Реализация системы защиты персональных данных с учетом последних

Реализация системы защиты персональных данных с учетом последних изменений в законодательстве Радюга Дмитрий Леонидович Начальник отдела Информационной безопасности ООО «Прайм»

О компании «Прайм» Более 15 лет на рынке, широкий спектр услуг. Более 1500 клиентов: региональные министерства и ведомства, крупные учреждения здравоохранения, образования и культуры, промышленные предприятия, а также предприятия среднего и малого бизнеса. Основные направления деятельности: Системы автоматизации управления предприятием; Поддержка и сопровождение информационных систем; Обучение в сфере ИТ; Поставка компьютерной и оргтехники; Продажа ПО различного назначения; Информационная безопасность.

Услуги ЗАО «Диалог. Наука» по Услуги ООО «Прайм» защите персональных данных в области защиты персональных данных Разработка систем защиты персональных данных для информационных систем Заказчика; Поставка, установка и настройка сертифицированных средств защиты информации; Подготовка к аттестации объектов информатизации Заказчика; Аттестация объектов информатизации по требованиям безопасности информации; Аудит информационных систем Заказчика на соответствие требованиям Федерального закона «О персональных данных» .

Используемые сокращения ПДн – персональные данные ИСПДн – информационная система персональных данных СЗПДн – система защиты персональных данных СЗИ – средства защиты информации СКЗИ – средства криптографической защиты информации НСД – несанкционированный доступ.

План Вебинара I. Краткий обзор требований законодательства II. Стадии работ по приведению ИСПДн к требованиям законодательства III. Предпроектное обследование ИСПДн IV. Стадия проектирования СЗПДн V. Обзор современных средств защиты информации VI. Примеры комплексных решений по защите ПДн VII. Стадия оценки соответствия ИСПДн

Информационные системы, Понятие ИСПДн обрабатывающие данные Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п. 10 ст. 3 ФЗ-152). Базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (ст. 1260 ГК РФ).

Информационные системы, Примеры ИСПДн обрабатывающие данные Бухгалтерские программы: 1 С, БАРС, Парус и др. ; Программы кадрового учета: 1 С, Парус и др. ; CRM-системы с информацией о действующих и потенциальных клиентах: Парус, Microsoft Dynamics CRM и др. ; ERP-системы, обрабатывающие ПДн: Галактика и др.

I Требования ФЗ № 152 ФЗ «О персональных данных» Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. (ч. 1 ст. 19 ФЗ-152)

Требования ФЗ № 152 ФЗ «О персональных данных» Обеспечение безопасности ПДн достигается, в частности (ч. 1 ст. 19 ФЗ-152): 1) определением угроз безопасности ПДн при их обработке в ИСПДн; 2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

Требования ФЗ № 152 ФЗ «О персональных данных» 4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов НСД к ПДн и принятием мер; 7) восстановлением ПДн, модифицированных или уничтоженных вследствие НСД к ним; 8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн; 9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Информационные системы, Автоматизированная обработка ПДн обрабатывающие данные Автоматизированная обработка ПДН - обработка ПДн с помощью средств вычислительной техники (п. 4 ст. 3 ФЗ-152) Требования к обеспечению безопасности ПДн при их обработке в ИСПДн, с использованием средств автоматизации установлены в ПП РФ № 781 от 17 ноября 2007 г. "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

Требования ПП РФ № 781 ФЗ «О персональных данных» «Об утверждении положения…» Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий. Безопасность ПДн при их обработке в информационных системах обеспечивается с помощью СЗПДн, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения НСД, утечки информации по техническим каналам, программнотехнических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии. Для обеспечения безопасности ПДн при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитно-оптической и иной основе. Возможные каналы утечки информации при обработке ПДн в информационных системах определяются ФСТЭК и ФСБ РФ в пределах их полномочий.

Требования ПП РФ № 781 ФЗ «О персональных данных» «Об утверждении положения…» Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Требования ПП РФ № 781 ФЗ «О персональных данных» «Об утверждении положения…» Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн включают в себя: а) определение угроз безопасности ПДн при их обработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с ПДн в информационной системе; з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты ПДн. (п. 12 ПП РФ № 781 «Об утверждении Положения» )

Порядок действий ФЗ «О персональных данных» при организации защиты ПДн в ИСПДн 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Назначить лицо, ответственное за проведение мероприятий по организации защиты ПДн в Организации. При недостатке ресурсов для приведения ИСПДн к требованиям законодательства собственными силами -- найти специализированную компанию (имеющую лицензии ФСТЭК, ФСБ России) Провести обследование ИС с целью оценки текущего состояния ИБ и сбора необходимых исходных данных для создания СЗПДн (определение кол-ва защищаемых объектов, их назначение, технические характеристики, схема взаимодействия между собой). Урегулировать правовые вопросы обработки ПДн (согласие с субъектов, обязательство о неразглашении, уведомление в Роскомнадзор) Определить угрозы безопасности ПДн в каждой ИСПДн. Определить перечень обрабатываемых ПДн и провести классификацию ИСПДн. Определить требования к системе защиты ПДн на основании модели угроз и класса ИСПДн (написание Технического задания на создание СЗПДн). Спроектировать систему защиты персональных данных (СЗПДн): подобрать необходимые средства защиты информации (СЗИ). Разработать организационно-распорядительную и регламентную документацию по обеспечению безопасности ПДн в ИСПДн. Закупить, настроить, внедрить СЗИ в соответствии с разработанной документацией. Провести обучение ответственных лиц и сотрудников правилам работы с СЗИ. Распределить ответственность между сотрудниками Организации допущенными к работе с ПДн: назначить пользователей, администраторов безопасности, ответственных за эксплуатацию ИСПДн, а также ответственного за обработку ПДн в Организации – для каждой группы допущенных к ПДн разработать Инструкции. На основании положительных результатов оценки соответствия ввести ИСПДн в опытную эксплуатацию. Провести оценку соответствия ИСПДн требованиям по безопасности информации (с привлечением специализированной организации – лицензиата ФСТЭК России). Организовать контроль соблюдения использования СЗИ и обеспечить управление обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты, включая учет применяемых СЗИ и носителей ПДн, а также учет лиц, допущенных к работе с ПДн. 16.

II. Этапы приведения ИСПДн в соответствии с требованиями закона Предпроектное обследование ИСПДн Проектирование и реализация СЗПДн Оценка соответствия ИСПДн

Необходимость получения лицензии ФСТЭК ПРОТИВ ЗА п. 2. 15 СТР-К: «Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации или отдельными специалистами, назначаемыми руководителями для проведения таких работ» - п. 1 ст. 49 ГК РФ; - п. 11 ч. 1 ст. 17 ФЗ № 128 от 08. 07. 2001 «О лицензировании отдельных видов деятельности» ; - ПП РФ № 504 от 15. 08. 2006 «О лицензировании деятельности по технической защите конфиденциальной информации» Судебные решения: Регулятор (ФСТЭК): письменные ответы на Постановления ФАС ВВО от 06. 05. 2005 № запросы о необходимости получения А 43 -30702/2004 -26 -1135, апелляц. лицензии для «собственных нужд» инстанции Арбитражного суда Свердловской области от 02. 2005 № А 60 -39874/2004 -С 9, ФАС СЗО от 09. 11. 2007 N А 05 -5724/2007, ФАС ВВО от 18. 06. 2008 N А 31 -6296/2007 -13, решении Арбитражного суда Свердловской области от 26. 05. 2008 № А 60 -5642/2008 -С 9

III. Предпроектное обследование 1. Определение количества ИСПДн, их состава и назначения, а также границ каждой ИСПДн. 2. Определения Перечня ПДн для каждой ИСПДн. 3. Определение юридических оснований для обработки ПДн (есть ли согласие субъектов на обработку ПДн, уведомлен ли Регулятор о начале обработке? ). 4. Определение целей создания ИСПДн (на каком основании функционирует) и способов обработки ПДн (автоматизированная, неавтоматизированная, смешанная) – для каждой ИСПДн. 5. Определение технических средств и систем, которые используются в ИСПДн (кол-во серверов, клиентов, автономных АРМ, их конфигурация, схема взаимодействия в составе ЛВС). 6. Разработка частной модели угроз безопасности ПДн – для каждой ИСПДн. 7. Определение класса ИСПДн – для каждой ИСПДн. 8. Уточнение степени участия персонала в обработке ПДн, распределение ролей. 9. Разработка организационно-распорядительной и регламентной документации (приказы, инструкции, журналы учета, положения и др. ).

Перечень разрабатываемых документов I. Документы, регламентирующие обработку ПДн в Организации (урегулирование юридической стороны вопроса): 1) Письменное согласие субъекта на обработку ПДн; 2) Согласие субъекта на передачу ПДн конкретной организации (банк, страховая компания и др. ); 3) Обязательство о неразглашении персональных данных с сотрудников, допущенных к ПДн; 4) Журнал учёта обращений субъектов ПДн о выполнении их законных прав; 5) Уведомление об обработке ПДн в Роскомнадзор. II Документы регламентирующие защиту ПДн в Организации (организационно-распорядительная и регламентная документация): 6) План контролируемой зоны Организации; 7) Перечень ИСПДн в Организации; 8) Перечень ПДн, обрабатываемых в каждой ИСПДн; 9) Положение об обработке персональных данных в Организации; 10) Перечень сотрудников, допущенных к работе с ПДн в Организации; 11) Описание технологии обработки ПДн в ИСПДн; 12) Список постоянных пользователей ИСПДн; 13) Перечень защищаемых информационных ресурсов в ИСПДн; 14) Разрешительная система доступа пользователей к защищаемым информационным ресурсам ИСПДн; 15) Приказ о создании комиссии по определению угроз безопасности ПДн в ИСПДн и классификации ИСПДн; 16) Модель угроз безопасности персональных данных в ИСПДн; 17) Акт классификации ИСПДн; 18) Приказ о назначении ответственного лица за обработку ПДн в Организации; 19) Приказ о назначении администратора безопасности ИСПДн; 20) Приказ о назначении ответственного за эксплуатацию ИСПДн; 23) Инструкция пользователя ИСПДн; 24) Инструкция ответственного за обработку ПДн в Организации; 25) Инструкция администратора безопасности ИСПДн; 26) Инструкция ответственному за эксплуатацию ИСПДн; 27) Инструкция по организации антивирусной защиты; 28) Инструкция по организации парольной защиты; 29) Инструкция по работе в сетях связи общего пользования; 30) Регламент резервного копирования информации; 31) Журнал учета съемных носителей информации 32) Инструкция по эксплуатации съемных носителей ПДн

Документы, регулирующие правовые вопросы обработки ПДн

1. Согласие субъекта на обработку ПДн Основание: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн (п. 1 ч. 1 ст. 6 ФЗ-152). Назначение: возможность дальнейшей законной обработки ПДн. Вид документа: на бумажном носителе в письменном виде, электронный документ с электронной подписью субъекта. Содержание документа: ч. 4 ст. 9 ФЗ-152. Кто разрабатывает: сотрудник отдела кадров. Кто подписывает: каждый субъект, чьи ПДн предполагается обрабатывать (или чьи ПДн уже обрабатываются). Когда подписывает: приеме на работу, при заключении договора т. е. с момента факт. начала обработки ПДн.

1. Согласие субъекта на обработку ПДн Письменное согласие должно включать в себя (ч. 4 ст. 9 ФЗ-152): 1) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) наименование или фамилию, имя, отчество и адрес (юридический) оператора, получающего согласие субъекта ПДн; 3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта ПДн; 5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 6) срок, в течение которого действует согласие, а также способ его отзыва. 7)подпись субъекта персональных данных.

