Меры, методы и средства обеспечения требуемого уровня защищенности
Обеспечение требуемого уровня защищенности должности достигаться с использованием мер, методов и средств безопасности. Все меры обеспечения безопасности объектов защиты подразделяются на:
законодательные (правовые);
морально-этические;
организационные (административные);
физические;
технические (аппаратные и программные).
Перечень выбранных мер обеспечения безопасности отражается в Плане исполнения мер защиты персональных данных, обрабатываемых в информационных системах СПб ГАУ ЦЗН.
-
Законодательные (правовые) меры защиты
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с ПДн, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию ПДн и являющиеся сдерживающим фактором для потенциальных нарушителей.
Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
-
Морально-этические меры защиты
К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.
Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений. Морально-этические меры защиты снижают вероятность возникновения негативных последствий, связанных с человеческим фактором.
-
Организационные (административные) меры защиты
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования ИР, использование ресурсов ИР, деятельность обслуживающего персонала, а также порядок взаимодействия сотрудников с ИР таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Главная цель административных мер, предпринимаемых на высшем управленческом уровне – сформировать Политику информационной безопасности ПДн (отражающую подходы к защите информации) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Реализация Политики информационной безопасности ПДн в ИСПДн строится на применении мер административного уровня и организационных (процедурных) мер защиты информации.
К административному уровню относятся решения руководства, затрагивающие деятельность СПб ГАУ ЦЗН в целом. Примером таких решений могут быть:
принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности ПДн, определение ответственных за ее реализацию;
формулирование целей, постановка задач, определение направлений деятельности в области безопасности ПДн;
принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне руководителя СПб ГАУ ЦЗН в целом;
обеспечение нормативной (правовой) базы вопросов безопасности и т.п.
Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности ПДн, определить какими ресурсами (материальные, персонал) они будут достигнуты и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью ИР.
На организационном уровне определяются процедуры и правила достижения целей и решения задач Политики информационной безопасности ПДн. Эти правила определяют:
область применения политики безопасности ПДн;
роли и обязанности должностных лиц, отвечающих за проведение политики безопасности ПДн, а также их ответственность;
предоставление прав доступа к ПДн;
меры и средствами обеспечения защиты ПДн;
меры и средствами о обеспечения контроля за соблюдением введенного режима безопасности.
Организационные меры должны:
предусматривать регламент информационных отношений, исключающих возможность несанкционированных действий в отношении объектов защиты;
определять коалиционные и иерархические принципы и методы разграничения доступа к ПДн;
определять порядок работы с программно-математическими и техническими (аппаратные) средствами защиты и криптозащиты и других защитных механизмов;
организовать меры противодействия НСД пользователями на этапах аутентификации, авторизации, идентификации, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.
Организационные меры должны состоять из:
регламента доступа в помещения, где ведется обработка ПДн;
порядка допуска сотрудников к использованию ИР СПб ГАУ ЦЗН;
регламента процессов ведения баз данных и осуществления модификации информационных ресурсов;
регламента процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ИР;
инструкции ответственных за различные направления обеспечения безопасности обработки ПДн;
инструкции пользователей по соблюдению безопасности обработки ПДн по различным аспектам безопасности.
-
Физические меры защиты
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.
-
Аппаратно-программные средства защиты ПДн
Технические (аппаратно-программные) меры защиты основаны на использовании различных сертифицированных электронных устройств и специальных программ, входящих в состав ИСПДн и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (межсетевое экранирование, сетевое сканирование, идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
С учетом всех требований и принципов обеспечения безопасности ПДн в ИСПДн по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
средства межсетевого экранирования;
средства сканирования сети с целью обнаружения вторжений и угроз;
средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей ИСПДн;
средства разграничения доступа сотрудников к ИР;
средства обеспечения и контроля целостности программных и информационных ресурсов;
средства оперативного контроля и регистрации событий безопасности;
криптографические средства защиты ПДн.
Успешное применение технических средств защиты на основании принципов (раздел 6) предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:
обеспечена физическая целостность всех компонент ИСПДн;
каждый сотрудник (пользователь ИСПДн) или группа пользователей имеет уникальное системное имя и минимально необходимые для выполнения ими своих функциональных обязанностей полномочия по доступу к ресурсам системы;
в ИСПДн СПб ГАУ ЦЗН разработка и отладка программ осуществляется за пределами ИСПДн, на испытательных стендах;
все изменения конфигурации технических и программных средств ИСПДн производятся строго установленным порядком (регистрируются и контролируются) только на основании распоряжений руководства;
сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.), межсетевые экраны, координаторы располагаются в местах, недоступных для посторонних (специальных помещениях, шкафах, и т.п.).
