Home Esplora Aiuto
Accedi
u22zelinsky
/
EASvZI
forkato da ypv/EASvZI
1
0
Forka 0
File
Ramo (Branch): master
Rami (Branch) Tag
EASvZI
/
2022-23
/
Самостоятельная_работа_2
/
pivovar.md

pivovar.md 51 KB
Permalink Cronologia Originale

 # Выбор мер по обеспечению персональных данных

  • Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г. "О персональных данных" ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн и(или) потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.

Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по техническим каналам (технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн, технические каналы перехвата информации при ее передаче по каналам связи, технические каналы утечки акустической (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения.

Детальное описание угроз, связанных с утечкой ПДн по техническим каналам, приведено в "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных". Выявление технических каналов утечки ПДн осуществляется на основе нормативных и методических документов ФСТЭК России.

Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:

нарушитель;

носитель вредоносной программы;

аппаратная закладка.

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители подразделяются на два типа:

нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;

нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители.

Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПДн, подключенные к сетям общего пользования.

Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн и мер по контролю порядка проведения работ.

Угрозы несанкционированного доступа от внешних нарушителей реализуются с использованием протоколов межсетевого взаимодействия.

Детальное описание угроз, связанных с несанкционированным доступом в ИСПДн персональных данных, приведено в "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных".

Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса составляются специальные опросные листы.

Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень. На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн.

# организационные и технические меры, необходимые для обеспечения необходимого уровня защищенности персональных данных

  • Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

  • Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

  • учетом машинных носителей персональных данных;

  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

(в ред. Федерального закона от 30.12.2020 N 515-ФЗ)

(см. текст в предыдущей редакции)

  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

  • Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

  • уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

  • требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

  • требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

  • Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

  • Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

  • Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

  • Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

  • Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

  • Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

  • Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

  • Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

  • Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

(часть 12 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

  • Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.

(часть 13 введена Федеральным законом от 14.07.2022 N 266-ФЗ)

  • Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

# применение средств защиты, прошедших процедуру оценки соответствия

  • средства защиты информации, прошедшие оценку соответствия, то компания вынуждена идти по пути «Обязательного подтверждения соответствия». Обязательное подтверждение соответствия в ст. 20 184-ФЗ установлено в следующих формах:

принятия декларации о соответствии (далее - декларирование соответствия)

обязательной сертификации. Поскольку постановления Правительства Российской Федерации по обязательной сертификации (постановления № 609 и № 330) не применимы в области защиты персональных данных (рассмотрели выше), рассмотрим форму Декларации о соответствии. Ч. 1 ст. 24 184-ФЗ устанавливает следующие требований к декларированию соответствия:

принятие декларации о соответствии на основании собственных доказательств

принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее – третья сторона). Если изучить ст. 24, то увидим, что декларирование соответствия может проводиться только на соответствие положениям технического регламента. Поскольку технические регламенты на средства защиты информации отсутствуют (см. выше), то указанный подход не применим.

Рассмотрим вариант в форме регистрации. На настоящий момент какого-либо нормативно-правового акта, определяющего условия оценки соответствия в форме регистрации для средств защиты информации (пример норм – IX раздел приказа Ростехнадзора от 06.02.2018 № 52 «Об утверждении федеральных норм и правил в области использования атомной энергии "Правила оценки соответствия продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения») не определено. Таким образом, для компании остаются возможными следующие формы оценки соответствия: испытания, приемка и иная форма.

Отдельных требований к указанным формам 184-ФЗ не определяет, а значит, компания сама может определить, как она их проведет, но соблюдая условие ст. 3 (прямое или косвенное определение соблюдения требований, предъявляемых к объекту). Доказательством данного вывода являются положения, которые стали развитием идеи и опыта, полученных в рамках приказа 21, а именно требований п. 28 приказа ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»: «…Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации…».

Дополнительный вопрос, который необходимо также рассмотреть – это форма оценки соответствия средств защиты в случаях определения актуальными типа актуальных угроз, связанные с наличием недокументированных (недекларированных) возможностей в программном обеспечении, используемом в информационной системе (п. 6 Постановления 1119).

С 01.01.2021 произошли ключевые изменения, связанные с признанием актуальными данных типов угроз. Это связано с тем, что вступили в силу положения приказа ФСТЭК России от 14.05.2020 № 68 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21», которые отменили абзац 11 п. 12 приказа 21. Ранее указанный абзац устанавливал следующие требования: «Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются сертифицированные средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей». Т.е. если в отношении иных функций средств защиты информации компании могли определять форму оценки соответствия, то в случае со 2-м типом актуальных угроз нет, только сертификация на соответствие положениям РД НДВ.

Теперь же (после 01.01.2021) в случае признания актуальными данных типов угроз компаниям необходимо будет использовать/реализовать определенные меры защиты, которые указаны в п. 11 приказа 21.

# оценка эффективности принимаемых мер защиты до ввода в эксплуатацию информационной системы персональных данных

  • Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных является одним из документов содержащий сведения о реализуемых требованиях к защите персональных данных.

