г. Красноярск, ул. Ленина, 160, пр. Мира, 117
тел: 8 (391) 221-50-15
факс: 8 (391) 221-12-00
uszn91@guszn.admkrsk.ru

Концепция информационной безопасности ИСПДн

Управление социальной защиты населения администрации Железнодорожного района в г.Красноярске

Оглавление

1. ОБЩИЕ ПОЛОЖЕНИЯ 3

1.1 Назначение концепции 3

1.2 Правовые основы обеспечения безопасности ПДн в ИСПДн 3

2 СФЕРА ДЕЙСТВИЯ И ОБЛАСТЬ РАСПРОСТРАНЕНИЯ КОНЦЕПЦИИ 3

3 ОСНОВНЫЕ ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 4

4 ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ 4

4.1 Категории субъектов персональных данных 4

4.2 Цели обработки персональных данных 5

4.3 Характеристики безопасности персональных данных 6

5 ОБЩИЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПД В ИСПДН 6

5.1 Законность 7

5.2 Системность 7

5.3 Комплексность 7

5.4 Непрерывность 7

5.5 Своевременность 7

5.6 Преемственность и непрерывность совершенствования 8

5.7 Разумная достаточность и адекватность 8

5.8 Персональная ответственность 8

5.9 Минимизация полномочий 8

5.10 Гибкость 9

5.11 Открытость алгоритмов и механизмов защиты 9

5.12 Специализация и профессионализм 9

5.13 Знание своих работников 9

5.14 Наблюдаемость и оцениваемость обеспечения безопасности персональных данных 9

5.15 Обязательность контроля и оценки 10

6 ОБЩИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 10

6.1 Классификация методов обеспечения безопасности персональных данных 10

6.2 Административно-правовые методы 10

6.3 Организационно-технические методы 11

6.4 Экономические методы 11

6.5 Превентивные методы 12

6.6 Восстановительные методы 12

6.7 Основные этапы работ по обеспечению безопасности персональных данных 13

7 ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 14

7.1 Идентификация и аутентификация 15

7.2 Физическая защита 16

7.3 Регистрация и учет 16

7.4 Обеспечение целостности 16

7.5 Антивирусная защита 16

7.6 Обеспечение безопасного межсетевого взаимодействия 17

7.7 Анализ защищенности 17

7.8 Обнаружение вторжений 17

7.9 Криптографическая защита 17

7.10 Обеспечение безопасного доступа к сетям международного информационного обмена 18

8 ПРИНЦИПЫ ОЦЕНКИ И КОНТРОЛЯ ЭФФЕКТИВНОСТИ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 19

8.1 Внутренний контроль 19

8.2 Государственный контроль 20

9 ПОРЯДОК ПЕРЕСМОТРА КОНЦЕПЦИИ 20

1.​ ОБЩИЕ ПОЛОЖЕНИЯ

1.1​ Назначение концепции

Концепция защиты персональных данных в информационных системах персональных данных (далее – Концепция) является нормативным документом, определяющим общие принципы обеспечения безопасности персональных данных (далее – ПДн) и организационно-технические меры по защите ПДн в информационных системах персональных данных (далее – ИСПДн).

Настоящая Концепция разработана на основе анализа требований действующего законодательства Российской Федерации и нормативных документов, регламентирующих вопросы защиты ПДн, с учетом современного состояния и стратегии развития информационных технологий, целей, задач и правовых основ создания и эксплуатации информационных систем режимов функционирования.

Концепция служит основой для разработки комплекса организационных и технических мер по обеспечению защиты персональных данных в ИСПДн, а также нормативных и методических документов, обеспечивающих жизненный цикл системы защиты персональных данных (далее – СЗПДн).

1.2​ Правовые основы обеспечения безопасности ПДн в ИСПДн

Концепция разработана в целях реализации требований Федерального закона № 152-ФЗ от 27.07.2006 года «О персональных данных» по обеспечению безопасности ПДн, обрабатываемых в ИСПДн и выполнения международных обязательств РФ.

Правовую основу Концепции составляют Конституция Российской Федерации, Федеральные законы РФ, указы и распоряжения Президента РФ, постановления и распоряжения Правительства РФ, нормативные правовые акты (приказы, распоряжения) федеральных органов исполнительной власти, уполномоченных в областях обеспечения безопасности и технической защиты информации, а также международные договоры РФ.

