отчет по практике ИБ. Практика2022. 1 Общие об учреждении 2 1 Отдел защиты информации 2
Скачать 94.64 Kb.
|
Содержание1 Общие об учреждении 2 1.1 Отдел защиты информации 2 3 Политика информационной безопасности 4 3.1 Цель 4 3.2 Объект защиты 4 3.3 Защищённые области 5 3.4 Обслуживание вспомогательных технические системы 8 3.5 Утилизация или повторное использование оборудования 8 3.6 Перемещение имущества 8 4 Предложения по внесению в существующую документацию 9 4.1 СМК-ПВД-13-14-v4 Положение о работе с персональными данными: 9 4.2Политика обработки и защиты персональных данных 10 4.3 СМК-РИ-09-10 Обеспечение безопасности персональных данных 10 Вывод 11 4.1. Отправная точка для внедрения информационной безопасности 14 1 Общие об учрежденииМагнитогорский государственный технический университет им. Г.И. Носова (МГТУ им. Г.И. Носова) – один из старейших вузов Южного Урала, перешагнувший 85-летний рубеж. Университет, известный как многопрофильный научно-образовательный центр, славится в стране и за рубежом своими научными школами, имеет широкую географию творческих и научных связей с ведущими российскими и зарубежными вузами. О качестве образовательных услуг, которые он предоставляет, и выполняемых научных разработок говорят многие достижения и награды. Вуз удостоен государственной награды – ордена Трудового Красного Знамени и благодарности Президента Российской Федерации. 1.1 Отдел защиты информацииОсновной задачей подразделения является разработка и внедрение организационных и технических мероприятий по комплексной защите информации. Составление технических заданий по применению программно-технических средств защиты информации, отвечающих требованиям комплексной защиты информации, а также: Техническая защита информации в автоматизированных системах и средствах передачи и обработки информации МГТУ. Организация, координация и выполнение работ по защите информации. Заключение договоров на работы по защите информации. Контроль эффективности принимаемых мер по защите информации, анализ материалов контроля, выявление нарушений, устранение недостатков в системах защиты информации. Проведение служебных расследованиях по фактам нарушения ИБ 2 Изучение нормативно правовой документации «МГТУ им Г. И. Носова» имеет свои иинформационные системы являющимся субъектом для хранения и обработки персональных данных, и подлежит защите исходя из 152 ФЗ Российской федерации. При организации ИБ безопасности «МГТУ им Г. И. Носова», отталкивается от требований регуляторов в области ИБ России, также ФСТЭК России в области защиты персональных данных. В ходе прохождения практики к рассмотрению и изучению были приняты такие документы в области защиты информации как: Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Постановление Правительства РФ от 21.03.2012 N 211 (ред. от 15.04.2019) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" Приказ ФСТЭК от 11 февраля 2013 г. N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" Приказ ФСТЭК от 18 февраля 2013 г N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных 2 Описание информационной системы МГТУ Обработка персональных данных ведется в главном здании МГТУ, трёх обособленных подразделениях Магнитогорского многопрофильного колледжа, филиале МГТУ в г. Белорецк, студгородке. Согласно Постановлению Правительства №1119 категории персональных данных, обрабатываемых в МГТУ относятся к иным категориям ПД. Суммарное количество субъектов в базах данных не превышает 100 000. Категории субъектов – работники, студенты, абитуриенты, контрагенты, соискатели вакантной должности. Назначены ответственные лица за организацию обработки ПД, разработан и внедрен комплект организационно-распорядительной документации по работе с ПД, работники ознакомлены с документами под роспись. Ведутся журналы выдачи и регистрации ключевых носителей информации, учета выдачи ключей от помещений, доступа в помещения. Выделено две ИСПДн: «МГТУ», «Абитуриент», обе системы документированы, ИСПДн «Абитуриент» (Рисунок 1) Рисунок 1 – Схема потоков персональных данных 3 Политика информационной безопасности3.1 ЦельОсновной целью настоящей политики информационной безопасности является представление гарантий защиты информации на всех основных этапах жизненного цикла информационной системы университета. защита информации, принадлежащей университету, от несанкционированных (преднамеренных и непреднамеренных) и противоправных действий по уничтожению, хищению, искажению, копированию, блокированию и подделки информации; предотвращение незаконного вмешательства в информационные ресурсы и информационные системы МГТУ им. Г.И. Носова, нарушения работы технических средств обработки и передачи информации, а также корпоративного программного обеспечения, включая средства информатизации; формирование целостного представления о системе информационной безопасности университета и взаимодействие различных элементов этой системы; определение путей реализации мероприятий по защите информации и создание в МГТУ им. Г.