Каталог +7 (495)-105-91-52 г. Москва, ул. Барклая, д.13, стр.1 Обратный звонок
Главная Форум О защите информации

Порядок выполнения работ по защите информационной системы

 

Оглавление

Порядок выполнения работ по защите ИС.

1.1    Нормативно-правовая база для проведения работ.

1.2    Термины и определени.

  1. Этапы выполнения работ.

2.1.  Проведение обследования ИС.

2.2.  Разработка модели нарушителя и модели угроз безопасности.

2.3.  Разработка проектов организационно-распорядительных документов.

2.4.  Разработка технического задания на создание системы защиты информации.

2.5.  Разработка технического (технорабочего) проекта на систему защиты информации.

2.6.  Поставка, установка и настройка средств защиты информации.

2.7.  Проведение аттестационных испытаний.

  1. Распространенные ошибки при построении СЗПДн:

 

 

 

 

1.1    Нормативно-правовая база для проведения работ

 

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Федеральный закон от 27 июля 2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации”
  3. Постановление Правительства РФ от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации".
  4. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  5. Приказ Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
  6. Постановление Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
  7. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  8. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  9. «Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных», утв. 14.02.2008 заместителем директора ФСТЭК России.
  10. «Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных», утв. 15.02.2008 заместителем директора ФСТЭК России.
  11. Банк данных угроз безопасности информации.
  12. ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
  13. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
  14. ГОСТ Р 51624-2000 Защита информации Автоматизированные системы в защищенном исполнении
  15. ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем"
  16. ГОСТ 34.601-90Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания
  17. "Положение по аттестации объектов информатизации по требованиям безопасности информации" (утв. Гостехкомиссией РФ 25.11.1994)
  18. Федеральный закон "О лицензировании отдельных видов деятельности" от 04.05.2011 N 99-ФЗ
  19. Постановление Правительства РФ от 03.02.2012 N 79 (ред. от 15.06.2016) "О лицензировании деятельности по технической защите конфиденциальной информации"
  20. Положение "О государственном лицензировании деятельности в области защиты информации", утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 27 апреля 1994 г. №10

 

1.2    Термины и определени

Информационная система (ИС) - это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Оператор информационной системы - это гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Государственные информационные системы (ГИС) - это ИС, создаваемая в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Информационная система персональных данных (ИСПДн) - ИС, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - “Аттестата соответствия” подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по информационной безопасности, утвержденных ФСТЭК России.

 

2.    Этапы выполнения работ

2.1.  Проведение обследования ИС.

В ходе обследования собираются данные:

  • об организационно-штатной структуре заказчика;
  • о мерах физической безопасности;
  • о структуре, техническом и программном составе информационных систем;
  • об архитектуре информационных систем;
  • о технологических процессах обработки ПДн;
  • о существующих средствах и механизмах обеспечения безопасности ПДн.

В большинстве случаев цена такого обследования невысока. Но порой оно помогает существенно сэкономить на приобретении ненужных СЗИ. Причина в том, что после обследования часто сокращается объем парка машин, которые необходимо защитить, а также конкретизируются организационные и технические требования по защите персональных данных в информационной системе, которые необходимо реализовать.

По результатам выполнения данного этапа подготавливается отчет по результатам обследования ИС.

 

2.2.  Разработка модели нарушителя и модели угроз безопасности.

Классификация информационных систем.

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.

Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.

На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.

Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.

На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Необходимость разработки модели угроз регламентирована рядом нормативных документов. Вот некоторые из них.

Часть 2 статьи 19 закона №152-ФЗ «О персональных данных»

  1. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены приказом ФСТЭК России от 18 февраля 2013г. №21):

  1. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены ФСТЭК России от 11 февраля 2013г. №17).

Формирование требований к защите информации … в том числе включает:

определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

С необходимостью создания документа разобрались, давайте же посмотрим, что предписывает нам законодательство по его содержанию. Здесь, как ни странно, все довольно скудно.

В качестве классического примера описания содержания модели угроз можно привести 17 приказ ФСТЭК:

Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Крайне важно отметить, что вам может потребоваться согласование модели угроз со ФСТЭК и ФСБ, если вы являетесь владельцем региональной или федеральной ГИС.