2​ СФЕРА ДЕЙСТВИЯ И ОБЛАСТЬ РАСПРОСТРАНЕНИЯ КОНЦЕПЦИИ

Сфера действия Концепции распространяется на управление социальной защиты населения администрации Железнодорожного района в городе Красноярске.

Областью распространения Концепции являются информационные системы персональных данных.

3​ ОСНОВНЫЕ ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основной целью обеспечения безопасности персональных данных является минимизация ущерба (как непосредственного, так и опосредованного), возникающего вследствие возможной реализации угроз безопасности персональных данных.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту персональных данных и может проявляться в виде:

​ нанесения вреда здоровью субъекта персональных данных;

​ незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

​ потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием персональных данных;

​ нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь.

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с персональными данными.

Основной задачей обеспечения безопасности персональных данных, при их обработке в информационных системах персональных данных, является предотвращение утечки персональных данных по техническим каналам, несанкционированного доступа к ним, предупреждение преднамеренных программно-технических воздействий с целью их разрушения (уничтожения) или искажения в процессе обработки, передачи и хранения.

4​ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

4.1​ Категории субъектов персональных данных

Субъекты, персональные данные которых обрабатываются в информационных системах, подразделяются на две категории:

1)​ Физические лица, обратившиеся в управление социальной защиты населения администрации Железнодорожного района в городе Красноярске, являющиеся социально незащищенными слоями населения Железнодорожного района города Красноярска;

2)​ Физические лица, обработка персональных данных которых осуществляется в целях выполнения процесса функционирования управление социальной защиты населения администрации Железнодорожного района в городе Красноярске (далее-Управление). К данной категории относятся:

​ работники – физические лица, вступившие в трудовые отношения с работодателем;

​ другие физические лица, обработка персональных данных которых необходима в целях обеспечения функционирования Управления. К таким физическим лицам, в частности, могут относиться работники сторонних организаций, соискатели передающие персональные данные с целью трудоустройства, бывшие работники Управления и т.д.

4.2​ Цели обработки персональных данных

В основе определения целей обработки персональных данных лежит принцип законности их обработки.

Целью обработки персональных данных физических лиц, обращающихся в органы социальной защиты населения является исполнение государственных обязательств в сфере социальной защиты населения.

Целями обработки персональных данных работников являются содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.

При определении целей обработки персональных данных иных категорий субъектов персональных данных, необходимо соблюдать законы и иные нормативно-правовые акты Российской Федерации.

Состав персональных данных должен соответствовать принципу их достаточности для достижения целей обработки (персональные данные не должны быть избыточными по отношению к целям обработки).

4.3​ Характеристики безопасности персональных данных

Персональные данные, обрабатываемые в информационных системах, должны обладать как минимум свойством конфиденциальности.

Данная характеристика не являются исчерпывающей, в дополнение к ней могут рассматриваться и другие характеристики безопасности. В частности, к таким характеристикам относятся: целостность, доступность, неотказуемость, учетность (подконтрольность), аутентичность (достоверность), адекватность.

Для обеспечения заданных характеристик безопасности персональных данных необходимо реализовать минимальный и достаточный набор организационно-технических мер.

5​ ОБЩИЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПД В ИСПДН

Построение СЗПДн и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

​ законность;

​ системность;

​ комплексность;

​ непрерывность;

​ своевременность;

​ преемственность и непрерывность совершенствования;

​ разумная достаточность и адекватность;

​ персональная ответственность;

​ минимизация полномочий;

​ гибкость;

​ открытость алгоритмов и механизмов защиты;

​ специализация и профессионализм;

​ знание своих работников;

​ наблюдаемость и оцениваемость;

​ обязательность контроля и оценки.

5.1​ Законность

Защита ПДн в ИСПДн основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите ПДн.

5.2​ Системность

Системный подход к построению СЗПДн предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности ПДн.

5.3​ Комплексность

Безопасность ПДн обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

Применение различных средств и технологий защиты информации должно перекрывать все существенные (значимые) каналы реализации угроз безопасности ПДн и не содержать слабых мест в согласовании применяемых средств и технологии защиты информации.

СЗПДн должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа (далее – НСД) к ПДн, но и с учетом возможности повышения уровня защиты по мере выявления новых источников угроз безопасности, развития способов и средств их реализации в ИСПДн.

5.4​ Непрерывность

Защита ПДн должна обеспечиваться на всех технологических этапах обработки ПДн и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

5.5​ Своевременность

Принимаемые меры по обеспечению безопасности ПДн должны носить упреждающий характер.

