Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 "Об обеспечении защиты персональных данных"




НазваниеПисьмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 "Об обеспечении защиты персональных данных"
страница2/13
Дата публикации26.03.2014
Размер0.84 Mb.
ТипДокументы
skachate.ru > Информатика > Документы
1   2   3   4   5   6   7   8   9   ...   13
^

1. Проведение обследования



На этапе обследования информационных систем ПДн выполняются следующие работы:

- формируется перечень ПДн, информационных систем и технических средств, используемых для их обработки;

- определяются подразделения и сотрудники, обрабатывающие ПДн;

- определяются категории ПДн;

- разрабатывается описание объекта защиты, включая состав и характеристики средств обработки данных

- проводится предварительная классификация информационных систем ПДн;

- в соответствии с рекомендациями ФСТЭК России и (или) ФСБ России определяются и уточняются типовые модели угроз и соответствующие им типовые требования к системам защиты ПДн;

- осуществляется оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие с предъявляемыми требованиями.

Результатами работ на этапе обследования являются:

- перечень и категории ПДн,

- перечни информационных систем и технических средств используемых для обработки ПДн и анализ их состояния,

- состав имеющихся в наличии мер и средств защиты ПДн;

- подразделения и сотрудники, обрабатывающие ПДн;

- предварительная классификация информационных систем, обрабатывающих ПДн на типовые (1-4 классов) и специальные;

- описание объектов защиты

- уточненные типовые модели угроз и требования к системам защиты ПДн;

- оценка необходимых мероприятий и затрат по приведению информационных систем ПДн в соответствие с предъявляемыми требованиями.

Если затраты времени и средств на приведение информационных систем персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями окажутся слишком высокими, то следует оценить возможность обезличивания или понижения классов информационных систем и провести необходимые работы повторно.

Наиболее эффективным способом приведению ИСПДн в соответствие с предъявляемыми требованиями является их обезличивание. Оно позволяет классифицировать ИСПДн по низшему классу К4 и самостоятельно определить необходимость и способы их защиты.

Если обезличивание невозможно, то понизить требования по защите персональных данных можно путем сегментирования ИСПДн, отключения от сетей общего пользования, обеспечения обмена между ИСПДн с помощью сменных носителей, создания автономных ИСПДн на выделенных АРМ.

После определения способов понижения требований по защите персональных данных и необходимого повторного обследования оформляются акты классификации ИСПДн, осуществляются определение и анализ типовых моделей угроз и требований, определение необходимых мер и средств защиты ПДн, а также внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн.

Завершается предпроектная стадия формированием Плана выполнения работ по обеспечению защиты персональных данных.

Предпроектная стадия является важнейшим этапом работ по обеспечению защиты персональных данных, во многом определяющим состав и эффективность реализации мероприятий и необходимые затраты. Поэтому на данном этапе целесообразно привлекать для анализа результатов обследования и консультаций специалистов в области защиты персональных данных.

^

2. Классификация информационных систем персональных данных и определение актуальных угроз их безопасности



Для проведения классификации ИСПДн, определения категорий персональных данных и экспертной оценки угроз их безопасности целесообразно сформировать комиссию с привлечением специалистов в области информационной безопасности, в том числе по защите государственной тайны.

Перечень типовых ИСПДн определен приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" http://www.pd.rsoc.ru/low. Классификация ИСПДн осуществляется в зависимости от категории персональных данных (ПДн), не содержащих сведения, относящиеся к государственной тайне:

категория 1 - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 - ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;

категория 3 - ПДн, позволяющие идентифицировать субъекта персональных данных;

категория 4 - обезличенные и (или) общедоступные персональные данные.

Целесообразно отдельно определять категории ПДн, обрабатываемых в ИСПДн в электронном и в бумажном виде. В последнем случае следует руководствоваться постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.

Типовые ИСПДн, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных, относятся к классу 1 (К1), - к негативным последствиям - к классу 2 (К2), к незначительным негативным последствиям - к классу 3 (К3), для субъектов персональных данных, не приводит к негативным последствиям для субъектов персональных данных - к классу 4 (К4).

Кроме того, при классификации учитываются объем и территория охвата субъектов персональных данных в порядке, приведенном в приказе ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20.
┌────────────────────────────┬────────┬─────────────────┬────────┬───────────────────────────────────┬──────┐

│ Количество субъектов ПДн в │ Более │ В объеме │От 1000 │ В объеме │ До │

│ системе Категория ПДн, │100 тыс.├────────┬────────┤ до ├───────┬────────┬────────┬─────────┤ 1000 │

│обрабатываемых в электронном│ ПДн │ РФ │субъекта│ 100000 │отрасли│ органа │муници- │организа-│ ПДн │