Определение уровня защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

связанные с наличием недекларированных возможностей в системном программном обеспечении;

связанные с наличием недекларированных возможностей в прикладном программном обеспечении;

не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Определения класса ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Класс защищенности (К) = [уровень значимости информации; масштаб системы]. Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

ИС имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.

ИС имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.

ИС имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба) (доступность, степень ущерба)], где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:

ВЫСОКОЙ, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) ГИС и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;

СРЕДНЕЙ, [...] не могут выполнять хотя бы одну из возложенных на них функций;

НИЗКОЙ, [...] могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.

Информация имеет средний уровень значимости (УЗ 2), [...] средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

Информация имеет низкий уровень значимости (УЗ 3), [...] определены низкие степени ущерба.

Для определения класса ГИС можно воспользоваться можно воспользоваться следующей таблицей.

Уровень значимости

информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

УЗ 1

К1

К1

К1

УЗ 2

К1

К2

К2

УЗ 3

К2

К3

К3

 

Следующим шагом будет определение набора мер обеспечения информационной безопасности.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

 

2.3.  Разработка проектов организационно-распорядительных документов.

На данном этапе разрабатывается комплект документов, регламентирующих порядок обработки персональных данных. Среди основных документов можно выделить следующие:

1. Приказы:

  • Приказ о назначении работника (структурного подразделения), ответственного за обеспечение безопасности информации
  • Приказ о назначении работника (структурного подразделения), ответственного за выполнение работ по технической и криптографической защите информации
  • Приказ о составе комиссии по классификации автоматизированных систем
  • Приказ о составе комиссии по классификации информационных систем
  • Приказ о выделении помещения (помещений), в котором производится обработка защищаемой информации (в соответствии с тем в каких отделах, подразделениях организации обрабатываются информация). Приложение: список допущенных сотрудников
  • Приказ о назначении администраторов безопасности СЗ информации в целом и прикладных администраторов
  • Приказ об утверждении мест хранения материальных носителей защищаемой информации
  • Приказ о назначении комиссии по уничтожению документов с защищаемой информацией
  • Приказы (на этапе ввода в эксплуатацию):

 - на проектирование объекта информатизации и назначение ответственных исполнителей:

 - на проведение работ по защите информации;

 - о назначении лиц, ответственных за эксплуатацию объекта информатизации;

 - на обработку в АС (обсуждение в ЗП) конфиденциальной информации.

2. Инструкции:

  • Инструкция по порядку учета и хранению съемных носителей защищаемой информации
  • Инструкция, определяющая порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка защищаемой информации

3. Положения:

  • Положение о порядке организации и проведения работ по защите информации или приложение к руководству по защите информации от утечки по техническим каналам
  • Положение о порядке обработки и обеспечении безопасности защищаемой информации
  • Положение о подразделении, осуществляющем функции по организации защиты информации
  • Положение (инструкция) о резервировании и восстановлении работоспособности ТС и ПО, баз данных и средств СЗ информации

4. Руководства:

  • Руководство пользователя по эксплуатации технических и программных средств защиты информации
  • Руководство администратора по эксплуатации технических и программных средств защиты информации
  • Руководство пользователя по обеспечению безопасности защищаемой информации
  • Руководство администратора по обеспечению безопасности защищаемой информации

5. Журналы:

  • Журнал учета бумажных и съемных носителей защищаемой информации
  • Журнал регистрации и учета обращений субъектов персональных данных
  • Журнал ознакомления ответственных за обеспечение безопасности защищаемой информации, за выполнение работ по защите информации под расписку с Типовыми требованиями и другими документами, регламентирующими организацию и обеспечение безопасности защищаемой информации при их обработке в информационной системе
  • Журнал учета криптосредств, эксплуатационной и технической документации к ним
  • Журнал учета ключевых носителей
  • Журнала учета персональных данных для пропуска субъекта персональных данных на территорию оператора

6. Перечни:

  • Перечень используемых сертифицированных технических средств защиты информации (всех ТЗИ, так как все должны быть сертифицированы)
  • Перечень сведений конфиденциального характера, подлежащих защите, в том числе ПДн и лист ознакомления к нему.
  • Перечень АС и ИС, обрабатывающих защищаемую информацию и персональные данные
  • Перечень эксплуатационной и технической документации, применяемых средств защиты информации
  • Перечень носителей персональных данных

7. Списки:

