WWW.DOC.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Различные документы
 

«ООО «УЦСБ» АНАЛИТИЧЕСКАЯ ЗАПИСКА Актуальные требования по обеспечению безопасности персональных данных и защите информации в государственных ...»

ООО «УЦСБ»

АНАЛИТИЧЕСКАЯ ЗАПИСКА

Актуальные требования по обеспечению безопасности

персональных данных и защите информации в государственных

информационных системах

Содержание

Список использованных сокращений

Введение

1 Требования законодательства по защите персональных данных

1.1 Актуальные требования по защите персональных данных

1.1.1 Структура требований по защите персональных данных

1.1.2 Порядок выполнения требований по защите персональных данных

1.2 Обзор новых нормативных документов

1.2.1 Приказ Роскомнадзора от 5.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»

1.2.2 Методические рекомендации Роскомнадзора по обезличиванию персональных данных

1.3 Предполагаемые изменения

1.3.1 Проект приказа ФСБ России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

1.3.2 Законопроект по внесению изменений в КоАП, связанных с обработкой персональных данных

2 Требования законодательства по защите информации в государственных информационных системах

2.1 Актуальные требования по защите информации в государственных информационных системах

2.1.1 Порядок выполнения требований по защите информации в государственных информационных системах

2.2 Обзор новых нормативных документов

2.2.1 Методический документ «Меры защиты информации в государственных информационных системах»

Приложение А. Сравнительная характеристика методик обезличивания персональных данных

Список использованных сокращений ГИС — Государственная информационная система ИБ — Информационная безопасность ИСПДн — Информационная система персональных данных ИП — Индивидуальный предприниматель МИО — Международный информационный обмен НДВ — Недекларированные возможности ПДн — Персональные данные ПО — Программное обеспечение РКН — Роскомнадзор СВТ — Средства вычислительной техники СрЗИ — Средства защиты информации ЮЛ — Юридическое лицо Введение Настоящая Аналитическая записка содержит описание актуальных требований по защите персональных данных (ПДн) и информации, обрабатываемой в государственных информационных системах (ГИС), анализ новых методических документов и обзор предполагаемых изменений в законодательстве по защите информации.

Требования законодательства по защите персональных данных Актуальные требования по защите персональных данных 1.1 1.1.1 Структура требований по защите персональных данных Актуальная иерархия документов, регламентирующих требования по защите ПДн, приведена на рисунке 1.

–  –  –

1.1.2 Порядок выполнения требований по защите персональных данных В соответствии с требованиями документов, рассмотренных в разделе 1.1.1, для обеспечения безопасности ПДн необходимо реализовать следующие мероприятия:

1. Обеспечить законность обработки ПДн.

Обеспечить выполнение требований, определенных ФЗ №152 «О ПДн», а именно:

отправить уведомление в РКН о факте обработки ПДн;

документально закрепить основные понятия обработки ПДн (перечень ПДн, цели и способы обработки ПДн и др.);

определить ответственных за организацию обработки ПДн, за обеспечение безопасности ПДн, администраторов ИСПДн и т.д.;

выполнить другие мероприятия, предусмотренные ФЗ.

2. Определить уровень защищенности ПДн, обрабатываемых в ИСПДн.

Согласно ПП №1119, уровень защищенности ПДн определяется на основе четырех основных характеристик ИСПДн:

тип ИСПДн в зависимости от состава обрабатываемых ПДн (описание возможных типов ИСПДн приведено в таблице 2);

Таблица 2 – Описание типов ИСПДн в зависимости от состава обрабатываемых ПДн

–  –  –

категория субъектов ПДн (только данные работников оператора ПДн или данные иных лиц, не являющихся работниками оператора);

количество субъектов ПДн, данные которых обрабатываются в ИСПДн (более или менее 100 000 субъектов ПДн);

актуальный тип угроз безопасности ПДн:

1-ый тип, если для ИСПДн актуальны угрозы, связанные с наличием НДВ в системном ПО;

2-ой тип, если для ИСПДн актуальны угрозы, связанные с наличием НДВ в прикладном ПО;

3-ий тип, если для ИСПДн не актуальны угрозы, связанные с наличием НДВ.

Согласно ПП №1119, оператор определяет актуальность угроз безопасности ПДн самостоятельно на основании разработанной Модели угроз.