1. Согласие субъекта на обработку ПДн В случае, если согласие субъекта ПДн получается через его законного представителя, то в Согласии необходимо указать фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя.

1. Согласие субъекта на обработку ПДн

1. Согласие субъекта на обработку ПДн Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящим ФЗ. В поручении оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 ФЗ. (ч. 3 -5 ст. 6 ФЗ-152)

1. Согласие субъекта на обработку ПДн Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. В случае если оператор поручает обработку персональных данных другому лицу, то в Согласии необходимо также указать наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора.

1. Согласие субъекта на обработку ПДн Письменное согласие субъекта ПДн должно включать все сведения, предусмотренные ч. 4 ст. 9 ФЗ-152, в противном случае согласие признаётся недействительным и проведении проверки Роскомнадзором в предписании о правонарушении вносится пометка «согласия субъектов ПДн не соответствуют по форме требованиям законодательства» . Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью (ч. 4 ст. 9 ФЗ-152).

2. Согласие субъекта на передачу ПДн третьим лицам

3. Обязательство о неразглашении ПДн работниками Учреждения Основание: п. 1 ст. 6 ФЗ-152 Назначение: обязательство о неразглашении конфиденциальной информации; Форма документа: произвольная; Тип документа: отдельный документ, либо доп. соглашение к трудовому договору; Кто разрабатывает: сотрудник отела кадров; Кто подписывает: сотрудник, имеющий доступ к ПДн.

3. Обязательство о неразглашении ПДн работниками Учреждения

4. Журнал учёта обращений субъектов ПДн о выполнении их законных прав № п/п 1 ФИО субъекта ПДн Иванов Дата обращения Цель обращения субъекта ПДн Отметка об исполнении ФИО исполнителя Роспись исполнителя 10. 2010 информирование Петров П. П. 12. 10. 2010 прекращение Петров П. П. Иванович 2 Семенович 3 Кузнецов обработки 14. 10. 2010 уточнение ПДн Олегович Ведется сотрудником, назначенным ответственным за обработку ПДн в Организации.

5. Уведомление об обработке ПДн Основание: ст. 22 ФЗ-152 Назначение: информирование уполномоченного органа о намерении Оператора осуществлять обработку ПДн Содержание документа: ч. 3 ст. 22 ФЗ-152 Форма подачи документа: на бумажном носителе или в форме электронного документа Срок подачи: до начала фактической обработки ПДн Кто разрабатывает: ответственный за обработку ПДн Кто подписывает: уполномоченное лицо Исключение: перечислены в п. 2 ст. 22 ФЗ-152

5. Уведомление об обработке ПДн можно не подавать (ч. 2 ст. 22 ФЗ-152) Оператор вправе осуществлять БЕЗ УВЕДОМЛЕНИЯ уполномоченного органа по защите прав субъектов персональных данных обработку ПДн: 1) обрабатываемых в соответствии с трудовым законодательством; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов ПДн;

5. Уведомление об обработке ПДн можно не подавать (ч. 2 ст. 22 ФЗ-152) 4) сделанных субъектом персональных данных общедоступными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

5. Уведомление об обработке ПДн можно не подавать (ч. 2 ст. 22 ФЗ-152) 9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

5. Уведомление об обработке ПДн. СОДЕРЖАНИЕ 1) 2) 3) 4) 5) 6) Наименование оператора (или ФИО ИП), адрес оператора; Цель обработки персональных данных; Категории субъектов, персональные данные которых обрабатываются; Правовое основание обработки персональных данных; Перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн; 7) Описание мер, предусмотренных ст. 18. 1 и 19 настоящего ФЗ, в том числе сведения о наличии СКЗИ и наименования этих средств; 8) Фамилия, имя, отчество физ. лица или наименование юр. лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 9) Дата начала обработки персональных данных; 10)Срок или условие прекращения обработки персональных данных 11)Сведения о наличии или об отсутствии трансграничной передачи ПДн; 12)сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации.

5. Уведомление об обработке ПДн. Кому и куда подавать? ? ? Адрес для подачи заполненных Уведомлений об обработке по почте: территориальный орган Роскомнадзора по месту регистрации Оператора (75 территориальных органов). Адреса можно узнать на сайте Роскомнадзора http: //www. rsoc. ru/about/structure/ Уведомление можно заполнить в электронной форме по адресу: http: //www. rsoc. ru/personal-data/forms/notification/ , затем распечатать, подписать и отправить по почте в территориальный орган Роскомнадзора.

5. Уведомление об обработке ПДн. Дополнительная информация Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7. 1, 10 и 11 части 3 ст. 22 настоящего ФЗ, не позднее 1 января 2013 года. (п. 2. 1 ч. 2 ст. 25 ФЗ-152)

5. Уведомление об обработке ПДн. Дополнительная информация Т. е. тем, кто уже подал Уведомление необходимо сообщить уполномоченному органу по защите прав субъектов ПДн доп. информацию: правовое основание обработки персональных данных; фамилия, имя, отчество физического лица или наименование юр. лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки; сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ.

Реестр Операторов Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит сведения в Реестр Операторов. Сведения, содержащиеся в Реестре Операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. Реестр Операторов находится по адресу: http: //www. rsoc. ru/personal-data/register/ Заявление о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных можно заполнить на сайте: http: //www. rsoc. ru/personal-data/forms/extract/ (распечатать, подписать, отправить в территориальный орган Роскомнадзора по месту регистрации Оператора)

5. Уведомление об обработке ПДн. Затруднения при составлении Как правило, на начальной стадии работ (до классификации ИСПДн и внедрения системы защиты ИСПДн), отсутствуют необходимые сведения для заполнения и подачи Уведомления об обработке ПДн в Роскомнадзор. Уведомление об обработке ПДн все равно необходимо подать, и в дальнейшем (когда будет проведена классификация ИСПДн и реализована СЗПДн) необходимо сообщить в Роскомнадзор дополнительную информацию о произошедших изменениях для внесения изменений в Реестр Операторов (информационное письмо о внесении изменений можно заполнить в электронном виде по адресу: http: //www. rsoc. ru/personal-data/forms/notification/, затем распечатать, подписать и отправить в территориальный орган Роскомнадзора. Непредставление или несвоевременное предоставление Уведомления об обработке ПДн влечет адм. ответственность в соответствии со ст. 13. 11 и 19. 7 Ко. АП РФ: предупреждение или наложение адм. штрафа на юридических лиц - от 3000 до 5000 руб.

II Организационно - распорядительная и регламентная документация

6. План контролируемой зоны Организации Контролируемая зона (КЗ) - это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового пропуска. Контролируемая зона может ограничиваться: периметром охраняемой территории, ограждающими конструкциями здания; частью здания, кабинетом. Контролируемая зона может устанавливаться размером больше, чем охраняемая территория, при этом она должна обеспечивать постоянный контроль за неохраняемой частью территории. Границы КЗ устанавливается Приказом Руководителя, в Приложении к приказу приводится схема здания с указанием границ КЗ.

7. Перечень ИСПДн в Организации Название ИСПДн Местонахождение Заводской (инв. ) № ПЭВМ Индекс, Город, улица, дом, корп. , этаж, кабинет (кабинеты) №_______________ №________ Индекс, Город, улица, дом, корп. , 1 С Бухгалтерия 7. 7 этаж, кабинет (кабинеты) №_______________ №________ Индекс, Город, улица, дом, корп. , Microsoft Dynamics этаж, кабинет (кабинеты) CRM №_______________ №________ 1 С Кадры 8. 1

8. Перечень ПДн, подлежащих защите в ИСПДн Основание для разработки: п. 1 ст. 86 ТК РФ; абз. 1 п. 4 Порядка классификации. Назначение: уточнение состава ПДн в каждой ИСПДн и документарное закрепление состава обрабатываемых ПДн в ИСПДн; Количество: составляется для каждой выявленной ИСПДн Форма документа: произвольная. Кто разрабатывает: сотрудник ОК / Бухгалтер / ответственное лицо, назначенное приказом Руководителя; Утверждает: руководитель

8. Перечень ПДн, подлежащих защите в ИСПДн Вид субъекта Основания для ПДн обработки Перечень персональных данных Сотрудники Глава 14 Трудового кодекса, Письменное согласие субъекта Фамилия Имя Отчество Дата рождения Место рождения (Страна, Край/область, Район, Населенный пункт) Свидетельство о рождении (Серия, номер, Кем выдан, Дата выдачи) Размер оклада и общей з/п Идентификационный номер налогоплательщика (ИНН) Страховой номер Сведения о воинском учете Образование и т. д. Контрагенты В целях Фамилия исполнения Имя Договора (ст. 6, п. 2. Отчество ФЗ-152 от ИНН 27. 06. 2006), Место регистрации (Страна, Регион, Район, Город, Населенный пункт, Улица, Дом, письменное Корпус, Строение, Квартира, Офис) согласие субъекта Дата регистрации Телефон Факс E-mail Банковский счет и т. д. Срок хранения, условия прекращения обработки До достижения заявленных целей обработки или отзыва согласия субъекта, 75 лет после увольнения сотрудника До достижения заявленных целей обработки

9. Положение об обработке ПДн в Организации Основание для разработки: ч. 2 ст. 5, ч. 3 ст. 20, ч. 3 -5 ст. 21, ст. 25 ФЗ-152; ст. 88 ТК РФ; п. 16 Положения, утвержденного ПП-781; п. 3, п. 13 -15 Положения, утвержденного ПП-687 Назначение: устанавливает порядок обработки и защиты ПДн в Организации; Форма и содержание документа: произвольные. Кто разрабатывает: сотрудник отдела кадров; Утверждается: приказом Руководителя. C Положением должны быть ознакомлены все сотрудники!!!

9. Положение об обработке ПДн в Организации I Общие положения: указывается цель, основание для разработки, порядок утверждения II Основные понятия и состав персональных данных: дается определение ПДн, приводится перечень документов в организации, содержащие ПДн работников/клиентов/контрагентов III Обработка персональных данных: дается определение обработки, уточняется перечень возможных действий с ПДн (напр. получение, хранение, и использование) и порядок осуществления таких действий (напр. только с письменного согласия субъекта)

9. Положение об обработке ПДн в Организации IV Передача персональных данных: при передаче ПДн передача третьим лицам (с письменного согласия), запрет при передаче ПДн по факсу и телефону. V Доступ к персональным данным: внутренний (перечень должностей Организации имеющих доступ к ПДн) и внешний доступ (перечень организаций, имеющих доступ к ПДн: военкоматы, ИФНС и т. д. ) VI Защита персональных данных: обязательство о неразглашении, общее описание защиты ПДн при хранении в бумажном виде (сейфы, шкафы) и в электронном (пароли, средства защиты и т. д. ) VII Ответственность за разглашение ПДн – будет рассмотрена далее.

10. Перечень сотрудников, допущенных к работе с ПДн в Организации № Фамилия, Имя, Отчество п/п 1 Иванович Подразделение, должность Директор 2 Петрович Заместитель директора 3 Сидорович Главный бухгалтер 4 Кадров Сергей Сергеевич Начальник отдела кадров 5 Подкадров Василий Васильевич Сотрудник отдела кадров 6 Клиентов Андрей Андреевич Начальник отдела по работе с клиентами … … … Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.