│ виде │ │ │ РФ │ ПДн │ │ власти │пального│ ции │ │

│ │ │ │ │ │ │ │образо- │ │ │

│ │ │ │ │ │ │ │ вания │ │ │

├────────────────────────────┼────────┴────────┴────────┼────────┴───────┴────────┴────────┼─────────┴──────┤

│1. Расовая, национальная│ 1 класс (К1) │ 1 класс (К1) │ 1 класс (К1) │

│принадлежность, политические│ │ │ │

│взгляды, религиозные и│ │ │ │

│философские убеждения,│ │ │ │

│состояние здоровья, интимная│ │ │ │

│жизнь │ │ │ │

├────────────────────────────┼──────────────────────────┼──────────────────────────────────┼────────────────┤

│2. Позволяющие│ 1 класс (К1) │ 2 класс (К2) │ 3 класс (К3) │

│идентифицировать субъекта│ │ │ │

│персональных данных и│ │ │ │

│получить о нем│ │ │ │

│дополнительную информацию,│ │ │ │

│за исключением ПДн,│ │ │ │

│относящихся к категории 1 │ │ │ │

├────────────────────────────┼──────────────────────────┼──────────────────────────────────┼────────────────┤

│3. Позволяющие│ 2 класс (К2) │ 3 класс (К3) │ 3 класс (К3) │

│идентифицировать субъекта│ │ │ │

│персональных данных │ │ │ │

├────────────────────────────┼──────────────────────────┼──────────────────────────────────┼────────────────┤

│4. Обезличенные и (или)│ 4 класс (К4) │ 4 класс (К4) │ 4 класс (К4) │

│общедоступные персональные│ │ │ │

│данные │ │ │ │

└────────────────────────────┴──────────────────────────┴──────────────────────────────────┴────────────────┘
ИСПДн, обрабатывающие обезличенные или общедоступные персональные данные класса (категории 4) относятся к классу К4. В этом случае обязательные требования по защите ПДн не устанавливаются.

Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" определены необходимые мероприятия по защите персональных данных. В их число входят определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; разработка на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем, и другие мероприятия.

При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации (прежде всего, регламентирование доступа сотрудников к обработке персональных данных, парольная и антивирусная защита);

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным (прежде всего, регламентирование использования и регулярное обновление антивирусных средств);

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование (охрана и регламентирование использования технических средств);

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (прежде всего, путем хранения резервных копий на съемных маркированных носителях);

д) постоянный контроль за обеспечением уровня защищенности персональных данных (осуществляемый, в основном, администраторами ИСПДн и иным персоналом).

При этом следует иметь ввиду, что в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" основным обязательным требованием к ИСПДн является обеспечение конфиденциальности. Если право доступа субъекта к своим персональным данным, их изменения, блокирования или отзыва реализуются не самим субъектом непосредственно, а персоналом ИСПДн при обращении или по запросу субъекта или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, если в ИСПДн не обрабатываются персональные данные 1 категории и не предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки персональных данных, то другие требования (кроме конфиденциальности) менее критичны. Так, в случае выявления неправомерных действий с персональными данными для их устранения законом предусмотрено три рабочих дня с даты такого выявления.

Следует учитывать, что требования к обработке персональных данных и к обработке иной конфиденциальной информации (например, коммерческой тайны) могут различаться. Применение к обработке персональных данных положений документов (например, СТР-К), действующих до вступления в силу Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", если эти положения в этом законе или последующих подзаконных актах изложены иначе, юридически некорректно.

Если система не может быть отнесена к типовой, модель угроз специальной информационной системы разрабатывается на основе ГОСТ Р 51275-2006 специалистами в области информационной безопасности. Типовые модели угроз приводятся в "Базовой модели угроз безопасности персональных данных".

Определение угроз безопасности персональных данных осуществляется на основе утвержденной ФСТЭК России "Базовой модели угроз безопасности персональных данных". Полный перечень угроз определен ГОСТ Р 51275-2006.

Выбор типовой модели угроз осуществляется в зависимости от того, имеют ли ИСПДн подключение к сетям общего пользования и (или) сетям международного информационного обмена, а также от их структуры (автономные автоматизированные рабочие места, локальные сети, распределенные ИСПДн с удаленным доступом).

Наименьшее количество угроз имеют автоматизированные рабочие места и локальные ИСПДн, не подключенные к сетям общего пользования. Если ИСПДн нераспределенные и соответствуют классу К3, то необходимые мероприятия по защите персональных данных могут быть осуществлены без привлечения специалистов в области информационной безопасности.

Для каждой угрозы, приведенной в типовой модели, следует оценить возможную степень ее реализации. Если она окажется высокой, то это может потребовать применения соответствующих дополнительных технических средств защиты информации.

Возможность реализации угрозы зависит от исходной защищенности ИСПДн и вероятности реализации угрозы.