СЗПДн разрабатывается одновременно с разработкой и развитием ИСПДн, что позволяет учитывать требования по безопасности ПДн при проектировании и модернизации ИСПДн.

5.6​ Преемственность и непрерывность совершенствования

Предполагают постоянное совершенствование мер и средств защиты ПДн на основе результатов анализа функционирования ИСПДн и СЗПДн с учетом выявления новых способов и средств реализации угроз безопасности, отечественного и зарубежного положительного опыта в сфере защиты информации.

Орган социальной защиты населения должен определять действия, необходимые для устранения причин потенциальных несоответствий требованиям по безопасности ПДн с целью предотвратить их повторное появление. Предпринимаемые предупреждающие действия должны соответствовать возможным негативным последствиям.

5.7​ Разумная достаточность и адекватность

Состояние и стоимость реализации мер защиты должно быть соизмеримы с рисками, связанными с обработкой и характером защищаемых ПДн.

Анализ рисков нарушения безопасности ПДн проводится в целях определения влияния системы защиты информации на вероятность реализации угроз безопасности ПДн с учетом уязвимостей (дефектов) ИТ — инфраструктуры.

Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики и производительность ИСПДн.

5.8​ Персональная ответственность

Ответственность за обеспечение безопасности ПДн и ИСПДн возлагается на каждого работника допущенного к обработке ПДн в пределах его полномочий.

Распределение обязанностей и полномочий работников должно обеспечивать выявление виновных лиц в случаях нарушения безопасности ПДн.

Роли и обязанности сотрудников должны быть определены и документально подтверждены.

5.9​ Минимизация полномочий

Предоставление и использование прав доступа к ПДн должно быть ограничено и управляемо.

Пользователям должны предоставляться минимальные права доступа к ПДн и ИСПДн только в соответствии с производственной необходимостью.

Доступ к ПДн должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

Пользователю должны быть запрещены все операции с ПДн за исключением тех, которые разрешены явно.

5.10​ Гибкость

В процессе функционирования ИСПДн могут меняться ее характеристики, а также объем обрабатываемых ПДн.

Для обеспечения возможности варьирования уровня защищенности ПДн, СЗПДн должна обладать определенной гибкостью.

5.11​ Открытость алгоритмов и механизмов защиты

Защита ПДн не должна осуществляться только за счет сокрытия структуры, технологий и алгоритмов функционирования СЗПДн.

Знание указанных характеристик СЗПДн не должно давать возможности преодоления защиты возможными нарушителями безопасности ПДн.

5.12​ Специализация и профессионализм

Реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн должна осуществляться профессионально подготовленными специалистами.

5.13​ Знание своих работников

Орган социальной защиты населения должен реализовывать кадровую политику (тщательный подбор персонала и мотивация работников), позволяющую исключить или минимизировать возможность нарушения безопасности ПДн своими работниками.

5.14​ Наблюдаемость и оцениваемость обеспечения безопасности персональных данных

Предлагаемые меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен федеральными органами исполнительной власти, осуществляющими функции по контролю и надзору в пределах своих полномочий.

5.15​ Обязательность контроля и оценки

Неотъемлемой частью работ по защите ПДн является оценка эффективности системы защиты.

С целью своевременного выявления и пресечения попыток нарушения установленных правил обеспечения безопасности ПДн Должны быть определены процедуры для постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля должны регулярно анализироваться.

6​ ОБЩИЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1​ Классификация методов обеспечения безопасности персональных данных

Методы обеспечения безопасности ПДн разделяются на:

​ административно-правовые;

​ организационно-технические;

​ экономические.

По времени применения методы обеспечения безопасности ПДн разделяются на:

​ превентивные;

​ восстановительные.

6.2​ Административно-правовые методы

К административно-правовым методам защиты относятся нормы действующего законодательства и внутренние организационно-распорядительные документы, регламентирующие правила обращения с ПДн, закрепляющие права и обязанности участников информационных отношений в процессе обработки и использования ПДн, а также устанавливающие ответственность за нарушения этих правил, препятствуя неправомерному использованию ПДн и являющиеся сдерживающим фактором для реализации угроз безопасности потенциальными нарушителями.