11. Описание технологии обработки ПДн в ИСПДн Таблица 1 – Получение персональных данных Категории субъектов ПДн Способ получения ПДн Источник получения ПДн Перечень полученных ПДн - Паспорт - Страховое свидетельство ПФР - ИНН - Диплом об образовании - Документы о повышении квалификации - и т. д. - Фамилия - Имя - Отчество - Дата рождения - Пол - ИНН - Гражданство - Номер ПФР - Адрес регистрации - Паспортные данные Сотрудники Сотрудник приносит свои персональные данные на бумажном носителе, затем эти данные заносятся в программу « 1 С Предприятие 7. 7» Контрагенты Контрагент - Учредительные приносит свои документы реквизиты с ПДн на - ИНН бумажном носителе или отправляет по эл. почте, затем эти ПДн заносятся в программу « 1 С» Тех. процесс, использующий ПДн - Прием сотрудника на работу - Увольнение сотрудника - Начисление сотруднику з/п, премии, командировочн ых, отпускных Основания для обработки ПДн Трудовой кодекс РФ, согласие субъекта ПДн - Фамилия - Взаиморасчеты В целях - Имя с контрагентом исполнения - Отчество Договора (ст. 6, - ИНН п. 2, ФЗ-152 от - Место регистрации 27. 06. 2006), - Дата регистрации согласие субъекта - Телефон - Банковский счет и т. д.

11. Описание технологии обработки ПДн в ИСПДн Таблица 2 – Обработка персональных данных Категории субъектов, чьи ПДн обрабатываются в ИСПДн Сотрудники Контрагенты Применяемые виды* обработки ПДн Срок хранения, условия прекращения обработки ПДн сбор, запись, систематизация, На период работы, отзыва накопление, хранение, уточнение согласия субъекта, 75 лет (обновление, изменение), извлечение, после увольнения в архиве использование, передача сбор, систематизация, накопление, До полного исполнения хранение, уточнение (обновление, обязательств по Договору изменение), использование * видами обработки персональных данных являются: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

11. Описание технологии обработки ПДн в ИСПДн Таблица 3 – Передача персональных данных Перечень организаций, которым Оператор передает ПДн 1 ОАО «Омск. Банк» (Адрес: 644001, г. Омск, ул. Омская , д. 1) Способ передачи ПДн 2 Персональные данные из программы « 1 С: Предприятие 7. 7» распечатываются на бумажном носителе (платежная ведомость), далее вручную заносятся в отчетную ведомость банка установленной формы формата *. xls. Затем данные с помощью программы «Клиент Банк» подписываются электронной цифровой подписью и передаются через Интернет непосредственно в ОАО «Омск. Банк» для начисления сотруднику заработной платы на банковскую карточку (передача ПДн происходит один раз в месяц) Отделение ПФР Персональные данные выгружаются из программы « 1 С: (Адрес: 644002, Предприятие. 7. 7» на бумажный носитель (индивидуальная карточка г. Омск, ул. сумм начисленных выплат), далее данные вручную заносятся в Пенсионная, д 2 программу «ПФР» . Передача ПДн в ПФР осуществляется путем корп 3. ) выгрузки данных из программы «ПФР» в формат *. xml, последующим импортом данных в программу «Контур-Экстерн Лайт» , которая подписывает отправляемые данные ЭЦП и осуществляет защищенную передачу данных в ПФР через Интернет. Перечень передаваемых ПДн Основания для передачи ПДн 3 - Фамилия; - Имя; - Отчество; - Дата рождения, - Л/с в банке - Размер з/п 4 1. Договор между ООО «Ри. К» и ОАО «Омск. Банк» , 2. Согласие субъекта на передачу ПДн - ФИО Дата рождения - № страх. св-ва - ИНН - Паспортные данные - База по начислению страховых взносов 1. Трудовой кодекс РФ, 2. Федеральный закон «Об обязательном пенсионном страховании в РФ» от 15. 12. 2001 г. № 167 -ФЗ

11. Описание технологии обработки ПДн в ИСПДн Продолжение Таблица 3 – Передача персональных данных 1 2 Инспекция Персональные данные заносятся в программу «Контур-Экстерн» , Федеральной подвергаются корректировке и проверке, после чего подписываются ЭЦП и налоговой отправляются в ИФНС через Интернет службы (Адрес: 644003, г. Омск, ул. Налоговая, д. 3) … … 3 - Фамилия - Имя - Отчество - ИНН - Дата рождения - Гражданство - Паспортные данные - Адрес места жительства - Адрес в стране проживания - Сведения о доходах за отчетный период - Сумма НДФЛ … 4 1. Налоговый кодекс РФ 2. В целях исполнения трудового договора …

11. Описание технологии обработки ПДн в ИСПДн Таблица 4 – Передача персональных данных ФИО и должность Имеется ли у сотрудника возможность подкл. к подразделения, доступ в Интернет системам, обраб. ПДн, имеющего доступ (ДА/НЕТ) находясь вне учреждения к ПДн (ДА/НЕТ) Программные продукты, в которых осуществляется обработка ПДн Заводской (инв. ) номер ПЭВМ, за которым работает сотрудник « 1 С Предприятие 7. 7 Зарплата и кадры» Сидорович – главный бухгалтер Да Нет «Программа подготовки отчетных документов для ПФР» «Клиент Банк» «Контур-Экстерн Лайт» № _______

12. Список помещений, в которых разрешена обработка ПДн № п/п 1. Наименование подразделения Бухгалтерия Номер кабинета 11 Адрес 644001, г. Омск, ул. Омская, д. 1, этаж 1 2. Отдел кадров 21 644001, г. Омск, ул. Омская, д. 1, этаж 2 3. Отдел по работе с клиентами 22 644001, г. Омск, ул. Омская, д. 1, этаж 2 … … Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.

13. Список лиц, имеющих право доступа в помещения, где ведется обработка ПДн № п/п 1. 2. 3. 4. ФИО Сидорович Кадров Анатолий Анатолиевич Подкадров Василий Васильевич Клиентов Андрей Андреевич Должность № кабинета Адрес Главный бухгалтер 11 644001, г. Омск, ул. Омская, д. 1, этаж 1 Начальник отдела кадров 21 644001, г. Омск, ул. Омская, д. 1, этаж 2 Сотрудник отдела кадров 21 644001, г. Омск, ул. Омская, д. 1, этаж 2 22 644001, г. Омск, ул. Омская, д. 1, этаж 2 Начальник отдела по работе с клиентами Присутствие иных лиц допустимо при условии нахождения в кабинете сотрудников, имеющих право доступа в данное помещение. Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.

14. Список постоянных пользователей ИСПДн Расположение объекта: Индекс, город, Улица, Дом, корпус, этаж. Таблица 1 - Список постоянных пользователей ИСПДн Бухгалтерия 7. 7 № п/п 1 2 3 ФИО Сидоров Сергей Сергеевич Петрович Админский Андрей Анатольевич Должность Выполняемые функции Группа, Зав. (инв. ) идентификатор № ПЭВМ Главный бухгалтер Пользователь Пользователи, User 1 1000017 Бухгалтер Пользователь Пользователи, User 2 0234571 Администратор, Admin 1000017, 0234571 Системный администратор Администратор ИБ Разрабатывает и подписывает: Администратор безопасности ИСПДн Утверждает: Руководитель организации Ограничительный гриф: Конфиденциально

15. Перечень защищаемых информационных ресурсов в ИСПДн Месторасположения объекта: 644001, г. Омск, ул. Омская, д. 1, второй этаж. Файлы с конфиденциальной информацией и неконфиденциальная информация на несъемном жестком магнитном диске «Seagate» № ? в составе сист. блока № 1000017 № п/п 1. 2. 3. 4. 5. 6. 7. 8. 9. Наименование информационного ресурса База данных 1 С Размещение ресурса Конфиденциально – D: Bases персональные данные Каталоги программного обеспечения Неконфиденциально C: Program Files Средства ОС, необходимые для Неконфиденциально запуска и работы ПЭВМ Основные конфигурационные файлы Неконфиденциально ОС и драйверы СЗИ от НСД Средства настройки и управления Неконфиденциально СЗИ от НСД Антивирусные средства Средство межсетевого экранирования Система анализа защищенности и выявления уязвимостей Личный каталог пользователя (в т. ч. Рабочий стол) 10. Средства разработки документов 11. Категория ресурса Средства обработки персональных данных C: Windows C: Program FilesInfosecSecret. NetClien Неконфиденциально C: Program FilesDrweb Неконфиденциально C: Program FilesInfo. Te. CSVi. PNet Personal Firewall Неконфиденциально C: Program FilesCBI ServiceRevizor. Seti 2Bin Конфиденциально. C: Documents and SettingsUser 1 персональные данные Неконфиденциально C: Program FilesMicrosoft Office Неконфиденциально С: Program Files1 с81

15. Перечень защищаемых информационных ресурсов в ИСПДн Документы на CD/DVD -R - дисках - гриф «Конфиденциально- персональные данные» . Документы на ГМД 3. 5’’ - гриф «Конфиденциально-персональные данные» . Неконфиденциальные документы на USB-устройствах. Разрабатывает и подписывает: Администратор безопасности ИСПДн Утверждает: Руководитель организации Ограничительный гриф: Конфиденциально

16. Разрешительная система доступа пользователей к защищаемым инф. ресурсам ИСПДн Назначение: определение полномочий пользователей на доступ к защищаемой информации, для реализации прав пользователей средствами СЗИ от НСД. Разрабатывает и подписывает: Администратор безопасности ИСПДн Утверждает: Руководитель организации Ограничительный гриф: Конфиденциально

16. Разрешительная система доступа пользователей к защищаемым инф. ресурсам ИСПДн Таблица 1 – Права доступа пользователей ИСПДн « 1 С Бухгалтерия 7. 7» к защищаемым ресурсам ПЭВМ «RT» № Права по доступу к информации* № п/п 1. 2. 3. 4. 5. Наименование информационных ресурсов, используемых в ПЭВМ База данных 1 С Каталоги программного обеспечения Вид информации Средства ОС, необходимые для запуска Неконфиденциально и работы ПЭВМ Основные конфигурационные файлы Неконфиденциально ОС и драйверы СЗИ от НСД Средства настройки и управления СЗИ Неконфиденциально от НСД Антивирусные средства Неконфиденциально 7. Средство межсетевого экранирования Неконфиденциально 9. Система анализа защищенности и выявления уязвимостей Личный каталог пользователя (в т. ч. Рабочий стол) 10. Средства разработки документов 11. Средства обработки персональных данных Админский А. А. (Admin) Сидоров С. С. (User 1) RWDAX RWX RWDAX RWX C: Program FilesInfosecSecret. NetClien RWDAX RWX C: Program FilesDrweb RWDAX RWX C: Program FilesInfo. Te. CSVi. PNet Personal Firewall C: Program FilesCBI ServiceRevizor. Seti 2Bin RWDAX RWX RWDAX RWX Конфиденциально – D: Bases персональные данные Неконфиденциально C: Program Files 6. 8. Место хранения ресурса Неконфиденциально C: Windows Конфиденциально. C: Documents and SettingsUser 1 персональные данные Неконфиденциально C: Program FilesMicrosoft Office Неконфиденциально С: Program Files1 с81 * R – чтение , W – запись, D – удаление, A – добавление объектов, X – исполнение, «-» - запрет на доступ к ресурсу,

16. Разрешительная система доступа пользователей к защищаемым инф. ресурсам ИСПДн Таблица 2 – Права доступа пользователей к устройствам и информационным портам ввода-вывода ИСПДн « 1 С Бухгалтерия 7. 7» в составе системного блока «RT» № 1000017 Права по доступу к информации* Наименование информационных ресурсов, используемых в ПЭВМ Наименование устройства/ порта вводавывода FDD A: + + DVD-RW E: + + Админский А. А. Сидоров С. С. (Admin) (User 1) USB Сетевая карта Ethernet Принтер + USB(LPT) + + + * «+» - доступ к устройству разрешен, «-» -доступ к устройству запрещен Примечание Для записи (хранения) конфиденциальной информации должны использоваться только учтенные носители информации Доступ пользователей к ресурсам сетевой карты необходим для обеспечения работы ИСПДн в составе локально-вычислительной сети и Должна вестись регистрация печати конфиденциальных документов средствами СЗИ от НСД и в журнале учета изданных конфиденциальных документов

