Доступ к информационных системах персональных данных

Понятие персональных данных и требования к их обработке и защите, установленные Правительством РФ

Персональные данные (ПДн) – особенная категория информации, к которой предъявляются повышенные требования в процессе обработки и хранения.

Субъектами сведений персонального характера выступают физические лица, несанкционированное распространение таких данных может привести к негативным последствиям. Поэтому профильным законом в России установлены нормативные положения, призванные защитить ПДн.

О том, как по закону операторы должны обращаться с конфиденциальной информацией граждан Российской Федерации на всех этапах обработки мы подробно расскажем в материале.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Законодательные основы

С момента принятия законодательно акта Государственной Думой, в него вносились многочисленные дополнения и изменения. Одним из последних стало требования – разместить сервисы с информацией, входящей в перечень ПДн, на территории Российской Федерации.

В этом документе очерчены принципы обработки данных, указаны обязанности операторов, а также степень ответственности за несоблюдение закона.

Характер предписаний

К защите

Сведения о требованиях, реализуемых в отношении защиты информации конфиденциального характера, утверждены Правительством РФ в Постановлении кабинета министров РФ от 1 ноября 2012 года N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Все обязанности по защите ПД ложатся на оператора, осуществляющего их сбор и обработку.

1. Любая система, работающая с персональной информацией, пользуется средствами защиты от актуальных угроз и соответствующими информационными технологиями.
2. Оператор определяет актуальные угрозы, а также оценивает их потенциальный вред по алгоритму пункта 5 части 1 статьи 18 Федерального закона «О персональных данных». Разработать соответствующую модель угроз и применять ее на практике для защиты информации.
3. Оператор устанавливает для ПДн уровень защищенности.

• 1 уровень устанавливается для систем, обрабатывающих специальные категории персональных данных, либо биометрические сведения, а также операторов, работающих с более чем ста тысячам субъектов ПДН (если они не являются сотрудниками).
• 2 уровень присваивается операторам, обрабатывающим информацию более ста тысяч субъектов (если они являются сотрудниками), общедоступные данные более чем ста тысяч субъектов, биометрические данные менее ста тысяч субъектов.
• 3 уровень присваивается системам, работающим с информацией, принадлежащей 10 тысячам субъектов, не являющихся сотрудниками оператора.
• 4 уровень получают системы, работающие с общедоступной информацией ПДн, которая считается обезличенной и не дает возможности идентифицировать человека.

Четвертый уровень безопасности обеспечивается следующими позициями:

• организация режима доступа к помещениям, в которых размещена информационная система (без возможности случайного проникновения);
• обеспечение сохранности физических платформ ПДн;
• утверждение документа с перечнем лиц, которым доступна система.

Третий уровень обусловлен одним дополнительным, по сравнению с 4 уровнем, требованием – назначить должностное лицо, ответственное за безопасность. На втором уровне добавляется обязательное ограничение доступа к каталогу ПДн только для должностных лиц оператора.

А операторы с первым уровнем защищенности должны автоматически вносить в средство электронного учета изменения полномочий сотрудников, имеющих доступ к ПДн, а также создать структурное подразделение (или возложить на существующее), в обязанности которого входит обеспечение безопасности персональных сведений.

Посмотреть видео о том, как необходимо осуществлять защиту персональных данных:

К обработке в информационных системах

• Оператор информационных систем работает с данными на основе законодательных актов.
• В системе обработка ограничивается действиями, необходимыми для реализации конкретных целей, определенных заранее. Несовместимая с целями сбора обработка является нарушением.
• Объединение баз, которые содержат ПДн, собранные с разными целями, не допускается.
• Обрабатываются только данные, отвечающие целям обработки.
• Не допускается избыточности по отношению к заявленным целям обработки.

Примечательно, что к обработке предъявляется обязательное требование – наличие согласия субъекта на обработку персональных данных с информированием о целях такой процедуры.

Для хранения оператор должен утвердить два нормативных документа:

1. Политика в отношении обработки ПДн.
2. Соглашение об обработке персональной информации.

Субъект имеет право ознакомиться с уставными бумагами и только после этого давать или не давать согласие на обработку его личной информации.

К хранению

Хранение ПДн осуществляется в форме, дающей возможность вычислить субъекта только в рамках установленных сроков. Кроме того, хранение сведений (в том числе сроки) могут устанавливаться нормативными актами разного уровня.