В соответствии с установленными характеристиками, оператор определяет уровень защищенности. Соответствие характеристик ИСПДн и уровней защищенности ПДн представлено в таблице 3.

Таблица 3 – Соответствие характеристик ИСПДн и уровней защищенности ПДн

–  –  –

3. Определить состав мер защиты.

Определение состава мер защиты осуществляется в соответствии с приказом ФСТЭК России №21.

Порядок формирования набора требований по обеспечению безопасности ПДн устанавливается Приказом ФСТЭК России №21 и предполагает следующие этапы:

определение базового набора мер защиты в зависимости от установленного уровня защищенности ПДн (на основании приложения к Приказу ФСТЭК России №21);

–  –  –

адаптация базового набора мер защиты с учетом структурнофункциональных характеристик ИСПДн, используемых технологий и особенностей функционирования ИСПДн;

–  –  –

дополнение уточненного адаптированного базового набора мерами, установленными иными нормативными актами (например, требованиями ФСБ России по защите ПДн, отраслевыми требованиями или требованиями других нормативных документов, действие которых распространяется на конкретного оператора ПДн).

–  –  –

4. Обеспечить защиту ПДн с учетом требований ФСТЭК России и ФСБ России.

Создать и внедрить систему защиты ПДн в соответствии со сформированным набором организационных и технических мер защиты.

5. Разработать внутреннюю документацию.

Определить порядок и процедуры обработки и защиты ПДн в организационнораспорядительных документах организации.

6. Поддерживать систему защиты ПДн в актуальном состоянии и регулярно проводить оценку эффективности.

Приказ ФСТЭК России №21 устанавливает обязательное требование по проведению периодической оценки эффективности реализованных мер защиты – минимум один раз в три года.

В качестве оценки эффективности могут проводиться:

аттестация системы защиты ПДн;

самооценка;

аудит ИБ организации.

Согласно приказу ФТЭК России №21 при использовании в ИСПДн сертифицированных средств защиты информации (СрЗИ), данные средства должны удовлетворять требованиям, приведенным в Таблице 4.

Таблица 4 – Классы защиты СрЗИ Класс защиты СрЗИ Уровень защищенности

–  –  –

Описание характеристик методов обезличивания ПДн, определяющих возможность обеспечения указанных свойств, приведено в таблице 6.

Таблица 6 – Описание основных характеристик методов обезличивания ПДн

–  –  –

Рисунок 2 – Организация обработки обезличенных данных В соответствии с документом организации, не обладающие квалифицированным персоналом либо достаточными материально-техническими средствами, могут передавать обработку ПДн сторонним организациям на основании договора.

При использовании облачных технологий обработки ПДн возможна обработка одним оператором обезличенных данных нескольких подобных организаций.

В п.4 разъяснений приводится перечень обязанностей оператора при работе с обезличенными данными. Основные требования, которые Роскомнадзор предъявляет к процессу обработки обезличенных данных операторами, приведены в таблице 7.

Таблица 7 – Требования к процессу обработки обезличенных данных

–  –  –

При выборе метода и процедуры обезличивания операторам ПДн следует руководствоваться:

объемом ПДн, подлежащих обезличиванию;

формой представления данных (отдельные записи, файлы, таблицы баз данных и т.д.);

областью обработки обезличенных данных (необходим ли другим операторам доступ к обезличиваемым данным);

способами хранения обезличенных данных (локальное хранение, распределенное хранение и т.д.);

применяемыми в ИСПДн мерами по обеспечению безопасности данных.

Наиболее часто встречающиеся задачи обработки ПДн в государственных и муниципальных органах в разъяснениях РКН разбиты на шесть классов типовых задач:

1. Статистическая обработка и статистические исследования ПДн:

осуществление выборки по заявленным параметрам;

проведение исследований по заданным параметрам субъектов;

2. Сбор и хранение ПДн:

внесение ПДн субъектов в ИСПДн на основе анкет, заявлений и прочих документов;

3. Обработка поисковых запросов:

поиск информации о субъектах;

печать и выдача субъектам документов в установленной форме, содержащих ПДн;

выдача справок, выписок, уведомлений по запросам субъектов или уполномоченных органов;

4. Актуализация ПДн:

внесение изменений в существующие записи о субъектах на основе обращений субъектов, решений судов и других уполномоченных органов;

внесение изменений в существующие записи о субъектах на основе исследований, выполнения органом своих функций или требований законодательства РФ;

5. Интеграция данных различных операторов:

поиск информации о субъектах;

передача данных смежным органам;

6. Ведение учета субъектов ПДн:

прием анкет, заявлений;

ведение учета ПДн в соответствии с функциями органа.