16. Разрешительная система доступа пользователей к защищаемым инф. ресурсам ИСПДн Таблица 3 – Список разрешенных к использованию портов в ИСПДн « 1 С Бухгалтерия 7. 7» в составе системного блока «RT» № 1000017 IP Направление Порт источника Настройки протокола TCP для приложений IP назначения 192. 168. 0. 1 Все Входящее* Все 20 TCP ftp data Протокол ftp - данные 192. 168. 0. 1 Все Исходящее* Все 21 TCP ftp Протокол ftp –команды 192. 168. 0. 1 Все Исходящее* Все 25 Отправка писем 192. 168. 0. 1 Все Входящее* Все 80 TCP SMTP http Гипертекстовый протокол 192. 168. 0. 1 Все Входящее* Все 110 TCP POP 3 Получение писем Порт назначения Протокол Служба Описание 192. 168. 0. 1 Все Исходящее* Все 123 TCP ntp Windows Time Synchronization 192. 168. 0. 1 Все Входящее* Все 135 TCP DCOM Microsoft RPC end point to point map 192. 168. 0. 1 Все Входящее* Все 138 TCP netbios NETBIOS Datagram Service 192. 168. 0. 1 Все Входящее* Все 139 TCP netbios NETBIOS Session Service 192. 168. 0. 1 Все Входящее* Все 143 TCP IMAP Служебный протокол 192. 168. 0. 1 Все Входящее* Все 445 TCP MS_DS Microsoft Directory Services 192. 168. 0. 1 Все Входящее* Все 3268 TCP GL_CAT Microsoft Global Catalog Настройки протокола UDP для приложений 192. 168. 0. 1 Все Входящее* Все 135 UDP DCOM Microsoft RPC end point to point map 192. 168. 0. 1 Все Входящее* Все 138 UDP netbios NETBIOS Datagram Service 192. 168. 0. 1 Все Входящее* Все 389 UDP LDAP Lightweight Directory Access Protocol 192. 168. 0. 1 Все Входящее* Все 445 UDP MS_DS Microsoft Directory Services 192. 168. 0. 1 Все Входящее* Все 55777 UDP Vi. PNet Monitor Все ICMP Все Internet Control Message Protocol Настройки протокола ICMP для приложений 192. 168. 0. 1 Все Любое * - в указанных направлениях разрешено инициировать соединение Политика настройки МСЭ: блокировать все, что явно не разрешено

17. Приказ о создании комиссии по определению УБПДн и классификации ИСПДн Состав комиссии (минимум 3 человека): Председатель комиссии: руководитель структурного подразделения, который отвечает за эксплуатацию соответствующей ИСПДн (напр. начальник отдела кадров, главный бухгалтер, начальник отдела по работе с клиентами). Члены комиссии: руководитель или сотрудник службы ИТ, ответственный за администрирование и сопровождение ИСПДн (напр. системный администратор), специалист по ИБ или иные лица участвующие в обработке ПДн. В случае необходимости, для различных ИСПДн может назначаться отдельная комиссия.

18. Модель угроз безопасности ПДн в ИСПДн Основание: пп. "а" п. 12 Положения, утв. ПП-781 Назначение: определяет перечень актуальных угроз в каждой ИСПДн, используется для формирования требований к СЗПДн (написания Технического задания) Форма документа: произвольная Кто разрабатывает: специалист по ИБ (компетентный) Утверждает: Руководитель организации

18. Модель угроз безопасности ПДн в ИСПДн Моделирование угроз проводится в соответствии с: «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн» (утв. приказом ФСТЭК РФ от 15. 02. 2008 г. ). «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» (утв. Зам. директора ФСТЭК РФ от 14. 02. 2008 г. ).

18. Модель угроз безопасности ПДн в ИСПДн Модель угроз содержит единые исходные данные по угрозам безопасности ПДн, обрабатываемых в ИСПДн, связанным: с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения; с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.

ТИПОВАЯ МОДЕЛЬ УГРОЗ безопасности ПДн в локальных ИСПДн При обработке ПДн в локальных ИСПДн, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: угрозы утечки информации по техническим каналам; угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте.

ТИПОВАЯ МОДЕЛЬ УГРОЗ безопасности ПДн в локальных ИСПДн Угрозы утечки информации по техническим каналам: угрозы утечки акустической (речевой) информации; угрозы утечки видовой информации; угрозы утечки информации по каналу ПЭМИН.

ТИПОВАЯ МОДЕЛЬ УГРОЗ безопасности ПДн в локальных ИСПДн Угрозы НСД, связанные с действиями нарушителей, имеющих доступ к ИСПДн: угрозы, реализуемые в ходе загрузки ОС и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой; угрозы, реализуемые после загрузки ОС и направленные на выполнение НСД с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т. п. ) ОС или какой-либо прикладной программы (например, СУБД), с применением специально созданных для выполнения НСД программ; угрозы внедрения вредоносных программ.

ТИПОВАЯ МОДЕЛЬ УГРОЗ безопасности ПДн в локальных ИСПДн Угрозы из внешних сетей включают в себя: угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации; угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др. ; угрозы выявления паролей; угрозы получения НСД путем подмены доверенного объекта; угрозы типа «Отказ в обслуживании» ; угрозы удаленного запуска приложений; угрозы внедрения по сети вредоносных программ.

Определение актуальности угроз безопасности персональных данных Оценка об актуальности той или иной угрозы производится на основании: коэффициента вероятности реализации угрозы; показателя опасности (ущерба). Для определения коэффициента вероятности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн; возможность реализации рассматриваемой угрозы

Уровень исходной защищенности ИСПДн(Y 1) Уровень исходной защищенности (Y 1) определяется на основании оценки: территориального размещения; наличия соединения с сетями общего пользования; наличия встроенных операций с записями баз персональных данных; разграничения доступа к персональным данным; наличия соединений с другими базами ПДн иных ИСПДн; уровня обобщения (обезличивания) ПДн; объема ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

Уровень исходной защищенности ИСПДн (Y 1) Технические и эксплуатационные характеристики ИСПДн Уровень защищенности Высокий Средний Низкий 1. По территориальному размещению: - распределённая ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - локальная ИСПДн, развернутая в пределах одного здания. + + + 2. По наличию соединения с сетями общего пользования: - ИСПДн, имеющая многоточечный выход в сеть общего пользования; - ИСПДн, имеющая одноточечный выход в сеть общего пользования; - ИСПДн, физически отделенная от сети общего пользования. 3. По встроенным (легальным) операциям с записями баз персональных данных: - чтение, поиск; - запись, удаление, сортировка; - модификация, передача. +

Уровень исходной защищенности ИСПДн (Y 1) Технические и эксплуатационные характеристики ИСПДн Уровень защищенности Высокий Средний Низкий 4. По разграничению доступа к персональным данным: - ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; - ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - ИСПДн с открытым доступом. + + + + 5. По наличию соединений с другими базами ПДн иных ИСПДн: - интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); - ИСПДн, в которой используется одна база ПДн, принадлежащая организациивладельцу данной ИСПДн. 6. По уровню (обезличивания) ПДн: - ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т. д. ); - ИСПДн, в которой данные обезличиваются только при передаче в другие + организации и не обезличены при предоставлении пользователю в организации; - ИСПДн, в которой предоставляемые пользователю данные не являются + обезличенными (т. е. присутствует информация, позволяющая идентифицировать субъекта ПДн). 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: - ИСПДн, предоставляющая всю БД с ПДн; + - ИСПДн, предоставляющая часть ПДн; + - ИСПДн, не предоставляющие никакой информации. +

Уровень исходной защищенности ИСПДн (Y 1) Уровень исходной защищенности ИСПДн определяется на основании технических и эксплуатационных характеристик (по 7 признакам) путем подсчета в % соотношении Высоких, Средних и Низких показателей защищенности ИСПДн. Уровень исходной защищенности Высокий Средний Низкий Y 1 = ИСПДн Высокий 70% 30% 0 0 Средний Низкий 70% 30% иначе Пример: Высоких (3 из 7), Средних (2 из 7) и Низких (3 из 7) => Уровень исходной защищенности – Низкий, Y 1=10. 5 10

Определение актуальных угроз Определение возможности реализации каждой безопасности угрозы ПДн(Y 2) Возможность реализации угрозы (Y 2): маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (Y 2 = 0) низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y 2 = 2) средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y 2 = 5) высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y 2 = 10)

Определение вероятности каждой угрозы безопасности ПДн(Y) Вероятность реализации угрозы рассчитывается по следующей формуле: Y = (Y 1 + Y 2) / 20 По значению Y формируется интерпретация следующим образом: если 0<=Y<=0, 3, то возможность реализации угрозы признается низкой; если 0, 30, 8, то возможность реализации угрозы признается очень высокой.

Определение степени опасности угрозы безопасности ПДн Степень опасности угрозы (ущерб): низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Определение актуальности угроз безопасности персональных данных Вероятность реализации угрозы Y = (Y 1+Y 2) / 20 Низкая: 0 ≤ Y ≤ 0, 3 Низкая неактуальная Средняя неактуальная Высокая актуальная Средняя: 0, 3 < Y ≤ 0, 6 неактуальная Высокая: 0, 6 < Y ≤ 0, 8 актуальная Очень высокая: Y > 0, 8 актуальная Показатель опасности угрозы (ущерб) если реализация угрозы может привести угрозы может к незначительным привести к негативным последствиям для субъектов ПДн если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн

Пример Определения актуальности угроз безопасности персональных данных Сценарий реализации угрозы Получение информации воздействия несанкционированного внешним на доступа нарушителем программное за к счет обеспечение (переполнение буфера и пр. ) с запуском исполняемого вредоносного кода Нарушаемые свойства К, Ц, Д Объекты воздействия Информация, обрабатываемая на АРМ ИСПДн Исходная степень защищенност и ИСПДн Y 1=10 Возможность реализации угрозы Средняя (Y 2=5) Показатель Опасности угрозы Средний Вероятность реализации угрозы Высокая (Y=0, 75) Актуальность угрозы Актуальная Предпосылки реализации угрозы: - наличие взаимодействия с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования); - отсутствуют технические средства обнаружение вторжений в ИСПДн; - не обеспечивается межсетевое экранирование ИСПДн. Реализованные защитные меры: - Установлен порядок обеспечения антивирусной защиты (Инструкция, Политика и проч. ); - Установлены средства антивирусной защиты; Вывод об актуальности угрозы для ИСПДн: В связи с недостаточностью принятых мер угроза «Получение несанкционированного доступа к информации внешним нарушителем за счет воздействия на программное обеспечение (переполнение буфера и пр. ) с запуском исполняемого вредоносного кода» читается актуальной. с

19. Акт классификации ИСПДн Основание для разработки: п. 6 Положения, утвержденного ПП-781 п. 4 Порядка классификации Назначение: определяется класс ИСПДн, структура ИСПДн и режим обработки ПДн Форма документа: приведена в СТР-К. Кто разрабатывает: комиссия по классификации, назначенная приказом руководства. Утверждает: руководитель организации Порядок классификации: утвержден приказом ФСТЭК России, ФСБ России, Миниинформсвязи РФ от 13. 02. 2008 г. № 55/86/20 Классификация проводится для каждой ИСПДн

ИТОГ Классификации ИСПДн № п/п Вид классификации Значение 1. Категория обрабатываемых ПДн (ХПД) 1 -4 2. Объем обрабатываемых ПДн(ХНПД) 1 -3 3. Заданные характеристики безопасности ПДн 4. Структура информационной системы АРМ / ЛВС / Распределенная 5. Подключение к сетям общего пользования и / или сетям международного информационного обмена Имеется /Не имеется 6. Режим обработки персональных данных 7. Режим разграничения прав доступа пользователей Однопользовательский/ Многопользовательский С разграничением доступа /Без разграничения 8. Местонахождению технических средств информационные Специальная В пределах РФ/ Частично или целиком за пределами РФ

Классификация ИСПДн 1. По характеру обрабатываемых (Xпд) персональных данных ИС подразделяются на следующие категории: категория 1 (Xпд = 1) – персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных философских убеждений, состояния здоровья; категория 2 (Xпд = 2) – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 (Xпд = 3) – персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 (Xпд = 4) – обезличенные персональные данные.