Персональные данные, согласно новым требованиям Роскомнадзора, предъявляемым к их защите, необходимо хранить только на территории Российской Федерации (физически сервера или ЦОДы должны находиться внутри государства).

К обеспечению безопасности

В статье 19 Федерального закона «О персональных данных» прописаны требования к обеспечению безопасности со стороны оператора. Они включают в себя следующие мероприятия:

1. Реализовывать меры широкого спектра, в том числе технического и организационного.
2. Организовывать процедуру оценки соответствия средств защиты.
3. Оценивать эффективность мер по обеспечению безопасности.
4. Вести учет машинных носителей конфиденциальных сведений.
5. Обнаруживать факты несанкционированного доступа , восстанавливать, сведения, если в процессе несанкционированного доступа они были удалены или изменены.
6. Устанавливать правила доступа к системам с конфиденциальной информацией.

Как видите, законодательство Российской Федерации предъявляет к операциям с ПДн массу требований. Это связано с особенностями сведений и тем фактом, что они должны сохраняться в условиях конфиденциальности.

Среди систем различают системы с разным уровнем защищенности в зависимости от особенностей самых данных.

Неконтролируемое распространение ПДн считается нарушением и может повлечь за собой ущерб для субъекта сведений, которые должны быть конфиденциальными. Требование не учитывается только для обезличенных сведений.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
+7 (812) 467-38-62 (Санкт-Петербург)

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/trebovniya-k-p-d.html

Новости

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год

Методика 303 КБ 99824 Методика 196 КБ 10332

по техническому и экспортному контролю

Заместителем директора ФСТЭК России

14 февраля 2008 г.

МЕТОДИКА

ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.

В книге всего пронумеровано 10 страниц, для служебного пользования

Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781, с учетом действующих нормативных документов ФСТЭК России по защите информации. Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных:

государственных или муниципальных ИСПДн;

ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением;

ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд.

Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн.

1. Общие положения

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г. «О персональных данных» ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн и(или) потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.

Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по техническим каналам (технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн, технические каналы перехвата информации при ее передаче по каналам связи, технические каналы утечки акустической (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения.

Детальное описание угроз, связанных с утечкой ПДн по техническим каналам, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Выявление технических каналов утечки ПДн осуществляется на основе нормативных и методических документов ФСТЭК России.

Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:

носитель вредоносной программы;

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители подразделяются на два типа:

нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;

нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители.

Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПДн, подключенные к сетям общего пользования.

Возможности внутреннего нарушителя существенным образом зависят
от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн и мер по контролю порядка проведения работ.

Угрозы несанкционированного доступа от внешних нарушителей реализуются с использованием протоколов межсетевого взаимодействия.

Детальное описание угроз, связанных с несанкционированным доступом в ИСПДн персональных данных, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия
и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса составляются специальные опросные листы.

Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень. На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн.

2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.

Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Источник: http://fstec.ru/normativnye-i-metodicheskie-dokumenty-tzi/114-deyatelnost/tekushchaya/tekhnicheskaya-zashchita-informatsii/normativnye-i-metodicheskie-dokumenty/spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god

Приложение N 1. Положение об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации

Приложение N 1
к приказу ______________
(название МО)
от _________ N ________

ГАРАНТ:

По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

ГАРАНТ:

По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

> N 2. Типовая форма журнала учета установленных средств защиты информации

Содержание Приказ Министерства здравоохранения Свердловской области от 20 октября 2015 г. N 1622-п «Об организационных мерах защиты.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/20972130/2303325ae84a54ba223840316a0fb8f7/

Что такое общедоступные персональные данные и какие виды информации к этому относятся?

Личные сведения гражданин предоставляет чуть ли не ежедневно многим операторам персональных данных. Это может быть работодатель, банки, лечебное учреждение, интернет-ресурсы и т.д. По закону операторы обязаны обеспечивать защиту конфиденциальной информации.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных, в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и другие. Но одна из четырех категорий персональных данных является общедоступной. Доступ к ней имеет неограниченный круг лиц.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

К общедуступным данным есть свободный доступ при наличии письменного разрешения субъекта. Сюда также могут входить такие сведения о субъекте, конфиденциальность которых не предусматривается законом.

Субъект – это физическое лицо, информацию о котором собирает, хранит, обрабатывает и с какой-либо целью использует оператор (юридическое или физическое лицо, муниципальный или государственный орган).