И. Носова системы защиты информации. Исполнителями работ в области информационной безопасности, предусмотренных данной политикой, являются сотрудники отдела защиты информации УИТ и АСУ, а также ответственные в подразделениях университета, занимающихся обработкой информации в процессе осуществления деятельности университета. 3.2 Объект защитыК объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относится любая документированная информация, информационные системы, системы хранения информации и телекоммуникационные сети, неправомерное обращение с которыми может нанести ущерб МГТУ им. Г.И. Носова. Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную уязвимость с точки зрения возможного материального или морального ущерба. Соответственно, объекты защиты полежат классификации по уровням уязвимости (опасности), степени риска. Наибольшую уязвимость представляют информационные ресурсы, содержащие конфиденциальную информацию и сведения о движении финансовых средств. В отношении сведений, отнесенных к государственной тайне, — уполномоченными органами на основании Закона Российской Федерации «О государственной тайне» и обеспечивается специальным подразделением МГТУ им. Г.И. Носова, занимающимся охраной информации, представляющей собой государственную тайну В отношении конфиденциальной информации — владельцем информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона и обеспечивается: Режим защиты информации устанавливается: В отношении персональных данных — Федеральным законом № 152-ФЗ «О персональных данных». Постановлениями Правительства РФ и подзаконными актами организаций регуляторов в области обработки персональных данных. В отношении служебной информации — внутренними организационно распорядительными документами университета в области информационной безопасности. 3.3 Защищённые областиЗащита информационных ресурсов предусматривает комплекс правовых, организационных. Технических и программных мер и средств по защите информации в процессе документооборота. Хранения, распространения и передачи принадлежащей МГТУ им. Г.И. Носова информации, а именно: ограничение доступа исполнителей и посторонних лиц в помещения, где проводятся работы по обработке информации конфиденциального характера; разграничение доступа пользователей к данным автоматизированных систем различного, уровня и назначения учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль несанкционированного доступа и других действий пользователей, способных создать угрозу информационной безопасности шифрование информации, передаваемой по телекоммуникационным сетям общего пользования и применения криптографических средств защиты при использовании открытых каналов связи Мминимизация влияния паразитных электромагнитных излучений и наводок (ПЭМИН) на средства вычислительной техники и телекоммуникационные каналы связи информационных систем МГТУ им. Г.И. Носова; мероприятия по исключению негласного съема информации черезз электрические цепи питания — электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории (при необходимости) использование средств постановки акустических помех для предотвращения негласного съёма акустической информации системы гарантированного электропитания (источники бесперебойного питания) Проверка технических средств объектов информатизации и программного обеспечения на предмет выявления включенных в них недокументированных возможностей, закладных устройств, средств теневого входа и устройств негласного съема информации предотвращение внедрения в автоматизированные информационные системы вредоносного программного кода и программ вирусного характера Защита информационных ресурсов от несанкционированного доступа должна предусмотривать обоснованность доступа (определение соответствующей формы допуска к информации для разных групп пользователей Персональную ответственность, заключающуюся в том, что исполнитель (пользователь)должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов) и за свои действия в информационных системах. надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение. подделку или искажение разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) © более низким уровнем конфиденциальности. А также предупреждение передачи конфиденциальной информации по незащищенным линиям связи контроль над действиями исполнителей (пользователей). работающих в автоматизированных системах, и использующих телекоммуникационные сети, в том числе телекоммуникационные сети общего пользования, включая сеть Интернет и другие глобальные вычислительные сети Целостность технической и программной среды, обрабатываемой информации и средств защиты, которая заключается в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации. выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей Требование обоснованности доступа к информационным ресурсам реализуется в рамках системы допуска к работам, документам и сведениям, в которой устанавливается: кто. кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации. информационные массивы). для каких действий или для какого вила доступа может предоставить и при каких условиях. Система