрирования неактуальная угроза внедрения вредоносных программ через почтовые сообщения актуальная угроза внедрения вредоносных программ через обмен и загрузку файлов неактуальная угроза заражения сетевыми червями, использующими уязвимости сетевого ПО неактуальная Таким образом, актуальными угрозами безопасности ПДн в ИСПДн ГОУ СОШ являются:
Защита информации. Методы защиты
... данных часто связано с изменением типа носителя. 2. ВИДЫ УМЫШЛЕННЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 2.1. Пассивные и активные угрозы Пассивные угрозы направлены в основном на несанкционированное использование информационных ... поиска (или разработки) адекватного метода для работы с данными может приводить к такой задержке получения информации, что она становится неактуальной и ненужной. На этом, в ...
- угроза НСД с применением стандартных функций операционной системы;
- угроза НСД при передаче информации по внешним каналам;
- угроза утечки информации при удаленном доступе к информационным ресурсам;
- угроза утечки информации с использованием копирования её на съемные носители;
- угроза утечки информации посредством её печати на множительной технике;
- угроза внедрения вредоносных программ с использованием съемных носителей;
- угроза внедрения троянских программ;
- угроза внедрения вредоносных программ через почтовые сообщения.
Рекомендации по минимизации угроз:
Помимо комплекса организационных мер (см. ниже) следует использовать следующие средства защиты информации:
- средства антивирусной защиты;
- программный комплекс типа Межсетевой экран;
- средства управления доступом в систему;
- методы и средства аутентификации пользователей;
- средства криптографической защиты информации.
В качестве средств защиты ИСПДн от несанкционированного доступа в ИСПДн может выступает программное обеспечение общего назначения со встроенными механизмами защиты, сертифицированное по требованиям ФСТЭК России. Минимальный набор такого программного обеспечения включает:
Сертифицированную операционную систему MicrosoftWindowsVista (Сертификат ФСТЭК № 1516/1) или MicrosoftXPProfessionalSP3 (Сертификат ФСТЭК № 844/3).
Сертифицированный Антивирус Касперского 6.0 для Windows WorkStations (Сертификат ФСТЭК № 1384) или Антивирус Dr. Web 5.0 для Windows (Сертификат ФСТЭК № 1782) .
Для усиления функций безопасности ИСПДн может дополнительно использоваться:
Сертифицированная система управления базами данных Microsoft SQL Server 2005 Standard (Сертификат ФСТЭК № 1319).
Сертифицированные электронные ключи eToken 5 (eToken PRO) (Сертификат ФСТЭК № 1883), и программа eTokenNetwork Logon 5 (Сертификат ФСТЭК № 1961) предназначенные для строгой аутентификации, безопасного хранения ключевой информации, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами.
Сертифицированное средство контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода DeviceLock (Сертификат ФСТЭК № 1696), позволяющий контролировать весь спектр потенциально опасных устройств: USB-порты, дисководы, CD/DVD-приводы, а также FireWire, инфракрасные, параллельные и последовательные порты, WiFi и Bluetooth-адаптеры, ленточные накопители, КПК, любые внутренние и внешние сменные накопители и жесткие диски.
Контроль эффективности системы защиты ИСПДн ГОУ СОШ № ___
Контроль эффективности СЗПДн должен осуществляется на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы СЗПДн (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т. п. ), а так прогнозирование и превентивное реагирование на новые угрозы безопасности ПДн.
Контроль может проводиться как администраторами безопасности ИСПДн (оперативный контроль в процессе информационного взаимодействия в ИСПДн), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК России и ФСБ России в пределах их компетенции.
Donlegion.com — : «Защита персональных данных в ИС» Информационная ...
... нарушение режима защиты ПД; описание системы защиты персональных данных. КОГДА НЕОБХОДИМО ШИФРОВАНИЕ? Правила разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и ... об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (№781 от 17 ноября 2007 г.) и совместный Приказ ФСТЭК, ФСБ и ...
Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты ПДн, так и с помощью специальных программных средств контроля.
Оценка эффективности мер защиты ПДн проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Рекомендации по выполнению нормативно-организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн учреждений Приказ о введении режима обработки персональных данных Положение о порядке обработки персональных данных Положение о разграничении прав доступа к обрабатываемым персональным данным Приказ о проведении внутренней проверки Модели угроз безопасности персональных данных Акт классификации информационной системы, обрабатывающей персональные данные Перечень персональных данных, подлежащих защите Инструкция пользователя ИСПДн Инструкция администратора ИСПДн План мероприятий по обеспечению защиты ПДн План внутренних проверок состояния защиты персональных данных Приказ о назначении ответственных лиц за обработку ПДн Приказ об утверждении мест хранения материальных носителей персональных данных Положение об электронном журнале обращений пользователей информационной системы к ПДн Концепция информационной безопасности Согласие законного представителя на обработку персональных данных подопечного Согласие сотрудника на обработку персональных данных Соглашение о неразглашении персональных данных Отчет о результатах проведения внутренней проверки Рекомендации по разработке уведомления в территориальный орган роскомнадзора Декларация соответствия Рекомендации по разработке порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
* ФСТЭК — Федеральная служба по техническому и экспортному контролю
* ТСОИ — технические средства обработки информации
** АС — автоматизированная система
* АРМ — автоматизированное рабочее место
** ИС — информационная система
* В настоящем документе рассматриваются только ИСПДн, в которых обработка данных осуществляется с использованием средств автоматизации
* Модель угроз (безопасности информации) — физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации — это документ, тем или иным способом описывающий возможные угрозы безопасности персональных данных
Разработка внутренней документации по работе с ПДн
Создание организационной СЗПДн
Внедрение технических мер защиты ПДн
Получение лицензий ФСБ, ФСТЭК (если оказываются услуги по созданию СЗПДн для других лиц)
Получение сертификатов ФСБ, ФСТЭК на средства защиты информации последовательность создания режима обработки ПДн
Режим обработки ПДн Угрозы безопасности данных
Случайные
Преднамеренные
Стихийные бедствия, аварии
Сбои и отказы технических средств
Алгоритмические и программные ошибки
Ошибки пользователей и персонала
Вредоносные программы
Правовая защита персональных данных в России
... для обеспечения защиты персональных данных каждого гражданина Российской Федерации. В работе В.Я. Ярочкина «Информационная безопасность», персональные данные относятся к тому типу информации, которым необходима правовая защита. Он рассматривает необходимость правовой защиты персональных данных человека и ...
Электромагнитные излучения
Несанкционированный доступ и модификация структур
Шпионаж
Сбор исходных данных по ИС
Определение и присвоение ИС соответствующего класса
по ИС Этап
Этап 2
Документальное оформление
ХНПД
ХПД