Практическая реализация методов и обработка обезличенных данных может проводиться с применением различных информационных технологий.

Сопоставление типовых классов задач наиболее эффективным для данного класса методам обезличивания и рекомендации по выбору типа технологии обработки обезличенных данных, ранжированные в порядке их предпочтительности, приведены в Приложении А.

Предполагаемые изменения 1.3 1.3.1 Проект приказа ФСБ России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

В октябре 2013 ФСБ России был подготовлен и опубликован проект приказа ФСБ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Данный документ определяет состав организационных и технических мер для каждого уровня защищенности ПДн, давая разъяснения положениям Постановления Правительства №1119.

Приказ предназначен для операторов, использующих СКЗИ для обеспечения безопасности ПДн при их обработке в ИСПДн.

В части организационных мер в приказе детализируются меры по организации режима обеспечения безопасности помещений, в которых размещена ИСПДн (далее – Помещения), обеспечению сохранности носителей ПДн и ограничению доступа к содержанию электронного журнала сообщений.

Технические меры предусматривают применение для каждого из уровней защищенности СКЗИ соответствующего класса. Таким образом, в соответствии с проектом приказа СКЗИ, используемые для защиты персональных данных, могут быть ТОЛЬКО сертифицированными.

Меры защиты информации для различных уровней защищенности, предусмотренные документом, приведены в таблице 8.

Таблица 8 – Организационные и технические меры для каждого уровня защищенности ПДн

–  –  –

Класс используемого СКЗИ должен определяться, исходя из возможностей потенциального нарушителя и типа актуальных угроз ПДн. Соответствия класса СКЗИ уровням защищенности ПДн и различным типам актуальных угроз приведено в таблице 9.

Таблица 9 – Соответствие класса СКЗИ уровням защищенности ПДн и типам актуальных угроз

–  –  –

1.3.2 Законопроект по внесению изменений в КоАП, связанных с обработкой персональных данных Министерство связи и массовых коммуникаций разместило законопроект по внесению изменений в КоАП, устанавливающий новые штрафы за нарушение законодательства по ПДн.

В новом законопроекте меняется текст статьи 13.11, а также помимо значительного повышения штрафов за административные правонарушения, связанные с обработкой ПДн, предлагается дополнить главу 13 тремя новыми статьями (13.11.1, 13.11.2 и 13.11.3).

Предлагаемые в соответствии с законопроектом изменения КоАП, приведены в таблице 10.

Таблица 10 – Предлагаемые изменения КоАП

–  –  –

Статья 13.11.

2. Непредставление оператором информации и (или) доступа к сведениям, предусмотренных законодательством РФ о ПДн

1. Невыполнение оператором обязанности по обеспечению неограниченного Предупреждение или 3 т.р. – 6 т.р 5 т.р. – 10 т.р. 15 т.р. – 30 т.р.

доступа к документу, определяющему политику оператора в отношении штраф 700 р. – 1500 р.

обработки ПДн, и сведениям о реализуемых требованиях к защите ПДн

2. Невыполнение оператором обязанности по предоставлению субъекту ПДн Предупреждение или 4 т.р. – 6 т.р. 10 т.р. – 15 т.р. 20 т.р. – 40 т.р.

информации, касающейся обработки его ПДн штраф 1 т.р. – 2 т.р.

Статья 13.11.

3. Несоблюдение требований законодательства Российской Федерации ПДн по обеспечению безопасности ПДн

–  –  –

Красным цветом отмечены текущие требования КоАП.

Требования законодательства по защите информации в государственных информационных системах Актуальные требования по защите информации в государственных 2.1 информационных системах Краткая характеристика основных законодательных и нормативнометодических документов по защите информации, обрабатываемой в ГИС, приведена в таблице 11.

Таблица 11 – Характеристика нормативных документов по защите информации в ГИС

–  –  –

2.1.1 Порядок выполнения требований по защите информации в государственных информационных системах В соответствии с требованиями документов, рассмотренных в таблице 11, защита информации, содержащейся в ГИС, является составной частью работ по созданию и эксплуатации ИС и обеспечивается на всех стадиях ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты информации.