допуска предполагает определение для всех групп пользователей автоматизированных систем или информационных и программных ресурсов, прав доступа и разрешение действий над информацией (просмотр/чтение, запись, модификация, удаление. выполнение) Требование о персональной ответственности реализуется с помощью: ознакомления исполнителей с требованиями нормативной документации в области защиты информации и подтверждающей ознакомление личной подписи исполнителей в журналах. карточках учета, других разрешительных документах, а также на самих документах Индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах Проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, электронных и механических ключей, магнитных карт. электронной цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны) Условие надежности хранения реализуется с помощью: хранилищ конфиденциальных документов, оборудованных средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке Выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения Размещения систем обработки и хранения конфиденциальной информации в специализированном помещении ограниченного доступа Использования криптографического преобразования информации в автоматизированных системах в случаях, предусмотренных требованиями нормативных документов Система контроля над действиями исполнителей реализуется с помощью Организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями Регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификатора запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая за превышенные попытки доступа 3.4 Обслуживание вспомогательных технические системыВесь обслуживающий персонал в соответствии с утвержденным графиком, а также по требованию АБ обслуживающий персонал проводит проверку работоспособности ВТСС (датчики сигнализации, соответствующие кабели и др.) и прочие работы в помещении (ремонт системы электропитания, освещения и пр.). При этом необходимо выполнять следующие требования: График проведения работ согласовывается с проректором по научной работе; Вне графика производится обязательная проверка в случае обнаружения неисправностей в работе ВТСС; При установлении неисправности ВТСС необходимо поставить в известность АБ или проректора по научной работе; При демонтаже неисправных ВТСС присутствие АБ является обязательным; Eсли для устранения неисправности демонтаж ВТСС не требуется, присутствие АБ или проректора по научной работе при проведении работ также является обязательным; 3.5 Утилизация или повторное использование оборудованияСо всех носителей информации, которыми укомплектовано утилизируемое оборудование, должны гарантированно удаляться все конфиденциальные данные и лицензионное ПО. Отсутствие защищаемой информации на носителях должно быть проверено отделом УИТ и АСУ МГТУ, о чём должна быть сделана отметка в акте списания. 3.6 Перемещение имуществаОборудование, информация или ПО должны перемещаться за пределы ИС только при наличии письменного разрешения руководства. Сотрудники, имеющие право перемещать оборудование и носители информации за пределы ИС должны быть чётко определены. Время перемещения оборудования за пределы ИС и время его возврата должны регистрироваться. 4 Описание информационной системы МГТУ Обработка персональных данных ведется в главном здании МГТУ, трёх обособленных подразделениях Магнитогорского многопрофильного колледжа, филиале МГТУ в г. Белорецк, студгородке. Согласно Постановлению Правительства №1119 категории персональных данных, обрабатываемых вМГТУ относятся к иным категориям ПД. Суммарное количество субъектов в базах данных не превышает 100 000. Категории субъектов – работники, студенты, абитуриенты, контрагенты, соискатели вакантной должности. Назначены ответственные лица за организацию обработки ПД, разработан и внедрен комплект организационно-распорядительной документации по работе с ПД, работники ознакомлены с документами под роспись. Ведутся журналы выдачи и регистрации ключевых носителей информации, учета выдачи ключей от помещений, доступа в помещения. Выделено две ИСПДн: «МГТУ» и «Абитуриент», обе системы документированы, ИСПДн «Абитуриент» (Рисунок 1) Рисунок 1 – Схема потоков персональных данных 4 Предложения по внесению в существующую документацию1 сентября 2022 года вступают в силу поправки в 152-ФЗ О персональных данных. Изменения внесены Федеральным законом от 14.07.2022 N 266-ФЗ и носят самый масштабный характер с 2011 года. Можно сказать, что уже с сентября существенным образом будут изменены требования к обработке персональных данных как сотрудников, так и иных лиц. При этом данные изменения касаются практически всех лиц, работающих с персональными данными. Для того чтобы удовлетворить новому законодательству в нормативную документацию университета требуется внести правки: 4.1 СМК-ПВД-13-14-v4 Положение о работе с персональными данными:Внести изменения в политику о работе с персональными данными, и изменить там срок реагирования на актуальный Ускорить процедуру реагирования на запросы: проинформировать сотрудников об изменениях в порядке