Основными направлениями этой деятельности являются:

​ разработка, внесение изменений и дополнений в организационно распорядительную документацию в части защиты ПДн;

​ регламентация процессов обработки ПДн;

​ определение ответственности за нарушения в области обеспечения безопасности ПДн;

​ назначение и подготовка должностных лиц (работников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности ПДн;

​ закрепление в должностных инструкциях установленного разграничения полномочий в области обеспечения безопасности ПДн;

​ разработка и принятие документов, устанавливающих ответственность структурных подразделений и сотрудников, а также взаимодействующих юридических лиц, за несанкционированный доступ к ПДн, противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверных ПДн, противоправное их раскрытие или использование в преступных и корыстных целях;

​ контроль знания и соблюдения пользователями ИСПДн, требований организационно-распорядительных документов по вопросам обеспечения безопасности ПДн;

​ проведение постоянного анализа эффективности и достаточности принимаемых мер и применяемых средств защиты ПДн, разработка и реализация предложений по совершенствованию СЗПДн.

6.3​ Организационно-технические методы

Организационно-технические методы защиты основаны на использовании организационных мер, различных программных, аппаратных и программно-аппаратных средств, входящих в состав СЗПДн и выполняющих функции защиты информации, направленных на решение следующих задач:

​ строгий учет всех подлежащих защите ресурсов (персональных данных, сервисов, каналов связи, серверов, автоматизированных рабочих мест и т.д.);

​ предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

​ своевременного обнаружения фактов НСД к ПДн;

​ недопущения воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

​ возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;

​ постоянного контроля за обеспечением уровня защищенности ПДн.

6.4​ Экономические методы

Экономические методы обеспечения безопасности ПДн включают в себя:

​ разработку программ обеспечения безопасности ПДн и определение порядка их финансирования.

​ разработку мер поощрения и наложения штрафных санкций за соблюдение или не соблюдение установленных правил и процедур обработки ПДн.

6.5​ Превентивные методы

Превентивные методы противодействия угрозам безопасности ПДн осуществляются на основе эффективного применения в процессе эксплуатации ИСПДн комплекса организационных, технических и технологических мероприятий, а также методов и средств обеспечения функциональной устойчивости и безопасности работы ИСПДн.

Организационные мероприятия по обеспечению безопасности ПДн являются мероприятиями общего характера по организации деятельности персонала, эксплуатирующего ИСПДн, порядку применения информационных технологий в зданиях и сооружениях, систематическому применению мер по недопущению вывода ИСПДн из строя.

Технические мероприятия по обеспечению безопасности ПДн заключаются в обслуживании, поддержании и управлении требуемым составом технических средств, обеспечивающих обработку ПДн в защищенном режиме.

Технологические мероприятия по обеспечению безопасности ПДн направлены на правильную реализацию функций и заданных алгоритмов работы ИСПДн, технологий обработки ПДн и защиту программ и ПДн от преднамеренных и непреднамеренных нарушений.

6.6​ Восстановительные методы

Планирование восстановительных методов определяется системой документов, устанавливающих требования к обязательным мероприятиям, проводимым заблаговременно и после возникновения нарушений, угрожающих штатному функционированию ИСПДн.

6.7​ Основные этапы работ по обеспечению безопасности персональных данных

В число основных этапов работ по обеспечению безопасности персональных данных входят, в частности, следующие:

​ определение объектов защиты;

​ установление целей защиты объектов защиты;

​ определение угроз объектам защиты;

​ установление требований к системе защиты персональных данных;

​ определение порядка контроля и надзора.

Основным объектом защиты являются персональные данные.

Персональные данные могут иметь различные формы представления (бумажная, файлы, записи и поля записей баз данных, электромагнитные волны и поля, излучения и т.д.), каждая из которых является объектом защиты.

Формы представления персональных данных связаны с различными ресурсами информационной системы персональных данных, которые в свою очередь могут порождать объекты защиты.

Используемые в информационной системе персональных данных средства защиты информации являются объектами защиты.

Информация о методах и средствах обеспечения безопасности персональных данных содержит сведения, которые являются объектами защиты, в частности, к таким объектам могут быть обнесены парольная и аутентифицирующая информация, ключевая информация.

Установление целей защиты объектов защиты связано с установлением характеристик безопасности для каждого из определенных объектов защиты.

Определение угроз объектам защиты проводится путем формирования модели угроз и модели нарушителя. При этом модель нарушителя может формироваться как составная часть модели угроз, определяющая возможные специфические угрозы – атаки.

Установление требований к системе защиты персональных данных основано на формировании моделей угроз и нарушителя.