Классификация ИСПДн 2. По объему обрабатываемых (Xнпд) персональных данных ИС подразделяются на следующие категории: категория 1 (Xнпд = 1) – в ИС одновременно обрабатываются персональные данные о более 100 000 субъектов или персональные данные субъектов в пределах субъекта РФ или РФ в целом; категория 2 (Xнпд = 2) – в ИС одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов или персональные данные субъектов, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования; категория 3 (Xнпд = 3) – в ИС одновременно обрабатываются персональные данные менее чем 1000 субъектов или персональные данные субъектов в пределах конкретной организации.

Классификация ИСПДн Объём данных (Xнпд) Категория 3 Категория 2 Категория 1 (<= 1000 субъектов) (1000 -100 000 субъектов) (> 100 000 субъектов) К 4 К 4 К 3 К 2 К 1 К 1 Категория данных (Xпд) Категория 4 (обезличенные ПДн) Категория 3 (ПДн позволяющие идентиф. субъекта) Категория 2 (ПДн позволяющие идентиф. субъекта и получить о нем доп. информацию) Категория 1 (ПДн о состоянии здоровья, философских и религ убеждениях)

Классификация ИСПДн 3. По заданным оператором характеристикам безопасности ИСПДн подразделяются на: Типовые информационные системы - ИС, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - ИС, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (целостность, доступность). Абсолютно Все ИСПДн - СПЕЦИАЛЬНЫЕ!!!

Классификация ИСПДн Конфиденциальность - состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие право на доступ. Целостность - состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право. Доступность - состояние информации, при котором субъекты, имеющие права доступа к информации могут их беспрепятственно реализовывать. Класс СПЕЦИАЛЬНОЙ ИСПДн определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами (п. 16 Порядка классификации)

Классификация ИСПДн Также к СПЕЦИАЛЬНЫМ информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных (п. порядка проведения классификации ИСПДн» ); информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы (п. 8 порядка проведения классификации ИСПДн).

Классификация ИСПДн 4. По структуре ИСПДн подразделяются на: автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (АРМ); локальные ИС - комплексы АРМ, объединенных в единую ИС средствами связи без использования технологии удаленного доступа (вся обработка ПДн происходит в рамках одной ЛВС); распределенные ИС - комплексы АРМ и (или) локальных ИС, объединенных в единую ИС средствами связи с использованием технологии удаленного доступа (т. е. элементы ИСПДн разнесены территориально).

Классификация ИСПДн 5. По наличию подключений к сетям связи общего пользования (Интернет) информационный системы подразделяются на: с подключением к сетям связи общего пользования – т. е. если ИСПДн или ее элементы имеют подключение к Интернету вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение. без подключения к сетям связи общего пользования

Классификация ИСПДн 6. По режиму обработки персональных данных в информационные системы подразделяются на: однопользовательский - если сотрудник обрабатывающий ПДн совмещает в себе функции администратора и пользователя; многопользовательский

Классификация ИСПДн 7. По разграничению прав доступа пользователей информационные системы подразделяются на: системы без разграничения прав доступа - если в системе все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью, a вход под другими учетными записями не осуществляется; системы с разграничением прав доступа.

Классификация ИСПДн 8. По местонахождению технических средств информационные системы подразделяются на: системы, все технические средства которых находятся в пределах РФ; системы, технические средства которых частично или целиком находятся за пределами РФ.

ИТОГ Классификации ИСПДн № п/п Вид классификации Значение 1. Категория обрабатываемых ПДн (ХПД) 1 -4 2. Объем обрабатываемых ПДн(ХНПД) 1 -3 3. Заданные характеристики безопасности ПДн 4. Структура информационной системы АРМ / ЛВС / Распределенная 5. Подключение к сетям общего пользования и / или сетям международного информационного обмена Имеется /Не имеется 6. Режим обработки персональных данных 7. Режим разграничения прав доступа пользователей Однопользовательский/ Многопользовательский С разграничением доступа /Без разграничения 8. Местонахождению технических средств информационные Специальная В пределах РФ/ Частично или целиком за пределами РФ

Определение требований к СЗПДн Согласно Приказу ФСТЭК России от 05. 02. 2010 № 58 «Об утверждении положения о методах и способах защиты информации в ИСПДн» для типовой ИСПДн в зависимости от: класса ИСПДн; режима обработки ПДн в ИСПДн; режима разграничения прав доступа; наличия/отсутствия подключения к сетям общего пользования (СОП); установлены определенные Требования к защите ПДн. В качестве примера возьмем Требования из Приказа № 58 к ИСПДн: класса К 3; при многопользовательском режиме обработки ПДн; разных правах доступа; с подключением ИСПДн к СОП.

Определение требований к СЗПДн 1. 2. 3. 4. 5. 6. Выделяют следующие подсистемы СЗПДн: Подсистема управления доступом. Подсистема регистрации и учета. Подсистема обеспечения целостности. Подсистема межсетевого экранирования*. Подсистема анализа защищенности и выявления уязвимостей**. Подсистема обнаружения вторжений***. * - в случае если ИСПДн входит в состав ЛВС или имеет подключение к Интернету. ** - в случае если ИСПДн распределенная или имеет подключение к Интернету. *** - в случае если ИСПДн имеет подключение к Интернету.

Требования к ИСПДн класса К 3 при многопользовательском режиме обработки ПДн и разных правах доступа с подключением ИСПДн к ССОП 1. Подсистема управление доступом: - идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов; 2. Подсистема регистрации и учета: - регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа; - учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме)

Требования к ИСПДн класса К 3 при многопользовательском режиме обработки ПДн и разных правах доступа с подключением ИСПДн к ССОП 3. Подсистема обеспечение целостности: - обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации; - физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; - периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа; - наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

Требования к ИСПДн класса К 3 при многопользовательском режиме обработки ПДн и разных правах доступа с подключением ИСПДн к ССОП 4. Подсистема межсетевого экранирования должна обеспечивать: - фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов); - идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия; - регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана); - контроль целостности своей программной и информационной части; фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств; - восстановление свойств межсетевого экрана после сбоев и отказов оборудования; - регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

Требования к ИСПДн класса К 3 при многопользовательском режиме обработки ПДн и разных правах доступа с подключением ИСПДн к ССОП 5. Подсистема анализа защищенности: Анализ защищенности проводится для распределенных информационных систем и информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности. Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему 6. Подсистема обнаружения вторжений Обнаружение вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений.

Распределение ответственности 1. Администратор безопасности ИСПДн: приказ о назначении администратора безопасности ИСПДн, инструкция администратору безопасности. 2. Ответственный за эксплуатацию ИСПДн: приказ о назначении ответственного за эксплуатацию ИСПДн, инструкция ответственному за эксплуатацию. 3. Пользователь ИСПДн – список постоянных пользователей ИСПДн, инструкция пользователю. 4. Ответственный за обработку ПДн в Организации – приказ о назначении ответственного, инструкция ответственному за обработку.

Лица, ответственные за обработку ПДн в Организации (ст. 22. 1 ФЗ-152) 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки ПДн. 2. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. 3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона т. е. сведения, необходимые и достаточные для заполнения Уведомления об обработке ПДн.

Лица, ответственные за обработку ПДн в Организации (ст. 22. 1 ФЗ-152) Лицо, ответственное за организацию обработки ПДн обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в т. ч. требований к защите ПДн; 2) доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки ПДн, требований к защите ПДн; 3) организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

27. Инструкция по организации антивирусной защиты Настоящая Инструкция предназначена для пользователей и администраторов ИБ ИСПДн « 1 С Бухгалтерия» . В целях обеспечения антивирусной защиты на всех ПЭВМ, входящих в состав ИСПДн вводится антивирусный контроль, ответственность за поддержание установленного порядка проведения антивирусного контроля возлагается на Администратора информационной безопасности ИСПДн. К применению допускается только лицензионное и сертифицированное по требованиям безопасности информации антивирусное средство «Антивирус Dr. Web версия 5. 0» . На ПЭВМ запрещается установка ПО, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации. Пользователям запрещается отключать (выгружать) антивирусное средство. Ярлык для запуска антивирусного сканера должен быть вынесен на «Рабочий стол» операционной системы. Пользователи ПЭВМ при работе с носителями информации обязаны перед началом работы осуществить их проверку на предмет отсутствия компьютерных вирусов. Администратор информационной безопасности осуществляет периодическое обновление антивирусных баз не реже 1 раза в месяц. Пользователи ИСПДн проводит не реже 1 раза в месяц проводят тестирование всего установленного на ПЭВМ программного обеспечения на предмет отсутствия компьютерных вирусов. При обнаружении компьютерного вируса пользователь обязан немедленно поставить в известность Администратора информационной безопасности и прекратить какие-либо действия на ПЭВМ. Администратор информационной безопасности в случае необходимости проводит лечение зараженных файлов путем выбора соответствующего пункта меню антивирусной программы и после этого вновь проводит антивирусный контроль. В случае обнаружения на носителе информации нового вируса, не подлежащего лечению, Администратор информационной безопасности обязан запретить использование этого носителя информации, в случае обнаружения на несъемном ЖМД не поддающегося лечению вируса, - поставить в известность начальника отдела ИТ, запретить работу на ПЭВМ и в возможно короткие сроки обновить пакет антивирусных программ.

28. Инструкция по организации парольной защиты Пользователь, осуществляющий вход в ИСПДн, должен быть распознан системой по предъявлению персонального идентификатора и пароля. Пароли на доступ в систему должны отвечать следующим требованиям: – длина пароля не менее шести буквенно-цифровых символов; – срок действия пароля не более трех месяцев. Запрещается: - хранить пароли на доступ в систему на бумажных или электронных носителях; - по истечении срока действия пароля использовать в качестве нового пароля модификацию старого (новый пароль должен отличаться от старого как минимум в четырех позициях). В случае если Пользователь забыл пароль, он обязан лично обратиться к Администратору ИСПДн для получения нового временного пароля. Пользователь обязан немедленно сменить временный пароль, предоставленный Администратором ИСПДн. В случае компрометации пароля необходимо немедленно сменить скомпрометированный пароль.

29. Инструкция по работе в сетях связи общего пользования Подключение к сетям связи общего пользования (далее – сеть Интернет) имеется только у тех сотрудников, которым для выполнения служебных обязанностей это необходимо. Пользователи, не имеющие доступ к сети Интернет, могут написать служебную записку на предоставление такого доступа на имя системного администратора, предварительно согласованную со своим руководителем. В служебной записке необходимо указать: – инвентарный номер ПЭВМ, который необходимо подключить к сети Интернет; – номер кабинета, в котором ПЭВМ функционирует; – ФИО постоянного Пользователя; – вид доступа (временный/постоянный); – цель подключения к сети Интернет. Запрещается передавать по сети Интернет персональные данные с нарушениями технологии обработки (технологического процесса обработки ПДн). При работе в сети Интернет запрещается: – осуществлять работу при отключенных средствах защиты (антивирус, межсетевой экран); – скачивать и запускать программное обеспечение и другие файлы, не относящихся к выполнению служебных обязанностей; – посещать социальные сети, а также сайты, содержащие нелегально распространяемое программное обеспечение. – нецелевое использование подключения к сети Интернет.