ответа на запросы субъектов ПД Внести в пункт обязанностей оператора об уведомление о утечки персональных данных уведомить о случившемся Роскомнадзор в течение 24 часов провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов представить сведения о лицах, действия которых стали причиной инцидента (при наличии). Описать перечень ПД, действия(операции) с данными которые будут совершаться обработчиками, обязанности обработчика по соблюдению конфиденциальности. Разработать и принять регламент взаимодействия с ГосСОПКА. изменить согласие на обработку персональных данных, добавить перечень действий (операций) с персональными данными. И однозначное согласие на использование определенного перечня пд добавить пункт для проведения оценки вреда и проводить ее согласно регламенту. Уведомление об изменении ПД или прекращения обработки ПД Теперь оператор обязан: сообщить в Роскомнадзор об изменениях ПД в вашей базе в течение 15 дней сообщить о прекращении обработки ПД в течение 10 дней Политика обработки и защиты персональных данныхТребует добавления в пункт обязанностей оператора об уведомление Роскомнадзора об трансграничной передачи ПД, а также создание отдельно организационно правовой документации для трансграничной передачи данных между странами. 4.3 СМК-РИ-09-10 Обеспечение безопасности персональных данныхОператор должен определить перечень ПД, перечень действий (операций) с данными, которые будут совершаться обработчиком, обязанность обработчика по соблюдению конфиденциальности. Кроме того, в поручении устанавливается обязанность по запросу оператора в течение срока действия поручения предоставлять документы и информацию, подтверждающие принятие мер и соблюдение обязанности по обеспечению безопасности ПД при их обработке. Если инцидент с утечкой данных произойдет, оператор будет обязан: уведомить о случившемся Роскомнадзор в течение 24 часов; провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов представить сведения о лицах, действия которых стали причиной инцидента (при наличии). В тексте поручения к обработчику персональных данных теперь необходимо прописать: перечень ПД; все планируемые операций с ПД; цели обработки ПД; гарантию соблюдения конфиденциальности и безопасности ПД; обязанность обработчика по запросу оператора направить отчет о соблюдении требований конфиденциальности и безопасности; обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД с использованием баз данных; ВыводВ данном отчете по производственной практике были рассмотрены и проанализированы организационно правовые документы «Магнитогорского государственного технического университета им. Г.И Носова». Били разработаны рекомендации для корректировки в положения и рабочие инструкции. В связи с изменением в законе 152 фз, но на данный момент отсутствуют пояснения госорганов, следовательно не на что ориентироваться. Однако, на данном этапе можно: провести ревизию политики конфиденциальности и разместить ее на всех страницах сайта; провести ревизию договоров и согласий на использование ПД; изменить внутренние акты учреждения в целях быстрого реагирования на запросы субъектов ПД; изменить внутренние документы учреждения, внести обязанность сотрудников уведомлять Роскомнадзор об изменениях ПД студентов; в случае передачи ПД пользователей иностранным компаниям, уведомить Роскомнадзор о трансграничной передаче. Аудит организационно-распорядительных и эксплуатационных документов по защите персональных данных
Внести изменения и дополнения в политику персональных данных. В данном документе нужно (п.2 ч.1 ст.18.1. Закона о персональных данных в новой редакции): прописать категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения для каждой цели обработки; исключить все положения, ограничивающие права субъектов персональных данных, а также полномочия и обязанности операторов, не предусмотренные законодательством РФ. Согласие на обработку данных добавить пункт о челях обработки персональных данных измениение сроков в 8 пункте. 4.1. Отправная точка для внедрения информационной безопасностиКлючевыми мерами контроля с точки зрения законодательства являются: · обеспечение конфиденциальности персональных данных; · защита учетных данных организации; · права на интеллектуальную собственность. Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают: · наличие документа, описывающего политику информационной безопасности; · распределение обязанностей по обеспечению информационной безопасности; · обучение вопросам информационной безопасности; · информирование об инцидентах, связанных с информационной безопасностью; · управление непрерывностью бизнеса. СМК-ПВД-13-14-v4 14.1 «обязанности оператора» добавить пункт о обнаружение, не правомерного или случайного передачи персональных данных Необходимые измениения для СМК-ПВД-13-14-v4 14.1
Приложение А
