Методические рекомендации технические мероприятия по обеспечению безопасности персональных данных при осуществлении нотариальной деятельности Версия (стр. 3 из 9)
устанавливаемом Фондом «Центр инноваций и информационных технологий».
2. Объекты защиты ИСПДн
К объектам защиты ИСПДн. могут быть отнесены: информация, обрабатываемая в ИСПДн, технические средства ее обработки и защиты.
Перечень объектов защиты определяется по результатам проведения внутренней проверки.
Объекты защиты каждой ИСПДн могут включать:
- Персональные данные субъектов ПДн и сотрудников
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (ФЗ 152)
- Технологическая информация
Технологическая информация, подлежащая защите, может включать:
· управляющую информацию (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
· технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
· информацию на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;
· информацию о СиЗи ИСПДн, их составе и структуре, принципах и технических решениях защиты;
· информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
· служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки информации.
- Программно-технические средства обработки
Программно-технические средства могут включать в себя:
· общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);
· резервные копии общесистемного программного обеспечения;
· инструментальные средства и утилиты систем управления ресурсами ИСПДн;
· аппаратные средства обработки ПДн (АРМ и сервера);
· сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).
- Средства защиты ПДн
Средства защиты ПДн могут быть реализованы как программными, так и аппаратными средствами, и могут включать:
· средства управления и разграничения доступа пользователей;
· средства обеспечения регистрации и учета действий с информацией;
· средства, обеспечивающие целостность данных;
· средства антивирусной защиты;
· средства межсетевого экранирования;
· средства аудита безопасности;
· средства обнаружения вторжений;
· средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена;
· средства управления процессами обеспечения безопасности;
· средства защиты информации от утечки по техническим каналам.
- Каналы информационного обмена и телекоммуникации.
Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.
- Объекты и помещения, в которых размещены компоненты ИСПДн
Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.
Анализ типовой схемы документооборота, применяемой при осуществлении нотариальной деятельности, позволил разработать типовые варианты структурных схем автоматизированных ИСПДн (рис. 1).
Вариант 1. Автоматизированное рабочее место (АРМ)
ИСПДн представляет собой автономный (не подключенный к иным информационным системам) комплекс технических и программных средств, предназначенный для обработки персональных данных (автоматизированное рабочее место), имеющий подключение к сетям связи общего пользования и (или) сетям международного информационного обмена.
Вариант 2. Одноранговая локальная вычислительная сеть (ЛВС)*
ИСПДн представляет собой комплекс одноранговых (имеющих равные права) АРМ, объединенных в ЛВС, имеющий подключение к сетям связи общего пользования и (или) сетям международного информационного обмена.
Вариант 3. ЛВС на базе сервера
ИСПДн представляет собой ЛВС, имеющую подключение к сетям связи общего пользования и (или) сетям международного информационного обмена, в которой сетевые устройства централизованы и управляются одним или несколькими серверами. В ЛВС на базе сервера АРМ обращаются к информационным ресурсам сети через сервер(ы).
Вариант 4. ЛВС с выделенным сервером безопасности
ИСПДн представляет собой ЛВС на базе сервера, имеющую подключение к сетям связи общего пользования и (или) сетям международного информационного обмена, в которой реализован выделенный сервер безопасности.
В соответствии с данной схемой предлагается выделить 3 базовых уровня информационного взаимодействия в ИСПДн, на которых осуществляется обработка ПДн:
| 1. Уровень пользователей | АРМ |
| 2. Уровень внутрисетевого взаимодействия | АРМ, сервера, периферийное и коммутационное оборудование, каналы связи внутрисетевого взаимодействия |
| 3. Уровень межсетевого взаимодействия | Коммутационное оборудование, каналы связи с сетями общего пользования и (или) сетями международного информационного обмена |
Рис.1.3. Общие требования к СиЗИ ИСПДн
Система защиты персональных данных (СиЗИ ПДн), строится на основании:
· Отчета о результатах проведения внутренней проверки;
· Перечня персональных данных, подлежащих защите;
· Акта классификации информационной системы персональных данных;
· Модели угроз безопасности персональных данных;
· Положения о разграничении прав доступа к обрабатываемым персональным данным;
· Руководящих документов ФСТЭК и ФСБ России.
На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн . На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета о результатах проведения внутренней проверке, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн
4. Рекомендации по выбору программно-аппаратных СЗИ
Выбор программно-аппаратных средств защиты информации для построения СиЗИ
ИСПДн рекомендуется базировать на следующих принципах:
| 1. | Легитимность | Программно-аппаратные СЗИ должны быть сертифицированы в системе ФСТЭК и ФСБ России |
| 2. | Необходимость | СиЗИ ИСПДн должна быть адекватна угрозам информационной безопасности в части эффективного противодействия существующим и потенциально возможным угрозам информационной безопасности ПДн |
| 3. | Достаточность | СиЗИ ИСПДн не должна обладать избыточностью в части своих защитных функций |
| 4. | Совместимость | Выбор СЗИ, необходимо проводить с учетом их возможного взаимодействия с остальными СЗИ ИСПДн, и иными программно-аппаратными компонентами ИСПДн |
| 5. | Стоимость | Современные условия позволяют Оператору путем самостоятельного поиска, либо путем проведения аукциона определить оптимальную для себя стоимость СЗИ |
Несоблюдение данных принципов может привести к значительным негативным последствиям, в том числе:
· санкциям со стороны контролирующих органов;
· невозможности проведения аттестационных испытаний ИСПДн;
· снижению реального уровня защищенности ПДн;
· снижению функциональных возможностей ИСПДн;
· возникновению дополнительных ошибок и сбоев в работе ИСПДн (нарушению защитных свойств ПДн: блокировка, нарушение целостности , уничтожение и т.д.).
5.Краткий обзор программно-аппаратных средств защиты информации , применимых для создания ИСПДн в защищенном исполнении
5.1.Уровень АРМ: Программно-аппаратные СЗИ разграничения доступа
5.1.1. Решения корпорации Microsoft
| Наименование: | Microsoft Windows XP Professional |
 Реализация: Программная | Назначение: – клиентская многозадачная и многопользовательская операционная система со встроенной поддержкой одноранговых и клиент-серверных сетей и стека протоколов TCP/IP и IPX/SPX. Позволяет обеспечить взаимодействие с сетями Novell, UNIX и AppleTalk. В состав ОС Microsoft Windows XP Professional включен сервер IIS, предоставляющий платформу для размещения веб-узлов в сетях интранет. Преимущества: более высокий уровень безопасности, включая возможность шифрования файлов и папок с целью защиты корпоративной информации; поддержка мобильных устройств для обеспечения возможности работать автономно или подключаться к компьютеру в удаленном режиме; встроенная поддержка высокопроизводительных многопроцессорных систем; возможность работы с серверами Microsoft Windows Server и системами управления предприятиями; эффективное взаимодействие с другими пользователями по всему миру благодаря возможностям многоязычной поддержки. |
| Область применения: ИСПДн Класса К2 - К3 | Сертификат соответствия: ФСТЭК России №844/2, №844/3 ОУД 1 (усиленный) |