30. Регламент резервного копирования информации Настоящий регламент разработан в соответствии с требованиями подпункта «г» пункта 11 Положения об обеспечении безопасности персональных данных при их обработке в ИСПДн, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, с целью обеспечения возможности незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Регламент определяет правила и объемы резервирования, а также порядок восстановления работоспособности ИСПДн « 1 С Бухгалтерия» ООО «Ри. К» . 2. Резервируемое общесистемное и специальное программное обеспечение, программное обеспечение средств защиты информации и базы персональных данных: 3. Порядок резервирования и хранения резервных копий (ответственный за резервирование, периодичность). 4. Порядок восстановления работоспособности ИСПДн.

31. Журнал учета машинных носителей информации (МНИ) № п/п Дата, учетный (инвентар ный) номер. Метка конфиденциа льности. 1 2 1 Тип МНИ Откуда поступил МНИ Расписка в получении МНИ (Ф. И. О. , подпись, дата). 3 4 5 6 1 К ООО «Ри. К» 2 2 К Flashнакопите ль CD 3 3 К дискета ООО «Ри. К» Иванов И. И. _____________ 28. 02. 2011 Иванов И. И. _______ 28. 02. 2011 ООО «Ри. К» Ведется Администратором безопасности ИСПДн Гриф: Конфиденциально Расписка ответстве Отметка нного за Место об учет в хранения уничтоже обратном МНИ нии МНИ, приеме (номер (подписи, (Ф. И. О. , хранилища. дата). подпись, дата). 7 8 Сейф № 5 9 Отметка об уничтожени и МНИ, стирании информации (номер и дата акта, подпись лица производив шего стирание информации, уничтожени е МНИ). Приме чание 10 11

32. Инструкция по эксплуатации машинных носителей ПДн ПОРЯДОК ОБРАЩЕНИЯ СО СЪЕМНЫМИ НОСИТЕЛЯМИ ПДн Выдачу съемных носителей ПДн и принятие их обратно на хранение с внесением соответствующих записей в «Журнал учета машинных носителей ПДн» осуществляет Администратор безопасности ИСПДн. Съемные носители ПДн, использующиеся для временного или постоянного хранения ПДн, должны быть маркированы. Запрещается передача съемных носителей ПДн третьим лицам, без предварительного внесения соответствующей записи в журнал учета машинных носителей ПДн, в колонке «Примечание» , информации о третьем лице, которому будет передан носитель ПДн. Запрещается переносить на съемные носители информацию, не связанную с выполнением должностных обязанностей. Запрещается записывать и хранить ПДн на неучтенных носителях информации. Не допускается бесконтрольно оставлять съемные носители ПДн или передавать на хранение другим лицам. О факте утраты съемных носителей ПДн необходимо немедленно сообщить Администратору безопасности ИСПДн. На утраченные носители ПДн составляется Акт. Соответствующие отметки вносятся в журнал учета машинных носителей ПДн.

32. Инструкция по эксплуатации машинных носителей ПДн ПОРЯДОК УНИЧТОЖЕНИЯ НОСИТЕЛЕЙ ПДн Должна быть создана Комиссия по уничтожению как минимум из трёх человек. В состав комиссии должен входить Администратор безопасности ИСПДн, Ответственный за обработку ПДн той ИСПДн, чьи съемные носители ПДн подлежат уничтожению, третий член комиссии – на усмотрение руководителя Учреждения. Уничтожение съемных носителей ПДн необходимо производить механическими способами, исключающими возможность последующего восстановления информации с этих носителей. По результатам уничтожения пришедших в негодность съемных носителей ПДн составляется Акт об уничтожении съемных носителей ПДн хранится постоянно, в подразделении, в котором хранились уничтоженные съемные носители ПДн.

Информационные системы, Неавтоматизированная обработка ПДн обрабатывающие данные 1. Обработка персональных данных, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в ИСПДн либо были извлечены из нее. Требования к организации неавтоматизированной обработке ПДн установлены в ПП РФ N 687 от 15 сентября 2008 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

Организация хранения бумажных носителей ПДн Должен быть документально закреплен перечень помещений, где хранятся бумажные носители ПДн, перечень сотрудников имеющих доступ в эти помещения а также перечень сотрудников имеющих доступ к бумажным носителям ПДн. Доступ в места хранения документов, содержащие персональные данные должен быть ограничен: помещение должно запираться на ключ и сдаваться под охрану (или опечатывание), должно быть оснащено средствами пожарной и охранной сигнализации).

Список помещений, в которых разрешена обработка ПДн № п/п Наименование подразделения 1. Бухгалтерия 2. Отдел кадров Номер кабинета Адрес 11 644001, Россия, г. Омск, ул. Омская, д. 5, 1 этаж 21 644001, Россия, г. Омск, ул. Омская, д. 5, 2 этаж Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.

Список лиц, имеющих право доступа в помещения, где ведется обработка ПДн № п/п ФИО Сидоров 1. Сергей Сергеевич Кадров 2. Анатолий Анатолиевич Подкадров 3. Василий Васильевич Должность Главный бухгалтер Начальник отдела кадров Специалист отдела кадров Номер кабинета Адрес 11 644001, Россия, г. Омск, ул. Омская, д. 5, 1 этаж 21 644001, Россия, г. Омск, ул. Омская, д. 5, 2 этаж Присутствие иных лиц допустимо при условии нахождения в кабинете сотрудников, имеющих право доступа в данное помещение. Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.

Список лиц, имеющих право доступа к бумажным носителям ПДн № ФИО п/п 1. Сидоров Сергей Сергеевич Должность Главный бухгалтер 2. Кадров Анатолий Анатолиевич Начальник отдела кадров 3. Подкадров Василий Васильевич Специалист отдела кадров Список утверждается Руководителем, можно сделать как приложение к Положению об обработке ПДн.

Организация хранения бумажных носителей ПДн Документы, содержащие персональные данные, должны храниться отдельно от остальных документов в сейфах или шкафах запираемых на ключ. Нельзя хранить в одном месте персональные данные цели обработки которых различны. Например, в медучреждениях нельзя хранить в одном сейфе личные дела сотрудников и медицинские карты пациентов.

Организация хранения бумажных носителей ПДн

Организация хранения бумажных носителей ПДн Сотрудники, работающие с документами, содержащими персональные данные должны быть ознакомлены с порядком обработки ПДн. Для этого разрабатывается «Инструкция по обработке персональных данных без использования средств автоматизации» . Необходимо ознакомить с ней работников, имеющих право доступа к бумажным носителям ПДн под роспись.

Инструкция по обработке ПДн без использования средств автоматизации Правила обращения с бумажными носителями персональных данных ПДн могут содержаться только в документах, типовые формы которых предусмотрены для данного подразделения и в объеме, предусмотренном этими типовыми формами. Не допускается бесконтрольно оставлять бумажные носители ПДн или передавать их на хранение другим лицам. Бумажные носители ПДн по завершении работы с ними должны быть помещены на прежнее место.

Инструкция по обработке ПДн без использования средств автоматизации Меры по обеспечению конфиденциальности персональных данных Лица, не включенные в список лиц, имеющих право доступа в кабинеты, не должны оставаться одни в помещении. О факте утраты носителей информации, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению ПДн, немедленно сообщить Ответственному за обработку и обеспечение безопасности ПДн в Организации.

Инструкция по обработке ПДн без использования средств автоматизации Требования к оформлению бумажных носителей, предполагающих или допускающих содержание ПДн, хранящиеся на материальном носителе, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков). При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее – типовая форма), должны соблюдаться след. условия: типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки; типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку ПДн; типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн; типовая форма не должны содержать ПДн, цели обработки которых заведомо не совместимы; в типовых формах не должно быть полей, которые предполагают наличие в них ПДн, но никогда не заполняются.

Инструкция по обработке ПДн без использования средств автоматизации Правила хранения бумажных носителей ПДн: Хранение бумажных носителей ПДн допускается исключительно в контейнерах бумажных носителей (папки, подшивки), способами, позволяющими в кратчайший срок определить места хранения требующихся ПДн. Правила внесения уточнений в ПДн, содержащихся на бумажных носителях: Внесение уточнений в ПДн, содержащихся на бумажных носителях ПДн, производится посредством вычеркивания или вымарывания ПДн с применением пасты -штрих с последующей росписью субъекта этих ПДн. Если внесение уточнений не позволяют технические особенности бумажного носителя ПДн, то этот носитель передается субъекту ПДн, а вместо него изготавливается новый бумажный носитель с уточненными ПДн. Защита ПДн от утечки по видовым каналам: При возникновении угрозы просмотра ПДн посторонними лицами, необходимо прекратить обработку ПДн, а бумажные носители разместить таким образом, чтобы был исключен просмотр с них информации. В помещениях, в которых допустимо постоянное пребывание посторонних лиц, необходимо контролировать, чтобы такие лица находились за огораживающими стойками, отделяющими посторонних лиц от сотрудников, обрабатывающих ПДн.

IV. Проектирование и реализация системы защиты персональных данных Разработка технического проекта СЗПДн Разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями Внедрение средств защиты информации Реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации (настройка средств защиты информации)

Реализация требований к СЗПДн № Требование по Приказу № 58 к ИСПДн класса К 3 при многопользовательском Средства, обеспечивающие п/п режиме обработки персональных данных и разных правах доступа выполнение требований 1. ПОДСИСТЕМА УПРАВЛЕНИЯ ДОСТУПОМ 1. 1. Идентификация и проверка подлинности пользователя при входе в систему по Механизмы идентификации и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых аутентификации: символов - ОС - СЗИ от НСД 2. ПОДСИСТЕМА РЕГИСТРАЦИИ И УЧЕТА 2. 1 Регистрация входа (выхода) пользователя в систему (из системы) либо регистрация Механизмы аудита безопасности: загрузки и инициализации операционной системы и ее программного останова. - ОС Регистрация выхода из системы или останова не проводится в моменты - СЗИ от НСД аппаратурного отключения информационной системы. В параметрах регистрации указываются: дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа; 2. 2. Реализуется с помощью организационнораспорядительных мероприятий. Как правило ведется «Журнал учета Учет всех защищаемых носителей информации с помощью их маркировки и машинных носителей» ), в котором занесение учетных данных в журнал учета с отметкой об их выдаче (приеме) регистрируются все машинные носители информации ИСПДн, а также их выдача.

