Методические рекомендаци ИспДн. Методические рекомендации ИСПДн (1). Методические рекомендации по определению состава и содержания технических и организационных мер по защите персональных данных при их обработке в информационной системе персональных данных Содержание

Скачать 105.05 Kb. Название Методические рекомендации по определению состава и содержания технических и организационных мер по защите персональных данных при их обработке в информационной системе персональных данных Содержание Анкор Методические рекомендаци ИспДн Дата 24.02.2023 Размер 105.05 Kb. Формат файла Имя файла Методические рекомендации ИСПДн (1).docx Тип Методические рекомендации #953469 страница 3 из 4

1   2   3   4 3.1.2. Адаптация базового набора мер Далее необходимо выполнить адаптацию базового набора мер с учётом структурно-функциональных характеристик ИСПДн, информационных технологий, особенностей функционирования ИСПДн, то есть изменение изначально выбранного базового набора мер (определённого согласно п. 3.1.1 настоящего документа) в части его максимальной адаптации применительно к структуре, реализации и особенностям эксплуатации ИСПДн (в том числе исключение из базового набора мер). Таким образом, при адаптации базового набора мер по обеспечению безопасности ПДн применяются меры по обеспечению безопасности ПДн, не обозначенные знаком "+", и (или) исключаются меры, обозначенные знаком "+". Исключение мер, как правило, непосредственно связано с информационными технологиями, не используемыми в ИСПДн, или структурно-функциональными характеристиками, не свойственными ИСПДн. В качестве примера можно рассмотреть исключение из базового набора мер защиты информации мер по защите среды виртуализации, в случае если в ИСПДн не применяется технология виртуализации, или исключение из базового набора мер защиты информации мер по защите мобильных технических средств, если такие мобильные устройства не применяются или их применение запрещено. В таблице 2 приводятся примеры обоснования изменения базового набора мер с указанием причин добавления, исключения или компенсирования мер. Таблица 2 – Основания для исключения/добавления/компенсирования мер базового набора по обеспечению безопасности ПДн Описание меры Основания для исключения/добавления/компенсирования УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети Действие: Исключить из перечня мер Технология обработки информации не предполагает удаленного доступа к ресурсам данных ИС УПД.14 Регламентация и контроль использования в ИС технологий беспроводного доступа Действие: Исключить из перечня мер Технология обработки информации не предполагает использования технологий беспроводного доступа к ресурсам данных ИС УПД.15 Регламентация и контроль использования в ИС мобильных технических средств Действие: Исключить из перечня мер Технология обработки информации не предполагает использования мобильных технических средств в данных ИС ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации Действие: Исключить из перечня мер Технология обработки информации не предполагает использования виртуальной инфраструктуры в данных ИС ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин Действие: Исключить из перечня мер Технология обработки информации не предполагает использования виртуальной инфраструктуры в данных ИС ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы КЗ, в том числе беспроводным каналам связи Действие: Исключить из перечня мер Технология обработки информации не предполагает передачи информации за пределы КЗ 3.1.3. Уточнение адаптированного базового набора мер Уточнение определённого в п. 3.1.2 настоящего документа адаптированного базового набора мер осуществляется с учётом не выбранных ранее из таблицы 1 защитных мер, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации, включённых в модель угроз. Таким образом, исходными данными при уточнении адаптированного базового набора мер защиты информации является перечень угроз безопасности информации, включённый в модель угроз безопасности информации. Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации для конкретной информационной системы или группы информационных систем в определенных условиях их функционирования. Модель угроз безопасности информации разрабатывается обладателем информации (оператором, разработчиком (проектировщиком)) и должна по содержанию соответствовать требованиям по обеспечению безопасности ПДн при их обработке в ИСПДн, утверждённым приказом ФСТЭК № 21, ПП № 1119, приказа ФСБ № 378 (все требования выписаны и перечислены в пунктах 3.1.1 и 3.2 настоящего документа). Определение угроз безопасности информации и разработка модели угроз безопасности информации осуществляется в соответствии с руководящими документами ФСТЭК и ФСБ в области обеспечения безопасности ПДн при их обработке в ИСПДн (см. шаблон модель угроз). В случае, если адаптированный базовый набор мер защиты информации, определённый в пункте 3.1.2 с учётом особенностей ИСПДн, не обеспечивает блокирование (нейтрализацию) всех угроз безопасности информации в него дополнительно вновь из таблицы 1 включаются другие меры защиты информации, не выбранные ранее. В зависимости от уровня защищённости ПДн и потенциала нарушителя минимальные требования к реализации уточненного адаптированного базового набора мер защиты информации (приводится в подразделах «требования к реализации меры защиты информации» раздела 3 методического документа ФСТЭК) подлежат усилению для повышения уровня защищённости ПДн. Все