IV. Порядок учета персональных компьютеров, на которых производится обработка конфиденциальной информации
4.1. Персональные компьютеры, на которых предусмотрена обработка конфиденциальной информации (в т.ч. персональных данных) подлежат учету в Журнале учета персональных и рабочих станций (Приложение № 3).
4.2. ПК опечатывается сотрудником, ответственным за информационную безопасность.
Перед опечатыванием ПК осматривается изнутри содержание системного блока на отсутствие посторонних элементов и/или устройств не типичных для данного типа системных плат.
При обнаружении посторонних элементов и/или устройств не типичных для данного типа системных плат:
ПК изымается из эксплуатации;
ставится в известность руководитель структурного подразделения и Председатель Комиссии по ИБ;
на имя Министерства или лица его замещающего составляется докладная записка с решением вопроса о сообщении, о данном факте в контрольно-надзорные органы для приглашения специалистов и определения принадлежности обнаруженных элементов и/или устройств.
4.3. Для опечатывания ПК используются самодельные наклейки или специальные одноразовые контрольные наклейки, наклейки-ленты, самоклеющиеся номерные пломбы-наклейки и т.п.
4.4. Информация обо всех действиях с персональным компьютером (передаче из подразделения в подразделение, ремонт, списание и т.п.) руководитель структурного подразделения (пользователь) в обязательном порядке информирует сотрудника, ответственного за информационную безопасность.
4.5. При перемещении персонального компьютера из подразделения в подразделение все документы, обрабатываемые и хранящиеся на жестком диске, уничтожаются путем форматирования. По факту уничтожения информации составляется акт уничтожения (Приложение № 4).
4.6. При передаче в ремонт сторонней организации жесткий диск с конфиденциальной информацией изымается (при возможности). При заключении договора на ремонт компьютерной техники необходимо убедиться в том, что в договоре прописаны условия соблюдения сторонней организацией условий конфиденциальности по отношении информации, находящейся на жестком диске персонального компьютера.
4.7. При списании персонального компьютера жесткий диск изымается и уничтожается созданной комиссией по акту (Приложение № 5).
Акт уничтожения жесткого диска как электронного носителя конфиденциальной информации составляется помимо акта уничтожения и списания персонального компьютера как материального объекта, состоящего на балансе Министерства (Приложение № 13).
V. Организация системы защиты информации при их обработке в автоматизированных и информационных системах
5.1. Под организацией обеспечения безопасности информации при обработке в автоматизированных и информационных системах понимается формирование и реализация совокупности согласованных по цели, задачам, месту и времени организационных и технических мероприятий, направленных на минимизацию ущерба от возможной реализации угроз безопасности информации.
5.2. Обработка документов ограниченного распространения производится при помощи средств вычислительной техники только на аттестованным по требованиям безопасности автоматизированных системах (далее – АС) в специально отведенных для этого помещениях.
5.3. Информационные системы общего пользования, информационные системы персональных данных (далее – ИСПДн) подлежат вводу в эксплуатацию в следующем порядке:
5.3.1. Информационная система общего назначения или ИСПДн (далее – информационная система), разрешенная к эксплуатации в Министерства, должна иметь техническую документацию (руководство пользователя, руководство администратора (системного администратора), руководство программиста (системного программиста) и другая техническая и эксплуатационная документацию) и дистрибутив на материальном носителе.
При покупке нового программного продукта в обязательном порядке в комплект должны входить дистрибутив на материальном носителе и комплект технической и эксплуатационной документации.
5.3.2. Для ИСПДн в обязательном порядке определяется состав обрабатываемых персональных данных, категории субъектов персональных данных и их примерное количество.
Комиссией по ИБ проводится, самостоятельно или с привлечением сторонней организации, определение уровня защищенности ИСПДн и оценка соответствия принятых мер к системе защиты ИСПДн.
5.3.3. Руководителем структурного подразделения определяется круг должностных лиц, которые будут иметь доступ к ИСПДн.
