Защита персональных данных (ИСПДн)

В связи с выходом Федерального Закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» особенно актуальны сегодня вопросы защиты и аттестации информационных систем персональных данных (ИСПДн) по требованиям безопасности информации.

  Защита персональных данных – это комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

  Специалисты выполняют весь комплекс работ, алгоритм которого можно представить в виде двух этапов:

Обследование ИСПДн, по согласованной с Заказчиком программе, с целью изучения процесса функционирования существующих ИСПДн, сбора информации об их функциональных объектах, структуре, составе и особенностях.

В рамках данного этапа мы считаем целесообразным, логичным и правильным разрабатывать еще и модель угроз, которая будет фундаментом Технического Задания на создание СЗИ. Внедрение системы защиты ИСПДн – второй этап, реализация которого осуществляется «по классике» - работы начинаются с проектирования и заканчиваются, как правило, выдачей аттестата соответствия, а также сопровождением системы и технической поддержкой внедренных средств защиты. Хочется отметить, что цель нашей работы  - не просто обеспечить защищенность обрабатываемых ПДн, но и сделать это с минимальными временными и материальными затратами для Заказчика, что возможно благодаря отработанным нашими специалистами методам, механизмам и подходам к проведению работ.

 Перечень работ (спецификация)

1. Аудит защищенности информационных систем персональных данных

     Аудит защищенности информационных систем персональных данных является первоначальным, минимально необходимым этапом в решении защиты персональных данных (ПДн), в информационных системах, их обрабатывающих (ИСПДн).

    Предложение предназначено в первую очередь для операторов персональных данных, которые не имеют достаточного опыта в сфере информационной безопасности, располагают небольшими по масштабу информационными системами, и не готовы единовременно произвести масштабные финансовые вложения в решение проблемы защиты ПДн. К таким операторам ПДн могут, например, относиться:

  • Операторы связи
  • Коммерческие организации (банки, бизнес-центры, гостиницы и т.д.)
  • Органы государственной власти субъектов РФ
  • Медицинские учреждения
  • Заказчики из сферы малого и среднего бизнеса

    Работы выполняются на основании данных, формируемых Заказчиком на базе опросных листов (анкет), представляемых Исполнителем.

При проведении работ учитываются требования действующих в Российской Федерации нормативных документов и стандартов в сфере защиты персональных данных.

2. Нормативные документы

    Экспресс-аудит проводится с учетом требований нормативных документов и стандартов в сфере защиты персональных данных.

Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждено постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781;

    Порядок проведения классификации информационных систем  персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (Зарегистрирован в Минюсте России 3 апреля 2008 г., регистрационный № 11462);

    Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.;

    Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах  персональных данных. Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.

3. Состав работ

3.1. Полный перечень работ по обеспечению безопасности  персональных данных

Полный комплекс задач обеспечения безопасности Пдн включает:

  • комплексное обследование (аудит) существующей ИСПДн Заказчика с оценкой соответствия исходного состояния защищенности ИСПДн - требованиям по защите Пдн, а также выявлением и анализом актуальных угроз безопасности Пдн;
  • разработку проекта акта классификации ИСПДн;
  • разработку проектов документов, регламентирующих вопросы организации обеспечения безопасности Пдн и эксплуатации СЗПДН, в том числе положения по организации и проведению работ по обеспечению безопасности Пдн при их обработке в ИСПДн и др.;
  • разработку требований к системе защиты персональных данных (СЗПДн) для конкретной ИСПДн с учетом ее класса и результатов моделирования угроз;
  • при необходимости разработку ТЗ на доработку (создание) СЗПДн;
  • разработку и внедрение СЗПДн в соответствии с требованиями РД;
  • аттестацию СЗПДн на соответствие требованиям по защите Пдн.

3.2 Минимально необходимые работы

    Если оператор Пдн не имеет возможности оперативно и вполном объеме выполнить весь комплекс работ по защите  персональных данных, целесообразно начать с проведения недорого экспресс-аудита информационной системы, силами организации, специализирующейся в сфере информационной безопасности и защиты  персональных данных.