Основными этапами формирования требований к защите информации являются:

классификация ИС, с оформлением соответствующего акта классификации;

определение угроз безопасности информации и разработка на их основе модели угроз.

Классификация ИС проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).

Всего устанавливаются четыре класса защищенности: К1 (самый высокий), К2, К3 и К4.

Для определения класса защищенности необходимо:

1. Оценить степень возможного ущерба для каждого свойства безопасности информации (конфиденциальности, целостности, доступности).

Степень возможно ущерба оценивается экспертным методом с учетом возможных последствий и влияния нарушения свойств безопасности информации (конфиденциальности, целостности и доступности) на возможность выполнения ГИС и оператором возложенных на них функций и может быть высокой, средней или низкой.

2. Определить уровень значимости информации.

–  –  –

При обработке в ГИС двух и более видов тайн, уровень значимости определяется отдельно для каждого вида информации. Итоговый уровень значимости определяется по наивысшему значению из них.

3. Определить масштаб ИС в зависимости от расположения сегментов ИС относительно субъектов РФ и органов власти: федеральный, региональный, объектовый.

Класс защищенности ИС определяется в соответствии с таблицей 13.

–  –  –

Разработка системы защиты информации должна включать следующие этапы:

Проектирование, в рамках которого осуществляется выбор СрЗИ, сертифицированных на соответствие требованиям безопасности, и определяются необходимые меры защиты.

Разработку эксплуатационной документации.

Макетирование и тестирование системы, в том числе с использованием технологии виртуализации.

На этапе внедрения системы защиты информации должна осуществляться настройка СрЗИ, проводиться предварительные испытания, опытная эксплуатация и приемочные испытания системы, а также разрабатываться документы, определяющие правила и процедуры, реализуемые для защиты информации.

Обязательным этапом является проведение аттестации системы защиты информации с оформлением соответствующих программ и методик аттестационных испытаний, протоколов и заключений.

Состав мер защиты, а также порядок формирования набора требований по обеспечению безопасности информации, содержащейся в ГИС, определяются в соответствии с приказом ФСТЭК России №17 аналогично описанному в разделе 1.1.2.

Реализация технических мер защиты информации предусматривает использование сертифицированных СрЗИ, удовлетворяющих определенным требованиям, приведенным в таблице 14.

Таблица 14 – Классы защиты СрЗИ Класс защиты СрЗИ Класс защищенности

–  –  –

Обзор новых нормативных документов 2.2 2.2.1 Методический документ «Меры защиты информации в государственных информационных системах»

11 февраля 2014 года ФСТЭК России был утвержден методический документ «Меры защиты информации в ГИС», содержащий подробные разъяснения по реализации требований по обеспечению ИБ, определенные Приказом ФСТЭК России от 11.02.2013 №17.

По решению оператора ПДн данный документ может применяться для обеспечения безопасности ПДн при их обработке в ИСПДн, защита которых обеспечивается в соответствии с Приказом ФСТЭК России от 18.02.2013 №21.

Для каждой меры защиты, определенной в 17-ом приказе, приводятся требования по ее реализации, а также требования по усилению, которые могут применяться дополнительно.

В методическом документе не рассматриваются содержание, правила выбора и реализации мер защиты информации, связанных с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации.

Описание каждой меры защиты информации, установленной приказом №17, включает детальное описание меры защиты с указанием, каким образом и в каком объеме должна быть реализована каждая мера защиты информации, а также конкретных параметров ее реализации, таких как:

период времени неиспользования учетных записей пользователей, после которого должно осуществляться их автоматическое блокирование;

время бездействия пользователя, после которого обеспечивается блокирование сеанса;

длина пароля;

максимальное количество неуспешных попыток аутентификации;

перечень событий безопасности, подлежащих регистрации и прочее.

Кроме того, в документе определяются конкретные организационные меры, а также необходимость обязательного документирования различных процессов управления ИБ, в том числе порядок:

применения беспроводных соединений;

применения удаленного доступа;

использования мобильных технических средств;

доступа к машинным носителям информации;

перемещения виртуальных машин.

Для каждой меры защиты информации приводятся требования к ее усилению, которые применяются дополнительно к базовым требованиям защиты информации.