Вероятность реализации угрозы - определяемый экспертным путем показатель, характеризующий, насколько вероятной является реализация конкретной угрозы безопасности ПДн для каждой ИСПДн:

маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, отсутствует физическое подключение к сети);

низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, действия персонала оговорены в утвержденном регламенте или имеются средства защиты и инструкции по их применению);

средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (например, средства защиты имеются, но инструкции по их применению отсутствуют):

высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

Исходная защищенность ИСПДн определяется в соответствии с утвержденной ФСТЭК России "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных". Расчет исходной защищенности ИСПДн осуществляется по таблице, приведенной в "Методике...", в зависимости от ряда показателей, по которым подразделяются ИСПДн.

В соответствии с "Методикой..." осуществляется расчет возможности реализации угроз и оценка их опасности.

Определяемый на основе опроса экспертов показатель опасности имеет три значения:

низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных, что соответствует классу К3;

средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных, что соответствует классу К2;

высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных, что соответствует классу К1.

Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных соответствуют классу К4.

При использовании типовых моделей угроз и соответствующих им требований, приведенных в утвержденных ФСТЭК России "Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" следует учитывать, что в ряде случаев возможности реализации отдельных угроз могут быть более высокими и потребовать дополнительных мер защиты персональных данных. Например, возможность реализации угроз увеличивается, если:

- помещения не запираются;

- при обработке персональных данных используются микрофон и динамики;

- монитор не отвернут от окна и посетителей;

- используются беспроводные устройства, в т.ч. клавиатура и мышь;

- отсутствует парольная защита BIOS;

- используются средства сетевого взаимодействия по электропроводке или беспроводные;

- запуск неразрешенных приложений не контролируется.

Актуальные угрозы определяются по приведенной в "Методике..." таблице в зависимости от их опасности и возможности реализации.

При отсутствии дополнительных опасных факторов (например, перечисленных) для нераспределенных ИСПДн 3 класса анализ угроз можно провести при окончательном уточнении требований на этапе выбора и реализации системы защиты персональных данных.

Исходя из составленного перечня актуальных угроз и класса ИСПДн на основе утвержденных ФСТЭК России "Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и "Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" формулируются конкретные требования по защите ИСПДн и осуществляется выбор программных и технических средств защиты информации.

Выписки из документов размещены на официальном сайте ФСТЭК России www.fstec.ru/_razd/_ispo.htm.

Анализ актуальности угроз и защита персональных данных могут также осуществляться на основании Методических рекомендаций ФСБ России по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Однако для типовых ИСПДн 3 класса в большинстве случаев это потребует дополнительных затрат.

Если аномально опасные угрозы не выявлены, то для ИСПДн 3 класса, как правило, можно ограничиться типовыми требованиями к средствам защиты, приведенными в выписке из "Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" www.fstec.ru/_spravs/meropriaytiay.doc.

В документе приводятся три варианта требований к ИСПДн 3 класса:

- при однопользовательском режиме обработки;

- при многопользовательском режиме обработки и равных правах доступа;

- при многопользовательском режиме обработки и разных правах доступа.

В последнем случае при подключении к Интернет нераспределенных ИСПДн класса К3 сертифицированные межсетевые экраны не указаны, как обязательные. Это существенно уменьшает затраты на реализацию системы защиты персональных данных, но требует настройки ИСПДн с учетом прав доступа конкретных пользователей.

1   2   3   4   5   6   7   8   9   ...   13

Похожие:

Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПисьмо Федерального агентства по образованию от 29 июля 2009 г. N...
В дополнение к настоящему письму см письмо Рособразования от 22 октября 2009 г. N 17-187
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПисьмо Федерального агентства по образованию от 22 октября 2009 г....
Федеральное агентство по образованию напоминает, что все действующие информационные системы, обрабатывающие персональные данные,...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПисьмо Федерального агентства по образованию от 29 июля 2009 г. N 17-110...
Федерального закона Российской Федерации от 26. 07. 2006 г. N 152-фз "О персональных данных" должны соответствовать требованиям данного...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПостановление от 17 ноября 2007 г. N 781 об утверждении положения...
Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" icon2. документы, содержащие сведения, составляющие персональные данные
Фз «О персональных данных» и гл. 14 «Защита персональных данных работника» Трудового кодекса РФ для обеспечения порядка обработки...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПоложение об организации работы с персональными данными работников...
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconОтчет о результатах проведения внутренней проверки информационной...
Лёня – оператор персональных данных юридическое лицо, совместно с другими лицами организующее и осуществляющее обработку персональных...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПоложение о работе с персональными данными работников и обучающихся
Фз «О персональных данных» и гл. 14 «Защита персональных данных работника» Трудового кодекса РФ для обеспечения порядка обработки...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconЗакон от 27. 07. 2006 года №152-фз «О персональных данных»
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconСогласие на обработку персональных данных кандидата на включение...
Федерального закона от 27. 07. 2006. №152-фз «О персональных данных» оператору отделу по работе с общественными организациями и молодежью...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2014
контакты
skachate.ru
Главная страница