МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

САНКТ-ПЕТЕРБУРГСКИЙ УНИВЕРСИТЕТ МВД РОССИИ

Кафедра специальных информационных технологий

 

 

                                                                   УТВЕРЖДАЮ

Начальник кафедры специальных

                                                                      информационных технологий

                                                                      полковник полиции

А.И. Примакин

«30» апреля 2020 г.

 

 

Рабочая лекция

по дисциплине: «Технологии защищённого документооборота»

Тема № 10 «Определение уровня защищенности персональных данных»

 

 

 

 

 

 

Обсуждена на заседании

кафедры «30» апреля 2020 г.,

протокол № 13

 

 

 

 

Санкт-Петербург

 

2020

 

Содержание

Введение

Учебные вопросы:

1. Классификация информационных систем и определение уровня защищенности персональных данных.

2. Определение уровня защищенности персональных данных.

3. Разработка системы защиты персональных данных

Заключение

Контрольные вопросы

Литература

 

Введение

В настоящее время информационные технологии активно развиваются и внедряются в повседневную жизнь людей. В то же время с развитием информационных технологий объектом атак злоумышленников все чаще становятся персональные данные (ПДн) граждан. Возрастающие информационные угрозы личности ставят задачу обеспечения безопасности ПДн. Конституция Российской Федерации, принятая в 1993 году, в качестве высшей ценности провозгласила человека, его права и свободы. Соблюдение и защита прав и свобод человека и гражданина объявлены важнейшей обязанностью государства. В связи с этим обеспечение защиты ПДн становится приоритетной задачей государства.

Вступивший в силу с 2007 года Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» в 2011 – 2013 годах был в значительной степени детализирован подзаконными актами всех основных регуляторов в данной сфере: Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации. В Министерстве внутренних дел Российской Федерации разработаны ведомственные приказы и инструкции, которые адаптируют документацию регуляторов. В настоящее время большое внимание уделяется созданию «Единой системы информационно-аналитического обеспечения деятельности МВД России» (ИСОД МВД России). В рамках создания ИСОД МВД России был разработан ряд документов, регламентирующих защиту информации, не содержащей сведений, составляющих государственную тайну, к которой относятся и персональные данные.

 

 

 

 

 

 

1. Классификация информационных систем. Определение уровня защищенности ИС.

 

Классификация ИСПДн и определение требуемого уровня защищенности персональных данных проводится для выбора и применения дифференцированных мер по защите информации. Статья 19 Федерального закона «О персональных данных» устанавливает, что оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры по их защите от неправомерного или случайного доступа к ним, изменения, уничтожения, копирования, блокирования, распространения, доставления и иных неправомерных действий.

Правительством Российской Федерации в Постановлении от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», установлены уровни защищенности персональных данных и взаимосвязанные с ними требования по их защите.

Государственные информационные системы, обрабатывающие информацию, не составляющую государственную тайну, подлежат обязательной классификации.

Следовательно, в случае обработки персональных данных в государственной информационной системе, кроме определения уровня защищенности ПДн, необходимо проводить и классификацию ИС.

При выборе мер по защите ПДн следует руководствоваться информационным сообщением ФСТЭК России от 15 июля 2013 г. № 240/22/2637 разъяснениями, что в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных:

- для 1 класса защищенности информационной системы меры защиты информации должны обеспечивать 1, 2, 3 и 4 уровни защищенности персональных данных;

- для 2 класса защищенности информационной системы меры защиты информации должны обеспечивать 2, 3 и 4 уровни защищенности персональных данных;

- для 3 класса защищенности информационной системы меры защиты информации должны обеспечивать 3 и 4 уровни защищенности персональных данных.

Для установления класса защищенности ИСПДн и уровня защищенности ПДн приказом руководителя подразделения-оператора ИСПДн назначается комиссия, в состав которой могут включаться представители подразделения, эксплуатирующего информационную систему персональных данных, а также специалисты подразделения, выполняющего функции в сфере информационных технологий, связи и защиты информации. Класс защищенности может определяться как для информационной системы в целом, так и при необходимости для ее отдельных сегментов или составных частей.

Результаты классификации ИСПДн и установления уровня защищенности ПДн оформляются соответствующим актом. Составление акта классификации осуществляется администратором защиты ИСПДн. Акты классификации ИСПДн учитываются в установленном порядке в служебном делопроизводстве и хранятся на объекте информатизации подразделения МВД России.

Классификация информационной системы проводится в зависимости от уровня значимости обрабатываемой в ней информации и масштаба информационной системы:

- федеральный;

- региональный;

 - объектовый.

Уровень значимости информации, обрабатываемой в анализируемой информационной системе, определяется в зависимости от степени возможного ущерба для обладателя информации и (или) оператора вследствие нарушения основных характеристик безопасности информации.

Степень возможного ущерба определяется обладателем информации или оператором самостоятельно экспертным методом.