возможные усиления мер защиты информации приведены в подразделах «требования к усилению меры защиты информации» для каждой меры защиты информации раздела 3 методического документа ФСТЭК. Усиления мер защиты информации применяются дополнительно к требованиям по реализации мер защиты информации, приведенным в подразделах «требования к реализации меры защиты информации». Итоговое содержание каждой усиленной уточненной адаптированной базовой меры защиты информации, которое как минимум, должно быть реализовано в ИСПДн, приведено в таблице подраздела «содержание базовой меры защиты информации». Усиления мер защиты информации, приведенных в подразделе «требования к усилению меры защиты информации» и не включенные в таблицу с содержанием базовой меры защиты информации в подразделе «содержание базовой меры защиты информации», применяются по решению обладателя информации, заказчика и (или) оператора не только для уточнения адаптированного базового набора мер защиты информации, но и при адаптации (пункт 3.1.2 настоящего документа), а также для повышения уровня защищённости ПДн и разработке компенсирующих мер защиты информации. 3.1.4. Дополнение уточненного адаптированного базового набора мер Настоящий пункт подразумевает дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации (например, в случае появления новых, исключения и (или) усиления (ужесточения) существующих требований к некоторым мерам защиты информации). Рисунок 2 – Общий порядок действий по выбору мер защиты информации для их реализации в информационной системе При невозможности реализации в ИСПДн отдельных выбранных мер защиты на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации. 3.2. Порядок определения состава и содержания технических и организационных мер по защите ПДн при их обработке в ИСПДн согласно ПП № 1119 и приказу ФСБ № 378 Кроме мер, установленных приказом ФСТЭК № 21, для обеспечения требуемого уровня защищённости ПДн должны выполняться требования ПП № 1119 и приказа ФСБ № 378. Эти меры для каждого уровня защищённости сведены в таблице 3. Таблица 3 – Требования приказа ФСБ № 378 Требование Уровни защищенности персональных данных 1 2 3 4 Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн (далее – Помещения) Оснащение Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений + + + + Утверждение правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях + + + + Утверждение перечня лиц, имеющих право доступа в Помещения + + + + Оборудование окон Помещений, расположенных на первых и (или) последних этажах зданий, а также окон Помещений, находящихся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения + Оборудование окон и дверей Помещений, в которых размещены серверы ИСПДн, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения + Обеспечение сохранности носителей персональных данных Хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов) + + + + Поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров + + + + Ведение электронного журнала сообщений Утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии + + Обеспечение ИСПДн автоматизированными средствами, регистрирующими запросы пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам в электронном журнале сообщений + + Обеспечение ИСПДн автоматизированными средствами, исключающими доступ к содержанию электронного журнала сообщений лиц, не указанных в утвержденном руководителем оператора списке лиц, допущенных к содержанию электронного журнала сообщений + + Обеспечение периодического контроля работоспособности автоматизированных средств (не реже 1 раза в полгода) + + Обеспечение ИСПДн автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИСПДн + Отражение в электронном журнале безопасности полномочий сотрудников оператора ПДн по доступу к ПДн, содержащимся в ИСПДн. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора + Назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц) + Регламентация и контроль доступа к ПДн Разработка и утверждение документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей + + + + Поддержание в актуальном состоянии документ, определяющий перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей + + + + Назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе + + + Создание отдельного структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение его функций на одно из существующих структурных подразделений + Проведение анализа целесообразности создания отдельного структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн + Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации Получение исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак + + + + Формирование и утверждение руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса средств криптографической защиты информации (далее – СКЗИ) + + + + Таблица 4 – Классы СКЗИ Класс защищённости ПДн Класс СКЗИ 1 КА*/КВ и выше** 2 КА*/ КВ и выше**/КС1 и выше*** 3 КВ и выше**/КС1 и выше*** 4 КС1 и выше Примечание: * в случаях, когда для ИСПДн актуальны угрозы 1 типа; ** в случаях, когда для ИСПДн актуальны угрозы 2 типа; *** в случаях, когда для ИСПДн актуальны угрозы 3 типа. Примечание. Конкретные наименования СКЗИ перечисленных классов (КС1, КС2 и т.д.) выбираются согласно выписке из перечня средств защиты информации, сертифицированных ФСБ России (http://clsz.fsb.ru/certification.htm). Требования к некриптогрфическим средствам защиты информации в зависимости от уровня защищённости ПДн следующие (пункт 12 приказа ФСТЭК № 21 1   2   3   4