  • Список помещений, в которых разрешена обработка защищаемой информации
  • Утвержденный список лиц, допущенных в закрытое помещение
  • Утвержденный список лиц, допущенных к работе в информационной системе
  • Утвержденный список лиц, доступ которых к защищаемой информации, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей

8. Акты:

  • Акт классификации ИС лист ознакомления сотрудников, в части касающейся
  • Акт об уничтожении персональных данных субъекта (ов) персональных данных (в случае достижения цели обработки) (как в информационных системах, так и на бумажном носителе)

9. Модели:

  • Модель угроз безопасности информации
  • Модель нарушителя
  • Частная модель угроз безопасности ПДн

10. Планы:

  • План мероприятий по технической защите информации
  • План мероприятий по защите персональных данных
  • План внутренних проверок состояния защиты информации
  • Планы устранения недостатков, выявленных в ходе проверок вопросов защиты информации

11. Другие:

  • Политика информационной безопасности органа исполнительной власти
  • Матрица доступа персонала к сведениям конфиденциального характера и разграничение доступа в соответствии с матрицей
  • Описание конфигурации и топологии ИС, физических, функциональных и технологических связей внутри этих систем, так и с другими системами различного уровня и назначения, а также режимов обработки ПДн
  • Условия расположения объекта информатизации относительно границы КЗ
  • Технический паспорт объекта информатизации
  • Технический паспорт на защищаемое помещение
  • Ведомость приема зачетов по знанию действующего законодательства у лиц, допущенных к автоматизированной обработке защищаемой информации
  • Заключение о готовности СЗИ к эксплуатации
  • Копия уведомления об обработке персональных данных
  • Разделы должностных инструкций (должностного регламента) сотрудников имеющих доступ к ИС, в части обеспечения безопасности защищаемой информации
  • Типовые формы документов, предполагающие или допускающие содержание персональных данных
  • Копии договоров, заключённых между оператором и субъектом по основным направлениям деятельности, подтверждающего согласие субъекта персональных данных на их обработку
  • Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма)
  • Распечатка (копия) шаблона содержания персональных данных (формы и поля заполнения), определенных оператором, заверенных оператором и государственным инспектором, проводящим проверку.

Данный перечень не является исчерпывающим и может быть дополнен иными документами. Также некоторые из представленных выше документов могут иметь иное название и/или включать в себя содержание нескольких документов.

 

2.4.  Разработка технического задания на создание системы защиты информации.

На данном этапе разрабатываются и формализуются требования к системе защиты, которые должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

 

2.5.  Разработка технического (технорабочего) проекта на систему защиты информации.

Разработка технического проекта системы защиты информации является завершающей стадией проектирования системы защиты информации. В целом суть содержания технического проекта заключается в том, что в нем описываются конкретные организационные и технические мероприятия, которые необходимо осуществить для той или иной меры из окончательного списка мер в техническом задании.

Согласно пункту 15.1 нормативного документа «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года) в техническом (эскизном) проекте:

— определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);

— определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;

— выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;

— определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;

— определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;

— осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;

— определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;

— определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Поскольку разработка технического проекта системы защиты информации в ГИС является этапом проектирования системы защиты информации, то при передаче этих работ сторонней организации, такая организация должна иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с возможностью оказывать услуги на проектирование в защищенном исполнении средств и систем информатизации.

Для ИСПДн сертифицированные СЗИ применяются для закрытия актуальных угроз ИБ, а для ГИС только сертифицированные СЗИ.

 

2.6.  Поставка, установка и настройка средств защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. При необходимости разрабатывается эксплуатационная документация.

Внедрение системы защиты информации осуществляется в соответствии с разработанной на предыдущем этапе пояснительной запиской к Техническому проекту. На данном этапе осуществляется:

  • поставка, установка и настройка средств защиты информации;
  • приемочные испытания системы защиты информации информационной системы.

Отчетными документами по данному этапу, как правило, служат:

  • документы на поставку средств защиты информации (лицензии, дистрибутивы, формуляры и документация на средства защиты);
  • программа и методики приемочных испытаний системы защиты ГИС\ИСПДн;
  • протоколы и заключение по результатам приемочных испытаний;
  • акты внедрения средств защиты информации.

 

2.7.  Проведение аттестационных испытаний.