Степень возможного ущерба определяется как высокая в случае, когда при нарушении хотя бы одного из свойств безопасности информации (конфиденциальности, целостности или доступности) возможно наступление существенных негативных последствий в социальной, политической, международной, экономической, финансовой или иных областях деятельности, и (или) информационная система и (или) оператор не могут выполнять возложенные на них функции.

Степень возможного ущерба определяется как средняя в случае, когда при нарушении хотя бы одного из свойств безопасности информации возможно наступление умеренных негативных последствий в социальной, политической, международной, экономической, финансовой или иных областях деятельности, и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций.

Степень возможного ущерба определяется как низкая в случае, когда при нарушении хотя бы одного из свойств безопасности информации возможно наступление незначительных негативных последствий в социальной, политической, международной, экономической, финансовой или иных областях деятельности, и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Информации присваивается высокий уровень значимости (УЗ 1), когда хотя бы для одного из свойств безопасности информации определяется высокая степень ущерба.

Информации присваивается средний уровень значимости (УЗ 2), когда хотя бы для одного из свойств безопасности информации определяется средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.

Информации присваивается низкий уровень значимости (УЗ 3), когда для всех свойств безопасности информации определены низкие степени ущерба.

 

 

 

 

Вопрос № 2 Определение уровня защищенности персональных данных

 

 

Уровень защищенности ПДн устанавливается в зависимости от:

1. Типа угроз безопасности ПДн, актуальных для информационной системы: угрозы 1-го типа, угрозы 2-го типа, угрозы 3-го типа.

2. Категории обрабатываемых ПДн в информационной системе: специальные, биометрические, общедоступные, иные категории.

3. Объема ПДн, обрабатываемых в информационной системе: более 100 тыс. или менее 100 тыс. субъектов.

4. Категории субъектов ПДн, чьи данные обрабатываются в информационной системе: сотрудники оператора или лица, не являющиеся сотрудниками оператора.

Устанавливаются 4 уровня защищенности персональных данных: наивысший − первый уровень защищенности, самый низкий − четвертый уровень защищенности.

Тип угроз безопасности ПДн, актуальных для информационной системы, зависит от не декларированных возможностей в системном или прикладном программном обеспечении, используемом в информационной системе. Не декларированные возможности − это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

1 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)

 2 тип. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)

3 тип. Угрозы, не связанные с наличием недокументированных (недекларированных) возможностей

 

В результате проведенных действий получаем уровень защищенности ПДн, для которого в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 и приказом ФСТЭК России № 21 можно определить базовый набор мер по обеспечению безопасности ПДн, обрабатываемых в информационной системе.

 

Вопрос № 3. Разработка системы защиты персональных данных

 

Защита информации в ИСПДн является составной частью работ по созданию и эксплуатации ИСПДн и обеспечивается на всех стадиях ее создания и эксплуатации путем принятия организационных и технических мер защиты информации в рамках системы защиты ПДн (СЗПДн) с учетом класса ИСПДн, уровня защищенности ПДн и определенных актуальных угроз безопасности.

Ответственность за организацию обеспечения защиты ПДн, содержащихся в ИСПДн, и организацию подготовки объекта информатизации к аттестации на соответствие требованиям безопасности информации возлагается на подразделение-оператор ИСПДн. Работы по обеспечению защиты ПДн в установленном порядке включаются в планы работ данных подразделений МВД России.

В соответствии с приказами ФСТЭК №17 и №21, требования к СЗПДн формируются в виде перечня обязательных к применению мер защиты.

Кроме того, формирование требований к СЗПДн необходимо осуществлять с учетом «Системного проекта подсистемы информационной безопасности единой системы информационно-аналитического обеспечения деятельности МВД России.

Разработка системы защиты информации информационной системы включает:

        проектирование системы защиты информации;

        разработку эксплуатационной документации на СЗИ;

        макетирование и тестирование СЗИ.

Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:

        установку и настройку средств защиты информации в информационной системе;

        разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;

        внедрение организационных мер защиты информации;

        предварительные испытания системы защиты информации информационной системы;

        опытную эксплуатацию системы защиты информации информационной системы;

        анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;

        приемочные испытания системы защиты информации информационной системы.

Требования, необходимые для обеспечения УЗ ПДн:

1. Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

2.  Обеспечение сохранности носителей ПДн

3. Утверждение перечня лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей

4. Использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства (сертификацию), в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

5. Назначение должностного лица, ответственного за обеспечение безопасности ПДн в ИС.

 6. Организация доступа к содержанию электронного журнала сообщений исключительно для должностных лиц оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей 

7. Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в ИС.

8. Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности 

Меры по защите информации должны обеспечивать:

        идентификацию и аутентификацию субъектов и объектов доступа;

        управление доступом к информационным ресурсам;

        регистрацию всех событий безопасности в журнале;

        антивирусную защиту;

        обнаружение и предотвращение вторжений;

        учет и защиту машинных носителей информации;

        контроль защищенности, обрабатываемой в информационной системе информации;

        целостность информационной системы и обрабатываемой в ней информации;

        доступность информации;

        защиту технических средств, входящих в состав информационной системы персональных данных.

При этом необходимо учитывать, что организационные меры и средства защиты информации, применяемые в информационной системе, должны обеспечивать:

в информационных системах 1 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с высоким потенциалом;

в информационных системах 2 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с потенциалом не ниже усиленного базового;

в информационных системах 3 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с потенциалом не ниже базового.

Определение базового набора мер по обеспечению безопасности ПДн производится на основании приказов ФСТЭК № 21 и № 17 в зависимости от установленного класса информационной системы и уровня защищенности персональных данных.

Применяемые средства защиты информации должны проходить оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации. Сертификацию средств защиты информации осуществляют федеральные органы по сертификации: ФСТЭК России и ФСБ России.

 

 

Заключение

 

В соответствии Федеральный закон «О персональных данных» № 152-ФЗ персональными данными является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). К ПДн в связи с этим могут относиться: фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Непосредственно обработку персональных данных в информационных системах осуществляют подразделения-операторы ИСПДн, т.е. подразделения, определенные в приказе о вводе ИСПДн в эксплуатацию и осуществляющие деятельность по эксплуатации ИСПДн, в том числе по обработке информации, содержащейся в базах данных. Перечень подразделений-операторов с закрепленными за ними информационными системами приведен в Перечне информационных систем персональных данных органов внутренних дел.

Под организацией обработки и защиты ПДн понимается формирование совокупности мероприятий, согласованных по цели, задачам, месту и времени, направленных на нейтрализацию угроз безопасности персональных данных, обрабатываемых в информационных системах, а также на восстановление нормального функционирования ИСПДн после нейтрализации угрозы. Целью данных мероприятий является минимизация как непосредственного, так и опосредованного ущерба от возможной реализации угроз безопасности ПДн.

Защита ПДн при их обработке в информационных системах производится путем выполнения комплекса организационных и технических мероприятий (применения технических средств) в рамках системы защиты персональных данных, развертываемой в ИСПДн в процессе ее создания или модернизации.

Мероприятия по организации обработки и защите ПДн в установленном порядке включаются в планы работ подразделений МВД России. Ответственными за выполнение указанных мероприятий являются руководители подразделений-операторов ПДн.

 

Контрольные вопросы

1.      Какие сведения относятся к категории персональные данные?

2.      Кто является оператором информационной системы персональных данных?

3.      Какие категории персональных данных определяются действующим законодательством?

4.      Какие сведения относятся к специальной категории персональных данных?

5.      Какие сведения относятся к биометрическим персональным данным?

6.      Какие сведения относятся к общедоступным персональным данным?

Литература:

Нормативно-правовые акты

1. Конституция Российской Федерации. Принята всенародным голосованием 12.12.1993 (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 № 6-ФКЗ, от 30.12.2008 №7-ФКЗ, от 05.02.2014 № 2-ФКЗ) / Собрание законодательства РФ. 03.03.2014.

2. О персональных данных: федер. закон от 27 июля 2006 года № 152-ФЗ // Собрание законодательства РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.

3. Об утверждении Перечня сведений конфиденциального характера: указ Президента Российской Федерации от 6 марта 1997 года № 188 // Собрание законодательства РФ. 10.03.1997. № 10. Ст. 1127.

4. О некоторых вопросах обработки персональных данных в МВД России: приказ МВД России от 29 декабря 2016 г. № 925. Зарегистрирован в Минюсте России 25.01.2017 № 45379.

5. Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации: постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 // Собрание законодательства РФ. 22.09.2008. № 38. Ст. 4320.

6. Об информации, информационных технологиях и о защите информации: федер. закон от от 27 июля 2006 г. № 149-ФЗ // собрание законодательства РФ. 2006, № 31, ч. I, ст. 3448. - М. : Ось-89, 2006. - 31 с.

7. О полиции: федер. закон от 7 февраля 2011 г. № 3-ФЗ // собрание законодательства РФ. 14.02.2011, № 7, ст. 900; посл. изм. и доп.

8. Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных: постановление Правительства Российской Федерации от 6 июля 2008 года № 512 // Собрание законодательства РФ. 14.07.2008. № 28. Ст. 3384.

9. Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами: постановление Правительства Российской Федерации от 21 марта 2012 года № 211 // Собрание законодательства РФ. 02.04.2012. № 14. Ст. 1626.

10. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 // Собрание законодательства РФ. 05.11.2012. № 45. Ст. 6257.

11. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 года № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

 

 

Рабочая лекция разработана доцентом кафедры специальных информационных технологий к.т.н.                                        В.Н. Родин