Оценка эффективности В соответствии с пунктом 4 части 2 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

Согласно пункту 3 Информационного сообщения ФСТЭК России от 15.07.2013 №240/22/2637 форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены. Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором персональных данных самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

Под оценка эффективности принимаемых мер по обеспечению безопасности персональных данных понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Оценка эффективности" подтверждается, что информационная система персональных данных соответствует требованиям Состава и содержания мер, утвержденных приказом ФСТЭК России от 18.02.2013 №21.

Наличие на информационную систему персональных данных действующей "Оценки эффективности" дает право обработки персональных данных на период 3 (три) года.

Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных предшествует началу обработки персональных данных и вызвана необходимостью официального подтверждения эффективности комплекса используемых мер на конкретной информационной системе персональных данных и средств защиты информации.

"Оценка эффективности" не является документом конфиденциального характера. Оператор персональных данных обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, содержащий сведения о реализуемых требованиях к защите персональных данных.

# учет машинных носителей персональных данных

  • Оператором персональных данных должен быть обеспечен учет машинных носителей персональных данных, используемых в информационной системе персональных данных (ИСПДн) для хранения и обработки персональных данных. Учету подлежат: съемные машинные носители персональных данных (флэш-накопители, внешние накопители на жестких дисках и иные устройства); портативные вычислительные устройства, имеющие встроенные носители персональных данных (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства); машинные носители персональных данных, встроенные в корпус средств вычислительной техники (накопители на жестких дисках). Учет машинных носителей персональных данных включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей персональных данных, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители персональных данных, и иные номера. Учет съемных машинных носителей персональных данных ведется в журналах учета машинных носителей персональных данных. Учет встроенных в портативные или стационарные технические средства машинных носителей персональных данных может вестись в журналах материально-технического учета в составе соответствующих технических средств. При использовании в составе одного технического средства ИСПДн нескольких встроенных машинных носителей персональных данных, конструктивно объединенных в единый ресурс для хранения персональных данных, допускается присвоение регистрационного номера техническому средству в целом. Регистрационные или иные номера подлежат занесению в журналы учета машинных носителей персональных данных или журналы материально-технического учета с указанием пользователя или группы пользователей, которым разрешен доступ к машинным носителям персональных данных. Раздельному учету в журналах учета подлежат съемные (в том числе портативные) перезаписываемые машинные носители персональных данных (флэш-накопители, съемные жесткие диски).

Требования к усилению ЗНИ.1:

  • оператором персональных данных обеспечивается маркировка машинных носителей персональных данных (технических средств), дополнительно включающая:
  • информацию о возможности использования машинного носителя персональных данных вне ИСПДн;
  • информацию о возможности использования машинного носителя персональных данных за пределами контролируемой зоны (конкретных помещений);

  • атрибуты безопасности, указывающие на возможность использования этих машинных носителей персональных данных для обработки (хранения) персональных данных;

  • оператором персональных данных обеспечивается маркировка машинных носителей персональных данных (технических средств), дополнительно включающая неотторгаемую цифровую метку носителя персональных данных для обеспечения возможности распознавания (идентификации) носителя в системах управления доступом;

  • оператором персональных данных обеспечиваться маркировка машинных носителей персональных данных (технических средств), дополнительно включающая использование механизмов распознавания (идентификации) носителя персональных данных по его уникальным физическим характеристикам.

# обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе

  • Для облегчения слежения за движением персональных данных и контроля их предоставления тем или иным лицам следует вести их строгий учет. Одним из наиболее простых способов учета персональных данных является ведения журнал учета персональных данных. Хотя закон не обязывает работодателя заводить его в обязательном порядке, рекомендуется все же сделать это. В журнале следует фиксировать все операции, осуществляемые с персональными данными работников. Не лишним будет и проставление отметок о том, кто, в какое время и с какой целью получал доступ к тем или иным персональным данным работников. Форма журнала не утверждена законом, поэтому разработать ее можно самостоятельно.

# Закон не содержит каких-либо четких инструкций по обнаружению фактов несанкционированного доступа к персональным данным, поэтому работодателю следует определить порядок действий самостоятельно. В частности, можно проводить регулярный аудит соблюдения правил хранения и обработки персональных данных, порядка хранения и доступа к носителям информации, порядка учета носителей информации, содержащих персональные данные и предоставления такой информации и т.д.

# Обнаружение фактов несанкционированного доступа к персональным данным и принятием мер

  • Закон не содержит каких-либо четких инструкций по обнаружению фактов несанкционированного доступа к персональным данным, поэтому работодателю следует определить порядок действий самостоятельно. В частности, можно проводить регулярный аудит соблюдения правил хранения и обработки персональных данных, порядка хранения и доступа к носителям информации, порядка учета носителей информации, содержащих персональные данные и предоставления такой информации и т.д.

# Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

  • Поскольку вследствие несанкционированного доступа к персональным данным они могут быть модифицированы или уничтожены, необходимо заблаговременно принять меры, позволяющие их восстановить. Одним из самых удобных способов сделать это – создание резервных копий персональных данных. Доступ к носителям, на которых хранятся резервные копии персональных данных, должен быть максимально ограничен.