Какие виды информации ими являются?

Список личных сведений общедоступного характера включает в себя:

• фамилию, имя и отчество субъекта;
• сведения, полученные из удостоверения личности (паспорта);
• место и дата рождения;
• адрес регистрации и фактического проживания;
• образование;
• контактная информация;
• ИНН;
• профессиональная деятельность и места трудоустройства;
• доходы и т.д.

Особенности

Не во всех случаях возникает необходимость в письменном разрешении на их использование, иногда достаточно подписи или «галочки», поставленной в нужной графе (например, при заполнении заявлений через интернет).

Сведения общего характера могут быть помещены в источники с свободным доступом. В них хранится информация о субъектах, к их числу относят разнообразные справочники с телефонными номерами или адресами.

Согласно «Перечня сведений конфиденциального характера» те из них, что подлежат распространению в средствах массовой информации, не являются конфиденциальными.

Обработкой занимаются специальные подразделения или органы, которые собирают, систематизируют, хранят, используют, а также уничтожают сведения. Контроль за законностью использования персональных данных осуществляют Роскомнадзор, ФСБ и ФСТЭК (подробнее об основных принципах и понятиях при работе Роскомнадзора с персональными данными и обращениями граждан, читайте тут).

ФСТЭК — федеральная служба по техническому и экспортному контролю выдает лицензии организациям, оказывающим услуги другим лицам по созданию систем защиты персональных данных. Система защиты данных создается для своих нужд, лицензия на нее не требуется.

Физическое лицо вправе получить сведения об операторе, а также узнать конкретную цель, преследуемую оператором при обработке.

Субъект имеет полное право подавать заявку, одобрение которой позволяет уточнить, блокировать или уничтожить личные сведения в том случае, если они устарели, недействительны, неполные или их наличие не является обязательным при обработке.

Помимо всего прочего, физическое лицо вправе запросить у оператора доступ к своей личной информации, а также ознакомиться со средствами обработки сведений. Операторы – это специалисты, занимающиеся обработкой информации о человеке.

Подробнее о том, в каких случаях необходим договор на обработку персональных данных, читайте тут.

В каком случае они включаются в открытые источники?

Включение информации в общедоступные источники происходит в различных ситуациях, например:

• при трудоустройстве и заключении трудового договора;
• в процессе переписи населения;
• установлении торговых отношений и т.д.

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите.

В процессе сбора оператор обязан взять письменное разрешение на дальнейшую обработку. В письменное согласие на обработку включается информация о субъекте и об операторе (ФИО, адрес), цель обработки и перечень необходимых сведений, а также описание операций, которые будут производиться с ними.

Гражданин, как владелец персональной информации о самом себе, может отозвать ранее подписанное разрешение на ее обработку. Если субъект недееспособен или в случае его смерти, согласие запрашивается у законных представителей или наследников. В основе действий оператора лежит Федеральный закон «О персональных данных».

Любая информация о физическом лице — субъекте персональных данных может быть исключена из общедоступных источников на основании требования субъекта, Роскомнадзора, решения суда или других государственных органов.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obshhedostupnye.html

Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год

Методика 303 КБ 99824 Методика 196 КБ 10332

по техническому и экспортному контролю

Заместителем директора ФСТЭК России

14 февраля 2008 г.

МЕТОДИКА

ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.

В книге всего пронумеровано 10 страниц, для служебного пользования

Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781, с учетом действующих нормативных документов ФСТЭК России по защите информации. Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных:

государственных или муниципальных ИСПДн;

ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением;

ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд.

Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн.

1. Общие положения

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г. «О персональных данных» ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн и(или) потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.

Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по техническим каналам (технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн, технические каналы перехвата информации при ее передаче по каналам связи, технические каналы утечки акустической (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения.

Детальное описание угроз, связанных с утечкой ПДн по техническим каналам, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Выявление технических каналов утечки ПДн осуществляется на основе нормативных и методических документов ФСТЭК России.

Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:

носитель вредоносной программы;

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители подразделяются на два типа:

нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;

нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители.

Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПДн, подключенные к сетям общего пользования.

Возможности внутреннего нарушителя существенным образом зависят
от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн и мер по контролю порядка проведения работ.

Угрозы несанкционированного доступа от внешних нарушителей реализуются с использованием протоколов межсетевого взаимодействия.

Детальное описание угроз, связанных с несанкционированным доступом в ИСПДн персональных данных, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия
и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса составляются специальные опросные листы.

Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень. На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн.

2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.

Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.

Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Источник: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/380

Открываем занавес неизвестного – что это такое информационные системы персональных данных и как с ними работать?

Информационными системами персональных данных (ИСПДн) в своей деятельности пользуются многие компании и организации, как государственные, так и муниципальные.

Что такое государственные и частные ИСПДн, особенности частных и государственных ИСПДн, узнаем определения и рассмотрим особенности данных систем, а также основные процессы работы с ними.
Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое государственные и частные ИСПДн?

Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:

1. Совокупности сведений, которые хранятся в базе.
2. Технических средств, применяющихся для работы с данными сведениями.
3. Средств автоматизации работ, связанных с учетом и обработкой информации, находящейся в ИСПДн (автоматизирующие средства применяются не во всех системах).

• Фамилия, имя, отчество.
• Дата рождения.
• Адрес прописки и фактического проживания.
• Материальное, семейное и социальное положение.
• Размеры доходов.
• Профессия.
• Иные данные.

Особенности частных

Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:

• зарплате сотрудников;
• пенсионных, страховых налоговых отчислений;
• социальных пособиях;
• добровольных взносах (к примеру, негосударственное страхование пенсионеров);
• принудительных платежах (например, алиментах).

В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:

1. автоматизированные банковские системы;
2. биллинговые системы или абонентские базы;
3. базы страховых компаний;
4. системы, хранящие данные коллекторских агентств;
5. бюро кредитных историй с информацией о гражданах;
6. амбулаторные электронные карты в медицинских организациях и пр.

Все перечисленные системы обслуживают бизнес-процессы.

Государственные

Российское законодательство в области ПДн основано на Конституции РФ и международных договорах России и состоит из действующего ФЗ-152 «О персональных данных» и прочих законов, определяющих случаи и тонкости обработки персональной информации.

Согласно федеральным законам, государственные органы имеют полномочия на принятие нормативных актов по определенным вопросам относительно обработки ПДн.Данные акты не могут нести в себе положения, которые ограничивают права субъектов личных данных. Указанные проекты официально публикуются. Исключение составляют акты или конкретные их положения, содержащие информацию, доступ к которой ограничивается законом.

Обработка ПДн

Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.

Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.

Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.

Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.

Аттестация

Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

Матрица доступа

Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.

Доступы бывают следующие:

• К чтению.
• Для записи.
• На исполнение и другие.

Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.

Действия регламентируются и фиксируются в матрице:

1. R – чтение.
2. CR – создание объекта.
3. W – запись внутри объекта.
4. D – избавление от объекта.
5. Знак «+» определяет доступность для конкретного субъекта.
6. Знак «-» определяет недоступность для субъекта.

На примере предприятия объектами будут:

• Технические средства, обрабатывающие, принимающие и передающие информацию.
• Коммерческая тайна.
• Личные данные клиентов.
• ПДн работников.
• Документация.
• Личные дела сотрудников.
• Электронные БД персонала и клиентуры.
• Бумажные и электронные приказы, договора, планы, отчеты, являющиеся коммерческой тайной.
• Средства защиты данных: антивирусы, сигнализационная система и др.
• Личные данные бывших сотрудников и клиентов.

В роли субъектов доступа к данным выступают:

Инструкция пользователя

Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:

1. Обязанности пользователя ИСПДн.
2. Запрещенные для пользователя ИСПДн действия.
3. Права оператора ИСПДн.
4. Ответственность пользователя.
5. Правила работы в информационно-телекоммуникационных сетях международного обмена информацией.
6. Перечень документации, использованной при разработке инструкции.

• Скачать бланк инструкции пользователя информационных систем персональных данных
• Скачать образец инструкции пользователя информационных систем персональных данных

Как происходит обработка личных сведений?

Процесс обработки ПДн в системе должен соответствовать следующим принципам:

1. Обработка данных выполняется только на законных основаниях.
2. Процедура ограничивается достижением заблаговременно утвержденных конкретных целей, не противоречащих закону.
3. Недопустимо объединение нескольких БД, содержащих информацию, чья обработка осуществляется в несовместимых между собой целях.
4. Обрабатываются только те ПДн, которые соответствуют целям обработки.
5. Обеспечение точности информации, ее достаточности и актуальности для конкретных целей.