5.3.4. Сотрудник, ответственный за информационную безопасность, готовит приказ о вводе в эксплуатацию ИС, в котором определяется:
инструкция по работе пользователей с установленным средством защиты информации от несанкционированного доступа (далее – СЗИ от НСД);
инструкция администратора безопасности;
инструкция по работе пользователей с СЗИ от НСД, установленными на ПК;
инструкция администратора безопасности ИС;
список должностей, регламентом которых предусматривается работа в ИС;
матрица доступа пользователей к ИС;
определяются помещения, в которых устанавливаются рабочие места ИС;
добавление ИС в Перечень программного обеспечения, разрешенного к эксплуатации.
5.3.5. Сотрудник, ответственный за кадровую работу, определяет круг сотрудников, должностным регламентом которых предусмотрена работа в ИСПДн и оформляет отдельный приказ на допуск сотрудника к работе в ИС с оформлением всех необходимых организационно-распорядительных документов, также приказом назначаются ответственные должностные лица за эксплуатацию ИС (пользователи ИС, администратор безопасности).
5.4. С должностными лицами проводится обучение по работе с ИСПДн с отметкой в Журнале проведения инструктажа по работе с персональными компьютерами и информационными системами (Приложение № 1).
5.5. Сотрудником, ответственным за информационную безопасность, формируется Фонд алгоритмов и программ.
Фонд алгоритмов и программ представляет собой электронный архив дистрибутивов программного обеспечения, введенного в эксплуатацию в Министерстве, поименного в Перечне программных продуктов, разрешенных к эксплуатации, и документации к нему.
Добавление или исключение программного обеспечения из Перечня разрешенных к эксплуатации производится приказом руководителя Министерства по предложению Комиссии по ИБ.
На персональных компьютерах, рабочих станциях локально-вычислительной сети устанавливается только разрешенное к эксплуатации программное обеспечение. Факт установки фиксируется актом об установке программного обеспечения (Приложение № 14).
5.6. Технические и программные средства, используемые для обработки информации в ИС, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации и иметь сертификат на соответствие требованиям по безопасности информации.
5.7. Обеспечение безопасности ПДн осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой системы (подсистемы) защиты персональных данных (СЗПДн). Структура, состав и основные функции СЗПДн определяются исходя из уровня защищенности ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации, а также используемые в информационной системе информационные технологии.
5.8. Стадии создания СЗПДн должны включать в себя следующие:
предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание;
стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;
стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.
5.9. На предпроектной стадии по обследованию ИСПДн рекомендуются следующие мероприятия:
определяется перечень ПДн, обрабатываемых в ИСПДн;
определяется перечень ПДн, подлежащих защите от НСД;
определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ);
определяются конфигурация и топология ИСПДн в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах;
определяется класс ИСПДн;
уточняется степень участия должностных лиц в обработке ПДн, характер их взаимодействия между собой;
определяются (уточняются) угрозы безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (разработка частной модели угроз).
5.10. По результатам предпроектного обследования на основе настоящего документа с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание на разработку СЗПДн.
5.11. Техническое (частное техническое) задание на разработку СЗПДн должно содержать:
обоснование разработки СЗПДн;
исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;
уровень защищенности ИСПДн;
ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
конкретизацию мероприятий и требований к СЗПДн;
перечень предполагаемых к использованию сертифицированных средств защиты информации;
состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.
5.12. В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства оператором ИСПДн проводится классификация ИСПДн в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства Российской Федерации от 01.11.2012 г. №1119), с приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативными по защите персональных данных.
Выбор мер по обеспечению безопасности конфиденциальной информации, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
- определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ИСПДн в соответствии с базовыми наборами мер по обеспечению безопасности ПДн;
- адаптацию базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
- уточнение адаптированного базового набора мер по обеспечению безопасности конфиденциальной информации с учетом не выбранных ранее мер, в результате чего определяются меры по обеспечению безопасности конфиденциальной информации, направленные на нейтрализацию всех актуальных угроз безопасности конфиденциальной информации для конкретной информационной системы;
- дополнение уточненного адаптированного базового набора мер по обеспечению безопасности конфиденциальной информации мерами, обеспечивающими выполнение требований к защите конфиденциальной информации, установленными иными нормативными правовыми актами в области обеспечения безопасности конфиденциальной информации и защиты информации.
5.14. При использовании в ИС новых информационных технологий и выявлении дополнительных угроз безопасности конфиденциальной информации, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора, направленные на нейтрализацию актуальных угроз безопасности информации.
|