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Можно выделить следующие основные этапы по аттестации объекта:

  1. Между органами по аттестации и заказчиком заключается договор, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации;
  2. Разработка программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем;
  3. После чего по разработанной и согласованной с заявителем программой и методикой проходят аттестационные испытания, в результате которых разрабатывается протокол аттестационных испытаний.
  4. Далее выдаётся заключение по результатам аттестационных испытаний, следует учесть, что заключение может быть, как положительным, так и отрицательным.
  5. В результате, если заключение положительное, то выдается аттестат соответствия и на этом аттестация объекта заканчивается.

 

3.    Распространенные ошибки при построении СЗПДн:

1. Неверно определено число информационных систем, обрабатывающих персональные данные.

Часто при определении информационных систем, в которых обрабатываются персональные данные, выделяют лишь те, что лежат на виду (например, информационные системы бухгалтерии или кадров). На деле же в организации их может быть куда больше. Зачастую информационной системой, которую забыли упомянуть, оказывается система контроля управления доступом (СКУД), а между тем вероятность обработки биометрических данных в такой информационной системе весьма высока.

Совет: для того чтобы не упустить из виду информационные системы персональных данных, необходимо провести аудит всех имеющихся информационных систем, а затем установить факт обработки в них персональных данных. Не забывайте про системы видеонаблюдения, так как в отдельных случаях они также являются ИСПДн.

2. Неверный выбор средств защиты информации.

Бывают случаи, когда заказчик самостоятельно ставит себе «диагноз» через интернет. Находит в сети пример, где описывается построение технической системы защиты персональных данных информационной системы, схожей с его, и закупает приведенные в списке СЗИ. В результате возможно несколько вариантов развития событий:

используемые средства защиты персональных данных будут соответствовать требованиям нормативных документов и закроют все актуальные угрозы безопасности персональных данных;

используемых средств защиты информации будет недостаточно для закрытия всех актуальных угроз безопасности персональных данных;

перечень используемых средств защиты информации будет избыточным;

используемые средства защиты информации не будут соответствовать требованиям нормативных документов.

При этом первый вариант развития событий возможен в крайне редких случаях.

Советы:

  • используйте известный алгоритм создания системы защиты персональных данных;
  • проведите обследование информационной системы;
  • определите актуальные угрозы безопасности персональных данных в соответствии с нормативными документами ФСТЭК России;
  • определите требуемый уровень защищенности персональных данных, обрабатываемых в информационной системе;
  • руководствуясь приказами ФСТЭК России № 21 и № 17, определите организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.

3. Пренебрежение организационными мерами, концентрация исключительно на технической защите.

Бывают ситуации, когда заказчик фокусируется исключительно на технической защите информации, закупает качественные и подходящие СЗИ, но при этом забывает об организационной части. Не разработаны необходимые документы, не подписаны соглашения с работниками и т.д. Во всем нужен разумный баланс, кроме того, непонимание персоналом смысла использования СЗИ может нивелировать всю грамотно выстроенную техническую защиту.

4. Средства защиты информации верно подобраны, но неверно настроены (или не настроены вообще).

Распространенная ошибка — наделение пользователей правами администраторов. Это удобно для системного администратора, так как

настройка системы в таком случае не требует много времени и решение проблем пользователей сводится к минимуму. При таком подходе установка СЗИ на компьютеры пользователей не имеет никакого смысла: сотрудник с правами администратора может отключить что угодно, даже не осознавая этого. Например, межсетевой экран не позволяет пользователю выйти в интернет, он читает выскочившую подсказку и парой нажатий клавиш отключает защиту. Формально СЗИ установлено, угроза закрыта, однако в реальности она остается актуальной.

Совет: следует тщательно подходить к вопросу установки средств защиты информации и грамотно разделять права и обязанности пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы с учетом производственной необходимости.

Общий совет: обследование позволяет избежать этих мелких, но неприятных ошибок. Обследование позволяет определить текущую степень соответствия процессов обработки и защиты персональных данных требованиям безопасности информации, а также составить перечень необходимых мероприятий по приведению процессов организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных».

Оставить комментарий
Перед публикацией комментарии проходят модерацию
TEST article
Купить в один клик

Настоящим подтверждаю, что я ознакомлен и согласен с условиями оферты и политики конфиденциальности.