7​ ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для разработки и осуществления мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн назначается структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности ПДн.

Основными мероприятиями по организации и техническому обеспечению безопасности ПДн в ИСПДн являются:

​ мероприятия по организации обеспечения безопасности ПДн, включая классификацию ИСПДн;

​ мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн, включающие мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ПДн;

​ мероприятия по защите ПДн от несанкционированного доступа и определению порядка выбора средств защиты ПДн при их обработке в ИСПДн.

Обеспечение безопасности ПДн осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой СЗПДн.

Перечень реализуемых мероприятий по защите ПДн при их обработке в специальных ИСПДн определяется на основании анализа актуальности угроз и рисков безопасности ПДн для ИСПДн, в соответствии с нормативными и методическим документами ФСБ России и ФСТЭК России.

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

В соответствии с нормативными документами Федеральной службы по техническому и экспортному контролю:

​ осуществляется обеспечение защиты (некриптографическими методами) информации;

​ проводятся мероприятия по предотвращению утечки информации по техническим каналам;

​ проводятся мероприятия по предотвращению несанкционированного доступа к информации, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения, и блокирования доступа к ней.

В соответствии с нормативными документами Федеральной службы безопасности Российской Федерации:

​ устанавливаются особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах;

​ проводятся мероприятия по обнаружению компьютерных атак.

Мероприятия по обеспечению безопасности ПДн включают в себя:

​ управление доступом:

o​ идентификация и аутентификация;

o​ физическая защита;

​ регистрацию и учет;

​ обеспечение конфиденциальности;

​ обеспечение целостности;

​ обеспечение доступности;

​ обеспечение достоверности (аутентичности);

​ антивирусную защиту;

​ обеспечение безопасного межсетевого взаимодействия;

​ анализ защищенности;

​ обнаружение вторжений;

​ обеспечение безопасного доступа к сетям международного информационного обмена.

7.1​ Идентификация и аутентификация

Управление доступом к ПДн должно осуществляться на основе принципа минимизации полномочий. Стандартным методом доступа является ролевой доступ, для чего определяются совокупности типов доступа — групповых прав и полномочий доступа пользователей (ролей), предоставляемых пользователям. Количество таких ролей должно быть ограниченным и подразумевать возможность эффективного управления. Назначение прав и полномочий конкретным пользователям осуществляется путем назначения им соответствующих ролей.

Каждый пользователь для получения соответствующих прав доступа при подключении к ИСПДн должен пройти процедуру идентификации, при этом должны использоваться уникальные признаки и имена. При этом подлинность личности пользователя должна быть проверена. Стандартное средство проверки подлинности (аутентификации) – пароль.

7.2​ Физическая защита

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации.

Размещение, специальное оборудование, охрана и организация режима в помещениях должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.

7.3​ Регистрация и учет

В ИСПДн должны вестись контрольные журналы, регистрирующие действия пользователей с ПДн. Должны быть установлены процедуры применения мониторинга действий с ПДн, а результаты действий пользователей должны регулярно просматриваться.

В целях повышения эффективности контроля действий возможных нарушителей настоящая Концепция предлагает использование средств и методов активного мониторинга и аудита, направленных на выявление и регистрацию подозрительных действий в реальном масштабе времени.

7.4​ Обеспечение целостности

Орган социальной защиты населения обеспечивает целостность программных средств защиты в составе СЗПДн, а также неизменность программной среды.

7.5​ Антивирусная защита

Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПДн, осуществляющей обработку этой информации, необходимо применять специальные средства антивирусной защиты, выполняющие:

​ обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку ПДн, а также на ПДн;

​ обнаружение и удаление неизвестных вирусов;

​ обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.

7.6​ Обеспечение безопасного межсетевого взаимодействия

Для осуществления разграничения доступа к ресурсам ИСПДн при межсетевом взаимодействии должно применяться межсетевое экранирование, которое реализуется программными и программно-аппаратными межсетевыми экранами. Межсетевой экран устанавливается между защищаемой сетью, называемой внутренней, и внешней сетью. Межсетевой экран входит в состав защищаемой сети. Для него путем настроек отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю и наоборот.

Межсетевое экранирование должно обеспечивать:

​ скрытие внутренней сетевой структуры ИСПДн;

​ разрешение только такого входящего и исходящего трафика, который является необходимым для работы ИСПДн;

​ блокирование любого входящего и исходящего трафика, не разрешенного явно.