Реализация требований к СЗПДн № п/п 3. Требование по Приказу № 58 к ИСПДн класса К 3 при многопользовательском режиме обработки персональных данных и разных правах доступа Средства, обеспечивающие выполнение требований ПОДСИСТЕМА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ 3. 2. Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации Механизм контроля целостности в СЗИ от НСД. Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения. Контроль целостности основных конфигурационных файлов ОС обеспечивается механизмом контроля целостности СЗИ от НСД. 3. 3. Физическая охрана информационной системы (устройств и носителей информации), Реализуется с помощью организационнопредусматривающая контроль доступа в помещения информационной системы посторонних распорядительных мероприятий. лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; 3. 4. Периодическое тестирование функций системы защиты персональных данных при Механизмы тестирования СЗИ от НСД, изменении программной среды и пользователей информационной системы с помощью тест- специальные программы тестирования программ, имитирующих попытки несанкционированного доступа; (Ревизор 2) 3. 5. наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности Применение средства резервного копирования и аварийного восстановления информации, напр. Acronis Backup & Recovery 10 Advanced Workstation

Реализация требований к СЗПДн № п/п 4. Требование по Приказу № 58 к ИСПДн класса К 3 при многопользовательском Средства, обеспечивающие режиме обработки персональных данных и разных правах доступа выполнение требований ПОДСИСТЕМА МЕЖСЕТЕВОГО ЭКРАНИРОВАНИЯ 4. 1 Фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов); 4. 2 Идентификация и аутентификация администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условнопостоянного действия Регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана); Контроль целостности своей программной и информационной части 4. 3 4. 4 4. 5 Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств 4. 6 Восстановление свойств межсетевого экрана после сбоев и отказов оборудования 4. 7 Регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления Межсетевые экраны, сертифицированные ФСТЭК/ФСБ России по 4 классу защищенности согласно РД Гостехкомиссии «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

Реализация требований к СЗПДн № Требование по Приказу № 58 к ИСПДн класса К 3 при многопользовательском Средства, обеспечивающие п/п режиме обработки персональных данных и разных правах доступа выполнение требований 5. ПОДИСИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ 5. 1 Анализ защищенности проводится для распределенных информационных систем и информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) анализа защищенности. Применение сертифицированных ФСТЭК РФ средств анализа защищенности 5. 2 Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационной системы, которые могут быть использованы нарушителем для реализации атаки на систему 6. 6. 1 ПОДСИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ Обнаружение вторжений проводится для информационных систем, подключенных к сетям международного информационного обмена, путем использования в составе информационной системы программных или программно-аппаратных средств (систем) обнаружения вторжений. Применение сертифицированных ФСТЭК РФ средств обнаружения вторжений (IDS). Некоторые МСЭ имеют встроенные IDS (напр. Vip. Net Personal Firewall).

V. Средства защиты ПДн Выделяют следующие средства защиты ИСПДн: 1. Средства антивирусной защиты информации; 2. Средства межсетевого экранирования; 3. Средства защиты информации от НСД; 4. Средства анализа защищённости и выявления уязвимостей; 5. Системы обнаружения вторжений (IDS); 6. Средства криптографической защиты информации (СКЗИ). Все средства защиты ПДн должны иметь сертификат соответствия ФСТЭК/ФСБ РФ требованиям по безопасности информации. Реестр сертифицированных средств защиты находится на официальном сайте ФСТЭК по адресу: http: //www. fstec. ru/_doc/reestr_sszi/_reestr_sszi. xls информации

Обоснование необходимости применения сертифицированных СЗИ п. 3 часть 2 ФЗ-152 «О персональных данных» от 27 июля 2006 г. Обеспечение безопасности персональных данных достигается применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. п. 5 Постановления Правительства РФ № 781 от 17 ноября 2007 г. «Об утверждении Положения об обеспечении безопасности ПДн…» Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. п. 6 Постановления Правительства РФ № 330 от 15 мая 2010 г. (ДСП) «Об особенностях оценки соответствия…» ) Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). п. 2. 16 Специальных требований и рекомендации по технической защите конфиденциальной информации (СТР-К) от 30. 08. 2002 (ДСП) Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации.

Когда применять СКЗИ? в случае если ИСПДн – территориально распределенная т. е. при передаче ПДн через незащищенные каналы связи между удаленными филиалами и головным офисом. решение о необходимости защиты ПДн в ИСПДн с использованием СКЗИ принимается оператором в случае если существуют угрозы от потенциального нарушителя, а безопасность хранения и обработки не может быть гарантированно обеспечена другими СЗИ.

Порядок применения СКЗИ При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных с использованием СКЗИ оператор должен осуществлять: установку и ввод в эксплуатацию СКЗИ в соответствии с эксплуатационной и технической документацией на эти средства; проверку готовности СКЗИ к использованию с составлением заключений о возможности их эксплуатации; обучение лиц, использующих СКЗИ, работе с ними; поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним; учет лиц, допущенных к работе с криптосредствами, предназначенными для обеспечения безопасности ПДн в ИСПДн (пользователей криптосредств); контроль над соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним; разбирательство и составление заключений по фактам нарушения условий хранения и использования криптосредств, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

Нормативные документы ФСБ по организации криптографической защиты информации в ИСПДн Приказ ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» . (Положение ПКЗ-2005) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн № 149/6/6 -622, утв 21. 02. 2008 г. Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации. № 149/54 -144, утв. 21. 02. 2008 г.

Методические рекомендации ФСБ 7 типов нарушителей (от H 1 до H 6), обладающими разными возможностями на получение НСД к защищаемой информации (персональным данным); для нейтрализации возможностей нарушителя используются используется определенный класс СКЗИ (КС 1, КС 2, КС 3, КВ 1, КВ 2, КА 1). Для каждой распределенной ИСПДн необходимо: оценить возможности потенциального нарушителя, определить его тип согласно «Методическим рекомендациям» ; перекрыть возможности потенциального нарушителя, используя в составе системы защиты СКЗИ определенного класса.

Методические рекомендации ФСБ Уровни криптографической защиты персональных данных, не содержащих сведений, составляющих государственную тайну (классы криптосредств) КС 1 КС 2 КС 3 КВ 1 КВ 2 КА 1 Встраивание криптосредств осуществляется Тип нарушителя (Hi) без контроля только под контролем ФСБ РФ Н 1 Н 2 Н 3 Н 4 Н 5 Н 6 Нарушители типа Н 1 могут использовать штатные средства только в том случае, если они расположены за пределами контролируемой зоны. Нарушители типа Н 1 и Н 2 располагают только доступными в свободной продаже аппаратными компонентами криптосредства и СФК. Возможности нарушителей типа Н 2 -Н 6 по использованию штатных средств зависят от реализованных в информационной системе организационных мер Дополнительные возможности нарушителей типа Н 3 -Н 5 по получению аппаратных компонент криптосредства и СФК зависят от реализованных в информационной системе организационных мер. Нарушителям типа Н 3 - Н 6 могут быть известны все сети связи, работающие на едином ключе. Возможен сговор нарушителей Нарушители типа Н 4 -Н 6 могут проводить лабораторные исследования криптосредств, используемых за пределами контролируемой зоны информационной системы. Нарушители типа Н 5 - Н 6 располагают наряду с доступными в свободной продаже документацией на криптосредство и СФК исходными текстами прикладного программного обеспечения. Нарушители типа Н 5 и Н 6 могут ставить работы по созданию способов и средств атак в научноисследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК. Нарушители типа Н 6 располагают любыми аппаратными компонентами криптосредства и СФК. Нарушители типа Н 6 располагают всей документацией на криптосредство и СФК

Методические рекомендации ФСБ Встраивание СКЗИ класса КС 1 и КС 2 осуществляется без контроля со стороны ФСБ (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы). Встраивание СКЗИ класса КС 3, КВ 1, КВ 2 и КА 1 осуществляется только под контролем со стороны ФСБ. Встраивание СКЗИ класса КС 1, КС 2 или КС 3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России. Встраивание криптосредства класса КВ 1, КВ 2 или КА 1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.

Сертификация средств защиты информации Документ РД ФСТЭК, на основании которого проводится сертификация СЗИ Средства вычислительной техники (СВТ). Защита от несанкционированного доступа к информации (НСД). Показатели защищенности от НСД к информации. Автоматизированные системы (АС). Защита от НСД к информации. Классификация АС и требования по защите информации. Средства вычислительной техники. Межсетевые экраны (МСЭ). Защита от НСД к информации. Показатели защищенности от НСД к информации. Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ). Технические условия К 1 К 2 К 3 Что подлежит сертификации* 5 5 5 СЗИ от НСД 1 Г 1 Д 1 Д АВ, МСЭ, СЗИ от НСД, СОВ 3 4 4 МСЭ 4 (4) АВ, МСЭ, СЗИ от НСД, СОВ Любое СЗИ РД «Безопасность информационных технологий. ОУД 3 ОУД 1, Любое СЗИ Критерии оценки безопасности информационных ОУД 2 технологий» *АВ – Антивирусные средства, МСЭ – межсетевые экраны, СЗИ от НСД – средства защиты от несанкционированного доступа, СОВ – системы обнаружения вторжений, СЗИ – средства защиты информации, ОУД – оценочный уровень доверия

Правила поставки сертифицированных продуктов В комплект сертифицированных ФСТЭК/ФСБ версий ПО должно входить: компакт-диск с установочным дистрибутивом продукта; формуляр на ПО с указанием контрольных сумм; копия сертификата соответствия ФСТЭК/ФСБ России на ПО, заверенная синей печатью продавца (иногда предоставляются распечатки); упаковочная коробка, промаркированная голографическим специальным знаком соответствия ФСТЭК/ФСБ России (голографический знак также может быть нанесен на формуляр).

Антивирусные средства В составе системы защиты ИСПДн любых классов должны применяться сертифицированные ФСТЭК РФ антивирусные средства. Сертификация Антивирусных средств проводится на основании РД ФСТЭК «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» и ТУ.

Антивирусные средства Первый уровень контроля достаточен для ПО, используемого при защите информации с грифом «ОВ» . Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «CC» . Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «C» . Четвертый уровень контроля достаточен для ПО, используемого при защите конфиденциальной информации (НДВ-4).

Антивирусные средства Название: Dr. Web Enterprise Suite 5. 0, Dr. Web для раб. станций Windows 5. 0, Dr. Web для файл. серверов Windows 5. 0 Стоимость лицензии на 1 год: для рабочих станций – 990 руб. /1 РС для файловых серверов – 6500 руб. /1 ФС Стоимость сертиф. дистрибутива: 900 руб. Сертификат: ФСТЭК № 2012 (действителен до 14. 01. 2013) НДВ-2 и ТУ 5090 -10572110450 -2009

Сертифицированный комплект Dr. WEB «Малый бизнес» Состав комплекта: Dr. Web для рабочих станций – для 5 р/ст. ; Dr. Web для файловых серверов – для 1 ФC; центр управления Dr. Web Enterprise Suite; сертифицированные дистрибутивы на DVD; формуляр с указанием значений контрольных сумм; голографическая наклейка ФСТЭК России, наклеенная на формуляр. Срок действия лицензий - 1 год. Стоимость комплекта: 4990 руб. Сертификат: ФСТЭК № 2012 (действителен до 14. 01. 2013) НДВ-2 и ТУ 5090 -10572110450 -2009

Межсетевые экраны Название: Vi. PNet Personal Firewall 3. 1 Стоимость лицензии на 1 год : 2500 руб. Стоимость сертиф. дистрибутива: 500 руб. Сертификат: ФСБ России №СФ/115 -1285 от 27. 02. 2009 (действителен до 20. 12. 2011) Изделие Vi. PNet Personal Firewall удовлетворяет требованиям ФСБ к устройствам типа межсетевые экрана 4 класса защищенности (МСЭ-4).

Межсетевые экраны Название: User. Gate Proxy & Firewall 5. 2. F Стоимость лицензии на 1 год : Стоимость сертиф. дистрибутива: Сертификат: ФСТЭК № 2076 от 19. 04. 2010 (действителен до 19. 04. 2013) имеет оценочный уровень доверия ОУД 2 в соответствии с РД "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» , соответствует требованиям руководящих документов – по 4 классу защищенности для МЭ (МСЭ-4), по 4 уровню контроля НДВ (НДВ-4), при создании АС до класса защищенности 1 Г и ИСПДн до 1 класса включительно.