сотрудниками СПб ГАУ ЦЗН осуществляется непрерывное управление и административная поддержка функционирования средств защиты.
-
Контроль эффективности СЗПДн
Контроль эффективности СЗПДн должен осуществляется на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы СЗПДн (отключение и изменение настроек средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а также прогнозирование и превентивное реагирование на возможные угрозы безопасности ПДн.
Контроль может проводиться как назначенными сотрудниками СПб ГАУ ЦЗН (оперативный контроль в процессе информационного взаимодействия), так и привлекаемыми для этой цели на основе действующих договоров компетентными организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК и ФСБ России в пределах их компетенции.
Контроль на предмет соответствия СЗПДн установленным требованиям и оценка эффективности мер защиты ПДн может осуществляться администратором безопасности как с помощью штатных средств СЗПДн, так и с помощью специальных технических и программных средств контроля.
-
Распределение ответственности и порядок взаимодействия
Ответственным за разработку мер безопасности и обеспечение контроля за их соблюдением является директор СПб ГАУ ЦЗН, который часть полномочий по обеспечению безопасности персональных данных при их обработке, может делегировать своим заместителям или руководителям структурных подразделений СПб ГАУ ЦЗН.
Сфера ответственности директора (руководителя) включает следующие направления обеспечения безопасности ПДн:
планирование и реализация мер по обеспечению безопасности ПДн;
анализ угроз безопасности ПДн;
разработку, внедрение, контроль исполнения и поддержание в актуальном состоянии политик, концепций, положений, порядков, регламентов, инструкций и других организационных документов по обеспечению безопасности;
контроль защищенности информационных ресурсов СПб ГАУ ЦЗН от угроз информационной безопасности;
обучение и информирование пользователей ИСПДн, о порядке работы с ПДн и средствами защиты;
предотвращение, выявление, реагирование и расследование инцидентов нарушения безопасности ПДн.
Более подробно о делегировании полномочий, а также их основной перечень, изложены в Положении о порядке организации и проведения работ по защите конфиденциальной информации в СПб ГАУ ЦЗН.
При взаимодействии со сторонними организациями в случаях, когда для исполнения обязательств по договору сотрудникам этих организаций предоставляется доступ к объектам защиты, в текст договора должно быть включено условие о сохранении конфиденциальности любой информации, ставшей известной в процессе выполнения работ (оказания услуг).
-
Механизм реализации Концепции
Реализация Концепции должна осуществляться на основе перспективных программ и планов, которые составляются на основании и во исполнение:
федеральных законов в области обеспечения информационной безопасности и защиты информации;
постановлений Правительства Российской Федерации;
руководящих, организационно-распорядительных и методических документов Роскомнадзора, ФСТЭК и ФСБ;
объемов финансирования, выделяемых на обеспечение информационной безопасности.
-
Ожидаемый эффект от реализации Концепции
Реализация Концепции безопасности ПДн в ИСПДн позволит:
оценить состояние безопасности информации ИСПДн, выявить источники внутренних и внешних угроз информационной безопасности, определить приоритетные направления предотвращения, отражения и нейтрализации этих угроз;
разработать распорядительные и нормативно-методические документы применительно к ИСПДн;
провести классификацию ИСПДн;
провести организационно-режимные и технические мероприятия по обеспечению безопасности ПДн в ИСПДн;
обеспечить необходимый уровень безопасности объектов защиты.
Осуществление этих мероприятий обеспечит создание единой, целостной и скоординированной системы информационной безопасности ИСПДн и создаст условия для ее дальнейшего совершенствования.
-
Ответственность
На основании ст. 192 Трудового кодекса РФ на сотрудников, нарушающих требования политики безопасности СПб ГАУ ЦЗН, могут быть наложены дисциплинарные взыскания.
За умышленное причинение ущерба, а также за разглашение информации, отнесенной к сведениям конфиденциального характера, в случаях, предусмотренных федеральными законами, сотрудники предприятия несут материальную ответственность в полном размере причиненного ущерба (Ст. 243 Трудового кодекса РФ).
В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации ответственность.
|
