Концепция информационной безопасности ИС. ИдельУрал

отражение и ликвидацию последствий реализации различных видов угроз
ПДн;
- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПДн в ИСПДн ГАУ «РАМПиП».
Область применения Концепции распространяется на все ООО «Идель-
Урал», эксплуатирующие технические и программные средства ИСПДн, в которых осуществляется автоматизированная обработка ПДн, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования ИСПДн.
Правовой базой для разработки настоящей Концепции служат требования действующих в России законодательных и нормативных документов по обеспечению безопасности персональных данных (ПДн).

ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных
(СЗПДн) ООО «Идель-Урал», в соответствии с Перечнем ИСПДн. Концепция определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности информации.
СЗПДн представляет собой совокупность организационных и тех- нических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, рас- пространения ПДн, а также иных неправомерных действий с ними.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Структура, состав и основные функции СЗПДн определяются исходя из класса ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации
(в том числе шифровальные
(криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии.
Основной целью, на достижение которой направлены все положения настоящей Концепции является защита субъектов информационных отношений ООО «Идель-Урал», от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на ПДн, их носители, процессы обработки и передачи.
Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств ПДн:
 доступности ПДн для легальных пользователей (устойчивого функционирования информационных систем ООО «Идель-Урал», при котором пользователи имеют возможность получения необходимых ПДн и результатов решения задач за приемлемое для них время);
 целостности и аутентичности (подтверждения авторства) ПДн, хранимых и обрабатываемых в информационной системе ООО «Идель-
Урал», и передаваемой по каналам связи;
 конфиденциальности - сохранения в тайне определенной части ПДн, хранимых, обрабатываемых и передаваемых по каналам связи.

Необходимый уровень доступности, целостности и конфиденциальности ПДн, обеспечивается соответствующими множеству значимых угроз методами и средствами.
Организационные меры предусматривают создание и поддержание правовой базы безопасности ПДн и разработку (введение в действие) предусмотренных Концепцией информационной безопасности ИСПДн следующих организационно-распорядительных документов:
 приказов ООО «Идель-Урал», устанавливающих правила обработки и защиты информации, содержащей ПДн;
 правил рассмотрения запросов субъектов персональных данных или их представителей в ООО «Идель-Урал»;
 правил организации и проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах ООО «Идель-Урал»;
 правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ООО «Идель-Урал»;
 правил обработки персональных данных в ООО «Идель-Урал»;
 перечня персональных данных, обрабатываемых в ООО «Идель-
Урал»;
 перечня информационных систем ООО «Идель-Урал»
 перечня должностей сотрудников ООО «Идель-Урал», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
 журналов, актов, инструкций необходимых для обеспечения выполнения требований законодательства Российской Федерации в области защиты информации.
Технические меры защиты реализуются при помощи соответствующих программно-технических средств и методов защиты.

ЗАДАЧИ СЗПДн
Основной целью СЗПДн является минимизация ущерба от возможной реализации угроз безопасности ПДн.
Для достижения основной цели система безопасности ПДн ИСПДн должна обеспечивать эффективное решение следующих задач:
- защиту от вмешательства в процесс функционирования ИСПДн посторонних лиц (возможность использования АС и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи);
- разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам ИСПДн
(возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям ИСПДн для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа: а) к информации, циркулирующей в ИСПДн; б) средствам вычислительной техники ИСПДн; в) аппаратным, программным и криптографическим средствам защиты, используемым в ИСПДн;
- контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
- защиту от несанкционированной модификации и контроль целостности используемых в ИСПДн программных средств, а также защиту системы от внедрения несанкционированных программ;
- защиту ПДн от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
- защиту ПДн, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
- обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
- своевременное выявление источников угроз безопасности ПДн, причин и условий, способствующих нанесению ущерба субъектам ПДн, создание механизма оперативного реагирования на угрозы безопасности ПДн и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности ПДн.

ОБЪЕКТЫ ЗАЩИТЫ
Перечень информационных систем
В ООО «Идель-Урал» производится обработка персональных данных в информационных системах обработки персональных данных (ИСПДн).
Перечень ИСПДн приведен в пакете документов по защите ПДн.
Перечень объектов защиты
Объектами защиты являются – информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты. Перечень персональных данных, подлежащие защите, определен в Перечне персональных данных, обрабатываемых в ООО «Идель-Урал».
Объекты защиты включают:
1) Обрабатываемая информация.
2) Технологическая информация.
3) Программно-технические средства обработки.
4) Средства защиты ПДн.
5) Каналы информационного обмена и телекоммуникации.
6) Объекты и помещения, в которых размещены компоненты ИСПДн.

КЛАССИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ИСПДн
Пользователем
ИСПДн является лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. Пользователем ИСПДн является любой сотрудник ООО «Идель-Урал», имеющий доступ к ИСПДн и ее ресурсам в соответствии с установленным порядком, в соответствии с его функциональными обязанностями.
Пользователи ИСПДн делятся на две основные категории:
1) Администратор ИСПДн. __________________________________, который занимается настройкой, внедрением и сопровождением системы.
Администратор ИСПДн обладает следующим уровнем доступа:
- обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
- обладает полной информацией о технических средствах и конфигурации ИСПДн;
- имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
- обладает правами конфигурирования и административной настройки технических средств ИСПДн.
2) Оператор ИСПДн. Сотрудники государственного автономного учреждения Оренбургской области «Региональное агентство молодежных программ и проектов», участвующие в процессе эксплуатации ИСПДн.
Оператор ИСПДн обладает следующим уровнем доступа:
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
- располагает конфиденциальными данными, к которым имеет доступ.
Категории пользователей должны быть определены для каждой
ИСПДн.

ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ
КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Построение системы обеспечения безопасности ПДн ИСПДн ООО
«Идель-Урал» и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- персональная ответственность;
- минимизация полномочий;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- научная обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
Законность
Предполагает осуществление защитных мероприятий и разработку
СЗПДн ООО «Идель-Урал» в соответствии с действующим законодательством
Российской Федерации в области защиты ПДн и других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции.
Пользователи и обслуживающий персонал
ПДн
ИСПДн государственного автономного учреждения
Оренбургской области
«Региональное агентство молодежных программ и проектов» должны быть осведомлены о порядке работы с защищаемой информацией и об ответственности за защиты ПДн.
Системность
Системный подход к построению СЗПДн ООО «Идель-Урал» предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности
ПДн ИСПДн ООО «Идель-Урал».
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки ПДн, а также характер, возможные объекты и направления атак на систему со стороны нарушителей

(особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Комплексность
Комплексное использование методов и средств защиты предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Защита должна строиться эшелонировано. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.
Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства криптографической защиты, реализованные с использованием технологии VPN. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.
Непрерывность защиты ПДн
Защита ПДн – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИСПДн.
ИСПДн должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры по недопущению перехода ИСПДн в незащищенное состояние.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная
(административная) поддержка
(своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).
Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других

средств преодоления системы защиты после восстановления ее функционирования.
Своевременность
Предполагает упреждающий характер мер обеспечения безопасности
ПДн, то есть постановку задач по комплексной защите ИСПДн и реализацию мер обеспечения безопасности ПДн на ранних стадиях разработки ИСПДн в целом и ее системы защиты информации, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИСПДн и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности ПДн и системы их обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
Принцип минимизации полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью, на основе принципа
«все, что не разрешено, запрещено».
Доступ к ПДн должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.
Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективах, обеспечивающих деятельность ИСПДн ООО «Идель-Урал», для снижения вероятности возникновения негативных действий связанных с человеческим фактором.

В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической защиты информации.
Гибкость системы защиты ПДн
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.