Необходимость обеспечения безопасности ИСПДн актуальна. Конфиденциальность личной информации является обязательным требованием для лиц, имеющих доступ к персональным данным. Важно не допускать их распространения, если субъект ПДн не дал на это своего согласия или если отсутствуют на то законные основания.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/informatsionnaya-sistema.html

Разграничение информационных систем при защите персональных данных

Предмет данной статьи — разграничение информационных систем при защите персональных данных с помощью программы Киберсейф Межсетевой экран. В статье будет показан пример развертывания программы и разграничения доступа групп ПК в реальной компании.

Требования к защите информационных систем персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г., для обеспечения 3 уровня защищенности персональных данных применяются (пункт 12б):

межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно­-телекоммуникационными сетями международного информационного обмена;

В этой статье будет рассмотрено практическое использование программы Киберсейф Межсетевой экран, которая на данный момент сертифицирована по 4-ому уровню защищенности, однако в течение месяца будет сертифицирована по 3-ему уровню (сертификат уже находится на подписи в ФСТЭК). С соответствующим сертификатом можно ознакомиться на сайте компании КиберСофт. Ссылка на государственный реестр сертифицированного ПО будет приведена в конце статьи.

Постановка задачи

Структура компании, в которой мы недавно внедряли программу Киберсейф Межсетевой экран, изображена на рис. 1.

Рис. 1. Структура компании

Создание файла трансформации

Рис. 2. Создание сценария развертывания

Рис. 3. Сохранение сценария развертывания

Подробно программа Киберсейф Удаленный сервер рассмотрена в руководстве по программе Киберсейф Межсетевой экран (http://cybersafesoft.com/rus/products/cybersafe-firewall/).
Если в вашей организации не используется Active Directory, то с помощью программы Киберсейф Удаленный сервер вы можете создать командный файл (*.bat). Для развертывания программы на всех компьютерах сети достаточно будет скопировать его на каждый компьютер вместе с инсталлятором программы (MSI-файл) и запустить его (командный файл). Если же для каждого компьютера нужны уникальные пользователи, тогда можно на каждом компьютере вручную запустить инсталлятор программы (MSI-файл), при этом вам не нужны ни файл трансформации, ни командный файл.

Развертывание Киберсейф Межсетевой экран с помощью Active Directory

Рис. 4. Редактор групповой политики

Назовите новый объект групповой политики CS_Firewall (рис. 5). В разделе Фильтры безопасности удалите группу Прошедшие проверку и добавьте компьютеры, группы и пользователей, к которым будут применены параметры данного объекта групповой политики (рис. 6). Другими словами добавьте компьютеры, на которые должна быть установлена программа.

Рис. 5. Создание нового объекта GPO

Рис. 6. Созданный объект GPO

Щелкните правой кнопкой мыши на только что созданном GPO (CS Firewall) и выберите команду Изменить. Перейдите в раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ (рис. 7).

Рис. 7. Раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ

Щелкните правой кнопкой на разделе Установка программ и выберите команду Создать, Пакет. В появившемся окне нужно выбрать путь к MSI-файлу программы. Обратите внимание, что вводить нужно не локальный путь, а сетевой, поскольку пользователи будут получать доступ к пакету по сети.
Следующий шаг — выбор метода развертывания. Поскольку мы хотим предоставить файл трансформации (mst-файл, созданный программой Киберсейф Удаленный сервер), то нужно выбрать особый метод развертывания (рис. 8). Благодаря этому будет открыто окно настройки пакета развертывания (рис. 9). Затем перейдите на вкладку Модификации, нажмите кнопку Добавить и выберите файл трансформации (.mst-файл), рис. 10.

Рис. 8. Выбор метода развертывания

Рис. 9. Настройка пакета развертывания

Рис. 10. Указываем файл трансформации

Нажмите кнопку OK.

Примечание. После нажатия кнопки OK пакет и файл трансформации (файлы .msi и .mst соответственно) будут прокэшированы. Если вам понадобится изменить файл трансформации после создания пакета, то придется создавать пакет развертывания заново.

На этом работа с редактором групповой политики завершена. Закройте все окна, откройте командую строку (или хотя бы окно Выполнить, нажав комбинацию клавиш Win + R) и введите команду:

На этом все. Программа будет автоматически установлена на компьютеры после их перезагрузки и до отображения окна входа в систему. Пользователь ни на что не может повлиять и ни в чем не может ошибиться.
Иногда программа не устанавливается автоматически. Чаще всего такая проблема наблюдается на рабочих станциях под управлением Windows XP. Чтобы произвести ее установку, нужно вручную ввести на ней команду gpupdate /force.