7.7​ Анализ защищенности

Анализ защищенности реализуется на основе использования средств тестирования (анализа защищенности) и контроля (аудита) безопасности информации.

7.8​ Обнаружение вторжений

Обнаружение вторжений реализуется с использованием в составе СЗПДн программных и (или) программно-аппаратных средств (систем) обнаружения вторжений, использующих методы обнаружения атак, включающие в себя сигнатурные методы или методы выявления аномалий.

7.9​ Криптографическая защита

Для зашиты ПДн, передаваемых между ИСПДн по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, включая доверенные каналы и защищенные волоконно-оптические линии связи.

При использовании открытых и неконтролируемых каналов связи для защиты ПДн необходимо применять средства криптографической защиты информации (далее – СКЗИ). Как раздельно, так и комплексно, используются следующие криптографические методы:

​ шифрование, как средство обеспечения конфиденциальности информации;

​ электронная цифровая подпись, как средство обеспечения подлинности и юридической значимости электронного документа;

​ криптографическая аутентификация, как средство подтверждения санкционированности доступа субъекта к объекту;

​ управление ключами, как необходимая составная часть систем с СКЗИ, которая применяется в целях изготовления, учета, распределения, хранения и уничтожения ключевых элементов.

7.10​ Обеспечение безопасного доступа к сетям международного информационного обмена

Доступ ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена, в том числе к международной компьютерной сети «Интернет» допускается только с использованием специально предназначенных для этого средств защиты информации.

При принятии решений об использовании сети «Интернет» необходимо учитывать следующие положения:

​ сеть «Интернет» не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение).

​ провайдеры (посредники) сети «Интернет» могут обеспечить только те услуги, которые реализуются непосредственно ими;

​ существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети «Интернет»;

​ существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети «Интернет»;

​ гарантии по обеспечению безопасности ПДн при использовании сети «Интернет» никаким органом/учреждением/организацией не предоставляются.

8​ ПРИНЦИПЫ ОЦЕНКИ И КОНТРОЛЯ ЭФФЕКТИВНОСТИ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с принципом обязательности контроля выполняются следующие виды контроля эффективности системы защиты персональных данных:

​ внутренний контроль;

​ государственный контроль.

8.1​ Внутренний контроль

Внутренний контроль эффективности системы защиты ПДн осуществляется с целью поддержания заданного уровня эффективности СЗПДн. Внутренний контроль включает:

​ мониторинг состояния технических и программных средств, входящих в состав СЗПДн;

​ контроль соблюдения требований по обеспечению безопасности ПДн (требований законодательства в области защиты ПДн, требований внутренних нормативно-методических и организационно-распорядительных документов, сформулированных на основе анализа рисков нарушения безопасности ПДн, договорных требований).

Оценка эффективности СЗПДн реализуется в виде аттестации или декларирования соответствия требованиям по безопасности ПДн.

Декларирование производится по факту ввода в эксплуатацию ИСПДн. Ввод в эксплуатацию ИСПДн производится в соответствии с документально оформленными требованиями по безопасности ПДн (техническими условиями), разрабатываемыми в соответствии с требованиями законодательства и нормативно-методических документов федеральных органов исполнительной власти, осуществляющими функции по контролю и надзору в пределах своих полномочий.

Факт ввода в эксплуатацию ИСПДн в соответствии с техническими условиями оформляется Актом ввода в эксплуатацию и утверждается приказом.

Внутренний контроль проводится периодически, либо инициируется по мере необходимости.

8.2​ Государственный контроль

Обеспечение государственного контроля и надзора за соответствием обработки ПДн требованиям законодательства Российской Федерации в области защиты ПДн осуществляется федеральными органами исполнительной власти.

В соответствии с действующим законодательством распределение полномочий между федеральными органами исполнительной власти Роскомнадзором, ФСБ России и ФСТЭК России при осуществлении государственного контроля и надзора за соблюдением требований законодательства Российской Федерации в области защиты персональных данных осуществляется в пределах их компетенции.

В ходе государственного контроля и надзора оценивается достаточность принятых мер обеспечения безопасности ПДн.

9​ ПОРЯДОК ПЕРЕСМОТРА КОНЦЕПЦИИ

Положения настоящей Концепции пересматриваются в установленном порядке не реже одного раза в 2 года.

Внеплановый пересмотр Концепции проводится в случае существенных изменений международного или национального законодательства в сфере защиты ПД.