Приказом ректора ФГБОУ ВО «Магни тогорский государственный технический университет им. Г.И. Носова» от ________ № _______ Согласие на обработку персональных данных Я, ________________________________________________________________________________, Фамилия Имя Отчество субъекта персональных данных (обучающийся или законный представитель) основной документ, удостоверяющий личность______________________________________________ _______________________________________________________________________________________ (вид, серия, номер, сведения о дате выдачи указанного документа и выдавшем его органе) проживающий по адресу__________________________________________________________________ _______________________________________________________________________________________
принимаю решение свободно, своей волей и в своем интересе и настоящим даю свое согласие ФГБОУ ВО «Магнитогорский государственный технический университет им. Г.И. Носова», расположенному по адресу: 455000, Челябинская обл., г. Магнитогорск, пр. Ленина, дом 38, регистрационный номер 08-0023069 далее — «Оператор», на обработку персональных данных, (см. п.3) на следующих условиях: Согласие дается мною в целях удовлетворения потребности личности в интеллектуальном, культурном и нравственном развитии посредством получения среднего профессионального, высшего и (или) послевузовского профессионального образования; развития наук посредством научных исследований и творческой деятельности обучающихся, использования полученных результатов в образовательном процессе; выполнения договоров на оказание образовательных услуг; формирования личных дел обучающихся; для функционирования информационных систем, обеспечения и мониторинга образовательного процесса, научной, организационной и финансово-экономической деятельности в соответствии с действующим законодательством РФ; ведения кадрового и бухгалтерского учета; осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Оператора, а также в иные государственные органы; обеспечения личной безопасности обучающихся в ФГБОУ ВО «МГТУ им. Г.И. Носова», сохранности имущества; предоставления социальных льгот и компенсаций, предусмотренных законодательством РФ и локальными актами Оператора; открытия личных банковских счетов обучающихся ФГБОУ ВО «МГТУ им. Г.И. Носова» для перечисления стипендии и других выплат; публикации общедоступных персональных данных в открытых источниках информации, принадлежащих Оператору; осуществления пропускного режима. Настоящее согласие дается на осуществление следующих действий в отношении моих персональных данных, которые необходимы для достижения указанных выше целей, совершаемых с использованием средств автоматизации или без использования таких средств, включая, без ограничения: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение моих персональных данных, а также любых иных действий с учетом действующего законодательства РФ. Я даю согласие на обработку следующих категорий персональных данных:
Я даю согласие на публикацию в общедоступных источниках информации, принадлежащих Оператору (официальный сайт, образовательный портал и другие Web-ресурсы, информационные стенды, печатные издания), персональных данных: фамилия, имя, отчество, год рождения, институт, факультет, группа, направление подготовки, специальность, форма обучения, сведения о личных достижениях, личное фото в целях осуществления учебного процесса и формирования информационной политики Оператора. Я согласен (согласна) на передачу моих персональных данных третьим лицам, а именно: − банкам, открывающим и обслуживающим платежные карты для начисления стипендии и иных платежей в объеме, необходимом для достижения указанных в договорах целях: ОАО «Челябинвестбанк» Магнитогорский филиал 455044 г.Магнитогорск, пр. Ленина, д. 78А, ОАО «Сбербанк РФ» Магнитогорское отделение № 1693 455044, г.Магнитогорск, Ленина, д.74, АО «КредитУралБанк» 455044, Челябинская обл., г. Магнитогорск, ул. Гагарина, д. 17; − первичную профсоюзную организацию студентов и аспирантов университета (455000, г.Магнитогорск, пр. Ленина, д.38, ауд. 1101) для предоставления льгот и гарантий, предусмотренных законодательством РФ и локальными нормативными актами Оператора; − в медицинские организации для проведения медико-профилактических обследований (после заключения договора); − в организации и на предприятия, предоставившие места для прохождения учебной практики (после заключения договора). Субъект персональных данных по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных (в соответствии с п.7 ст. 14 ФЗ №152 «О персональных данных» от 27.07.2006 г.). Согласие дается до утраты правовых оснований обработки соответствующей информации или документов, содержащих вышеуказанную информацию в соответствие с законодательством Российской Федерации, после чего персональные данные уничтожаются или передаются в архив. Настоящее согласие может быть отозвано путем направления соответствующего письменного уведомления в адрес Оператора по почте заказным письмом, с уведомлением о вручении, либо вручен лично под расписку представителю Оператора, после чего Оператор обязуется в течение 10 (десяти) дней уничтожить персональные данные Субъекта. «_____»_________________202__г. ____________/____________________ (дата) (подпись) (И.О. Фамилия) |