Меры усиления применяются по решению обладателя информации, заказчика и (или) оператора для повышения уровня защищенности информации в ГИС или при адаптации, уточнении, дополнении мер защиты информации, а также при разработке компенсирующих мер защиты информации.

Итоговое содержание каждой базовой меры защиты приводится в приложении 2 к документу в виде, представленном в таблице 15.

Статистика по числу требований к усилению для каждой группы мер защиты и для классов защиты в целом приведена в таблице 16.

Таблица 15 – Пример содержания базовых мер защиты информации для соответствующего класса защищенности ГИС

Похожие работы:

«Комнатные растения Илья Мельников Комнатные растения. Классификация и строение "Мельников И.В." Мельников И. В. Комнатные растения. Классификация и строение / И. В. Мельников — "Мельников И.В.", 2012 — (Комнат...»

«Проект Примерная адаптированная основная общеобразовательная программа начального общего образования обучающихся с расстройствами аутистического спектра ОГЛАВЛЕНИЕ 1. ОБЩИЕ ПОЛОЖЕНИЯ 2. ПРИМЕРНАЯ АДАПТИРОВАННАЯ ОСНОВНАЯ ОБЩЕОБРАЗОВАТЕЛЬНАЯ ПРОГРАММА НАЧАЛЬН...»

«СПЕЦПЕРЕСЕЛЕНЦЫ — в ПОМПОЛИТ ПЕРФИЛЬЕВ Ф. А. — ПЕШКОВОЙ Е. П. ПОМПОЛИТ — в УПРАВЛЕНИЕ ЛАГЕРЕЙ В январе 1932 — группа спецпереселенцев, стариков и детей, находящихся в Вельской Ветке, обратились в Помполит за п...»

«floKyMeHT предоставлен КонсультантПлюс жур нал Азбука рава, 28.О7.2ОLб Электрон ый п н нмог дrlя ФизичЕских лиц? кАк рАссчитывАЕтся зЕмЕльныЙ 3емельным налогом облагаются земельные участки, которые находятся в вашей собственности или принамежат вам...»

«Во имя нравст­ венной силы молодежи Послание Первого Президентства к молодежи НАШИ ДОРОГИЕ ЮНОШИ И ДЕВУШКИ! Мы безгранично верим вам. Вы – возлюбленные сыновья и дочери Бога, и Он вас помнит и беспокоится о вас. Вы пришли на Землю во времена великих во...»

«1 ОСОБЕННОСТИ РОССИЙСКОГО УПРАВЛЕНЧЕСКОГО МЕНТАЛИТЕТА* А.В. Кузовкова, 2 курс Умом Россию не понять, Аршином общим не измерить. Ф.И. Тютчев Мы одно любим, одного желаем: да не изменится нико...»

«Премавати Дмитрий Логинов Единство Троицы и суть сил единства Серия "Русская северная традиция и христианство" Текст предоставлен автором http://www.litres.ru/pages/biblio_book/?art=303822 Аннотация Книга "Единство Троицы и суть сил единства" посвящена, возможно, наиболее ценному духовному достоянию челов...»

«Выпуск 2 2013 (499) 755 50 99 http://mir-nauki.com УДК 811 Равшанов Махмуд "Навоийский Государственный Горный Институт" Республика Узбекистан Доцент E-Mail: mahmudravshanov@rambler.ru Асланова Озод...»

«Экосистемы. 2015. Вып. 1. С. 61–65. НОВАЯ ПОПУЛЯЦИЯ OPHRYS OESTRIFERA M. BIEB. (ORCHIDACEAE) В ЮГО-ВОСТОЧНОМ КРЫМУ Летухова В. Ю., Потапенко И. Л. Государственное бюджетное учреждение науки и охраны природы Республики Крым "Карадагский природны...»

«Ю.Г. Абросимов, Л.Ю. Киселев РАЗРАБОТКА ПРЕДЛОЖЕНИЙ ПО ИЗМЕНЕНИЯМ И ДОПОЛНЕНИЯМ НОРМАТИВНЫХ ТРЕБОВАНИЙ К ОБЪЕДИНЕННЫМ НАРУЖНЫМ ПРОТИВОПОЖАРНЫМ ВОДОПРОВОДАМ В статье проведён анализ нормативных требований к...»

















 
2017 www.doc.knigi-x.ru - «Бесплатная электронная библиотека - различные документы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.