Настройка правил брандмауэра

Используя панель администрирования Киберсейф межсетевой экран, вы можете задать глобальные и групповые правила для всех межсетевых экранов Киберсейф, установленных в вашей сети. Глобальные правила распространяются на все компьютеры, на которых установлена программа Киберсейф межсетевой экран, а групповые правила определяют поведение программы Киберсейф межсетевой экран, установленной на определенной группе компьютеров.
Прежде, чем приступить к настройке глобальных и групповых правил, нужно назначить пользователя администратором. Сделать это можно только с помощью программы Киберсейф Удаленный сервер.
Администратор может с помощью панели администрирования управлять удаленным брандмауэром. Итак, в программе Киберсейф Удаленный сервер разверните узел Пользователи и выберите пользователя, которого вы хотите сделать администратором и включите переключатель Администратор (рис. 11).

Рис. 11. Назначение пользователя администратором

Теперь приступим к решению нашей задачи. Напомню, нам нужно запретить доступ компьютерам ИСПДн «Атлант» доступ к Интернету и к другим компьютерам сети.
Войдите в программу Киберсейф Межсетевой экран и выберите команду меню Файрвол, Панель администрирования.
Создайте различные группы компьютеров, которые будут соответствовать имеющимся в сети отделам (см. рис. 1). Для создания группы щелкните правой кнопкой мыши на рабочей области и выберите команду Добавить группу. А чтобы добавить в группу компьютер просто перетащите его пиктограмму на пиктограмму группы. Конечный результат приведен на рис. 12. Обязательно нажмите кнопку Применить, чтобы программа «запомнила» созданные группы.
Нужно отметить, что при изменении IP-адресов входящих в группу компьютеров состав созданной группы не изменится. Поэтому не стоит волноваться о составе группы в случае использования в вашей организации DHCP-сервера.

Рис. 12. Созданные группы

Выделите ИСПДн «Атлант ПД» и нажмите кнопку Установить правила. Так вы сможете установить групповые правила. Для установки глобальных правил нужно выделить узел Все и нажать кнопку Установить правила.
Итак, установим правила для группы ИСПДн «Атлант ПД». В появившемся окне перейдите в раздел Правила безопасности и нажмите кнопку Добавить (рис. 13).

Рис. 13. Правила безопасности: пока не заданы

На вкладке Общие (рис. 14) задайте описание правила — «Запрет обмена данными с группой ».
Установите тип правила — Запретить пакеты, выберите направление пакетов — Для всех пакетов и протокол — Любой.

Рис. 14. Вкладка Общие

В качестве источника укажите ИСПДн «Атлант ПД», а в качестве получателя — одну из групп вашего предприятия, например, IT-отдел. Нажмите кнопку OK.
Что делает это правило? Оно запрещает компьютерам ИСПДн «Атлант ПД» передавать любые пакеты в группу IT-отдел. Даже если какой-то компьютер из группы IT-отдел попытается установить соединение с компьютером группы ИСПДн «Атлант ПД», то компьютеры группы ИСПДн «Атлант ПД» все равно не смогут ответить ему, поскольку им это запрещает правило.

Рис. 15. Вкладка Источник

Рис. 16. Вкладка Получатель

Рис. 17. Созданные правила для группы ИСПДн «Атлант ПД»

На вкладке Источник выберите в качестве источника ИСПДн «Атлант ПД» (рис. 15). На вкладке Получатель установите IP-адрес сервера (внутренний), например, 192.168.1.1 (рис. 18).

Рис. 18. Запрет доступа к Интернету

Нажмите кнопку OK. По умолчанию все правила являются выключенными. Для их включения щелкните на каждом правиле правой кнопкой мыши и выберите команду Включить. Окончательный вариант правил показан на рис. 19. Обратите внимание на статус правила — Включено.

Рис. 19. Окончательный вариант правил

Закройте окно редактирования правил безопасности, а в окне Панель администрирования нажмите кнопку Применить, а затем закройте само окно.

Вывод

Поставленная задача решена и теперь компьютеры группы ИСПДн «Атлант ПД» не могут взаимодействовать с остальными компьютерами локальной сети и у них нет доступа к Интернету. Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.

Источник: http://habr.com/post/250127/