Экспресс-аудит включает:

  • Сбор и систематизацию первичной информаци по ИСПДн, которую заказчик представляет в виде заполненных опросных листов;
  • Анализ и систематизацию ответов, полученных в опросных листах;
  • При необходимости дополнительный опрос представителей Заказчика и уточнение параметров ИСПДн;

Оценку реального состояния ИСПДн, в ходе которой определяются:

  • необходимость обработки Пдн в ИСПДн;
  • перечень Пдн, подлежащих защите;
  • условия расположения ИСПДн относительно границ контролируемой зоны;
  • режимы обработки Пдн в ИСПДн в целом и в отдельных компонентах;
  • степень участия должностных лиц в обработке ПДн и характер их  взаимодействия.
  • подготовку предложений по выбору классов ИСПДн Заказчика.

Анализ организационного обеспечения безопасности Пдн:

  • Анализ состава документации по вопросам безопасности Пдн при их обработке в ИСПДН и эксплуатации СЗПДн;
  • Экспресс-анализ системы управления обеспечением безопасности ПДн;

Анализ технического обеспечения безопасности ПДн:

  • анализ наличия специального оборудования, размещения, режима охраны и допуска в помещения, где ведется работа с ПДн;
  • анализ наличия средств защиты ПДн от НСД;
  • анализ необходимости мероприятий по закрытию технических каналов утечки   ПДн;
  • анализ необходимости мероприятий по исключению утечки за счет ПЭМИН, мероприятий по защите акустической (речевой) информации.

Выполнение этих работ позволит сформулировать требования по защите ПДн в информационной системе Заказчика, определить степень соответствия проверяемой ИСПДн этим требованиям, сформировать рекомендации по дальнейшим шагам в защите ПДн.

4. Результаты работ

Результаты экспресс-аудита представляются Заказчику в виде отчета следующего содержания:

  • Термины и определения.
  • Сокращения.
  • Введение.
  • Цель и задачи экспресс-обследования.

Объект экспресс-обследования:

  • Описание характеристик ИСПДн, как объектов экспресс-обследования;
  • Предложения по классификации ИСПДн;
  • Анализ состава мероприятий по организации обеспечения безопасности ПДн;
  • Приводятся результаты анализа состава документации по вопросам обеспечения  безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн, а также экспресс-анализа системы управления обеспечением безопасности ПДн;
  • Анализ мероприятий по техниескому обеспечению безопасности ПДн;
  • Приводятся результаты анализа состава мероприятий по размещению, специальному оборудованию, охране и режиму допуска в помещения, где осуществляется обработка ПДн;
  • Наличия подсистем, обеспечивающих защиту ПДн от НСД;
  • Необходимости мероприятий по закрытию технических каналов утечки ПДн, в том числе мероприятий по исключению утечки за счет ПЭМИН и защите акустической (речевой) информации;
  • Общие выводы и рекомендации по развитию и модернизации СЗПДн.

Перечень работ по разработке обязательных документов, регламентирующих защиту персональных данных со ссылками на нормативно-правовые акты:

  •     Приказ о создании комиссии по классификации ИСПДн;
  •     Акт классификации ИСПДн;
  •     Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн РСИЦ;
  •     Перечень персональных данных, подлежащих защите в ИСПДн;
  •     Приказ о назначении ответственное за обеспечение безопасности ПДн, администратора информационной безопасности;
  •     Модель угроз безопасности ПДн при их обработке в ИСПДн;
  •     Список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей (утверждается оператором или уполномоченным лицом);
  •     Приказ об организации защиты ПДн;
  •     Приказ о вводе объекта информатизации (ИСПДн) в эксплуатацию;
  •     Регламент учета средств защиты информации, эксплуатационной и технической документации к ним, электронных носителей персональных данных;
  •     Журнал учета носителей информации;
  •     Журнал учета персональных идентификаторов;
  •     Инструкция по организации парольной защиты в ИСПДн;
  •     Инструкция администратора безопасности ИСПДн;
  •     Инструкция по использованию СЗИ НСД;
  •     Инструкция по проведению антивирусного контроля в ИСПДн;
  •     Инструкция пользователю по обеспечению безопасности информации (ПДн).