Средства защиты от НСД Название: Сертификация Windows Microsoft Windows XP Professional SP 2/SP 3 Стоимость: базовый пакет – 1350 рублей; полный пакет – 2870 рублей. Сертификат: ФСТЭК № 844/2 (действителен до 3. 12. 2013): ОУД-1 ФСТЭК № 844/3 (действителен до 3. 12. 2011): ОУД-1, АС 1 Г

Средства защиты от НСД Состав полного пакета сертификации MS Windows XP Pro: 1. Верифицированный установочный комплект ПО. 2. Бессрочный абонемент на получение сертифицированных online-обновлений поставляемых ПП. 3. Техническая поддержка (информационные и консультационные услуги) поставляемых ПП. 4. Формуляр на сертифицируемое ПО. 5. Копии Сертификатов ФСТЭК России на поставляемое ПО, заверенные печатью Поставщика. 6. Формуляр на программу контроля сертифицированной версии ПО Check. 7. Медиа-Кит (CD-диск), содержащий: Программу контроля сертифицированной версии ПО; Руководство по безопасной настройке и контролю сертифицированного ПО; Руководство по получению сертифицированных обновлений; Дистрибутив программного модуля e. Token Network Logon (32 -bit) для реализации усиленной строгой двухфакторной аутентификации пользователей; Драйверы и утилиты для USB-ключей e. Token, а также руководства по установке, настройке и работе с ними; Набор информационных материалов по сертифицированному ПО. 8. Лицензии на право использования Программы контроля сертифицированного ПО, приобретаются по количеству рабочих мест, на которых установлено сертифицированное ПО. 9. Сертифицированные USB-ключи e. Token PRO для усиленной аутентификации пользователей (дополнительной защиты от НСД), приобретаются по количеству пользователей. 10. Сертифицированный USB-ключ e. Token PRO с записанным цифровым сертификатом для получения сертифицированных обновлений (для доступа к доверенной части сайта).

Порядок сертификации Windows 1. У клиента должна быть лицензия на право использования MS Windows (ранее купленная OEM или OLP-лицензия) и дистрибутив продукта на оригинальном CD/DVD носителе, который в дальнейшем необходимо сертифицировать. 2. Сертификационными испытаниями в России занимается компания – ЗАО «АЛТЭКС-СОФТ» , г. Москва, через своих партнеров в регионах, по срокам сертификация займет – около месяца. 3. Предоставить компании-партнеру ЗАО «АЛТЭКС-СОФТ» , занимающейся сертификацией ПО Майкрософт лицензию на Windows, дистрибутив, заявку с указанием количества сертифицируемых лицензий. 4. Оплатить счет.

Средства защиты от НСД Название: сертифицированный дистрибутив « 1 С: Предприятие, версия 8. 2» - программное средство общего назначения со встроенными средствами защиты информации от НСД. Режим совместимости с версиями 8. 0 и 8. 1 позволяет использовать версию 1 С 8. 2 с конфигурациями, разработанными для версий 8. 0 и 8. 1 без изменения самих конфигураций. Стоимость комплекта: 10 000 руб. (x 32), 30 000 руб. (x 86) (лицензия должна быть куплена заранее) Сертификат: ФСТЭК № 2137 от 20. 07. 2010 г. СВТ-5, НДВ-4, АС 1 Г, ИСПДн К 1.

Средства защиты от НСД Название: e. Token 5 e. Token PRO, e. Token PRO Anywhere, e. Token NG-FLASH (Java), e. Token NG-OTP, e. Token NG-OTP (Java), e. Token GT Стоимость: 1320 руб. / 1 шт. Сертификат: ФСТЭК № 1883, действителен до 11. 08. 2012 ОУД-2, НДВ-4, АС 1 Г, ИСПДн К 1.

Журнал учета программно-электронных ключей Дата ФИО № регистрации программировавшего п/ или выдавшего п выдачи ключ 1 1. 2. 3. 4. 2 3 ФИО пользователя Вид операции Роспись пользов ателя Примечание 4 5 6 7 11. 05. 2011 Админский А. А. Программир ование № идентификатора 279277061 A 04 11. 05. 2011 Админский А. А. Выдача № идентификатора 279277061 A 04 11. 05. 2011 Петров П. П. Программир ование № идентификатора 693 F 05561490 11. 05. 2011 Петров П. П. Выдача № идентификатора 693 F 05561490 Ведется Администратором безопасности ИСПДн Гриф: Конфиденциально

Средства защиты от НСД Название: Secret Net версия 5. 1 (авт. вариант), версия 6 (вариант К) Стоимость одной лицензии (бессрочная): 6800 руб. Стоимость сертиф. дистрибутива: 280 руб. Сертификат: 5. 1. : ФСТЭК № 1912 (действ. до 17. 09. 2012), НДВ-2, СВТ-3, для АС 1 Б и в ИСПДн К 1 включительно. 6 (Вариант К): ФСТЭК № 2227 (действ. до 3. 12. 2013) : НДВ -4, СВТ-5, для АС 1 Г и ИСПДн К 1 включительно.

Средства защиты от НСД Название: Блокхост-Сеть Стоимость одной лицензии (на 3 года): 4000 руб. Стоимость сертиф. дистрибутива: 700 руб. Сертификат: ФСТЭК № 1517 (действ. до 30. 11. 2012): НДВ-3. ФСТЭК № 1351 (действ. до 2. 03. 2013) : СВТ-3.

Система анализа защищенности и выявления уязвимостей в TCP/IP сетях Название: Ревизор Сети 2. 0 Стоимость лицензии на 1 год: на 5 IP-адресов (минимум): 5000 руб. на 10 IP-адресов: 9275 руб. Стоимость сертиф. дистрибутива: 700 руб. Сертификат: ФСТЭК № 1455 до 05 сентября 2013 г Объектами исследования сетевого сканера являются ПЭВМ, сервера, коммутационное оборудование, межсетевые экраны и другие узлы сети, имеющие IP-адреса. Поставка сетевого сканера "Ревизор Сети" осуществляется в рамках лицензии на ограниченное количество IP-адресов. В комплект включены электронные ключи Guardant для USB или LPT портов.

Система анализа защищенности и выявления уязвимостей в TCP/IP сетях Название: X-Spider 7. 7 Стоимость лицензии на 1 год: на 4 хоста (минимум): 9000 руб. на 8 хостов: 15040 руб. Стоимость сертиф. дистрибутива: 700 руб. Сертификат: ФСТЭК № 2143 от 28 июля 2010 г. Программное средство сетевого аудита, предназначенное для поиска уязвимостей на серверах и рабочих станциях. XSpider позволяет обнаруживать уязвимости на компьютерах, работающих под управлением различных ОС: AIX, Solaris, Unix-системы, Windows. Сама программа работает под управлением MS Windows (95/98/Millenium/NT/2000/XP/. NET).

Средства криптографической защиты информации (СКЗИ) Название: Vi. PNet Custom 3. 1 Производитель: ОАО «Инфо. Те. КС» Описание: предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей; и нацелен на решение двух важных задач информационной безопасности: - создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, телефонные и телеграфные линии связи и т. п. ), путем организации виртуальной частной сети ( VPN ). - развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное ПО заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины). Базовыми компонентами Vi. PNet CUSTOM является ПО Vi. PNet Administrator, Vi. PNet Coordinator (в разных вариантах исполнения) и Vi. PNet Client. Эти компоненты являются основой для развертывания виртуальной частной сети и инфраструктуры открытых ключей.

Средства криптографической защиты информации (СКЗИ) Сертификаты соответствия: Программный комплекс «Vi. PNet Координатор КС 3, версия 3. 1» ФСБ № СФ/515 -1693 (действителен до 15. 05. 2014): МСЭ-4 ФСБ России № СФ/124 -1567 (действителен до 06. 11. 2013): КС 3 Программно-аппаратный комплекс «Удостоверяющий центр корпоративного уровня Vi. PNet» ФСБ России №СФ/128 -1269 (действителен до 01. 2012): по треб. к ИБ УЦ класса КС 3. ФСБ России №СФ/128 -1269 (действителен до 01. 2012): по треб. к ИБ УЦ класса КС 2. Программный комплекс «Vi. PNet Клиент КС 3, версия 3. 1» ФСБ России № СФ/515 -1692 (действителен до 15. 05. 2014): МСЭ-4 ФСБ России № СФ/124 -1566 (действителен до 06. 11. 2013): КС 3 Программный комплекс «Vi. PNet Клиент КС 2, версия 3. 1» (вариант комплектации 1 и 2) ФСБ России № СФ/515 -1465 (действителен до 01. 07. 2012): МСЭ-4 ФСБ России № СФ/114 -1466 (действителен до 09. 05. 2013): КС 1, КС 2 (для варианта 2) ФСБ России № СФ/515 -1467 (действителен до 01. 07. 2012): МСЭ-4 Программный комплекс Vi. PNet CUSTOM 3. 1 ФСТЭК России № 1549/1 (действителен до 26. 05. 2013): МСЭ-3, НДВ-3, ОУД 4+.

Средства криптографической защиты информации (СКЗИ) Название: АПКШ «Континент» версия 3. 5 Производитель: ООО «Код Безопасности» Описание: аппаратно-программный комплекс шифрования «Континент» 3. 5 является средством построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP. АПКШ «Континент» 3. 5 обладает всеми необходимыми возможностями, чтобы обеспечить: объединение через Интернет локальных сетей предприятия в единую сеть VPN; подключение удаленных и мобильных пользователей к VPN по защищенному каналу; разделение доступа между информационными подсистемами организации; организация защищенного взаимодействия со сторонними организациями; безопасное удаленное управление маршрутизаторами. Сертификаты соответствия: ФСБ России № СФ/124– 1503 (действителен до 01. 05. 2012): КС 2 (исполнения 1, 3) ФСБ России № СФ/124– 1473 (действителен до 09. 05. 2013): КС 2 (исполнения 2, 4) ФСБ России № СФ/124– 1474 (действителен до 08. 06. 2012): КС 2 (исполнения 5, 6) ФСБ России № СФ/525– 1462 (действителен до 10. 02. 2013): МСЭ-4 ФСТЭК России № 1905 (действителен до 10. 09. 2012): НДВ-3, МСЭ-3, АС 1 В, ИСПДн К 1 ГОСТ Р (РОСТЕСТ) № 0351924 (действителен до 01. 12. 2011): ГОСТ Р МЭК 60950 -12005; ГОСТ Р 5131822 -99; ГОСТ Р 51318. 24 -99; ГОСТ Р 51317. 3. 2 -2006 (Разд. 6. 7. )

Средства криптографической защиты информации (СКЗИ) Название: СКЗИ «Континент-АП» версия 3. 5 Производитель: ООО «Код Безопасности» Описание: программный VPN клиент, позволяющий удаленному пользователю установить защищенное соединение с Сервером Доступа АПКШ "Континент". В тех случаях, когда в удаленном офисе работает всего 1 -2 сотрудника и по каким то причинам установка АПКШ Континент нецелесообразна, возможно защищенное подключение АРМ к ресурсам автоматизированной системы предприятия с помощью программного VPN клиента Континент-АП. Обеспечение возможности защищенного подключения к информационным ресурсам предприятия для мобильных сотрудников. На ноутбуки мобильных сотрудников может быть установлен программный VPN клиент Континент-АП. Сертификаты соответствия: ФСБ России № СФ/124 -1504 (действителен до 01. 05. 2012): КС 1 (исп. 1), КС 2 (исп. 2) ФСБ России № СФ/124 -1475 (действителен до 08. 06. 2012): КС 1 (исп. 3) ФСБ России № СФ/124 -1476 (действителен до 08. 06. 2012): КС 2 (исп. 4) ФСБ России № СФ/525– 1463 (действителен до 10. 02. 2013): МСЭ-4 ФСТЭК России № 1650 (действителен до 23. 07. 2014): НДВ-4, МСЭ-4

Журнал учета СКЗИ – стр. 1 Отметка о получении № п/п Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов Номера экземпляров (криптографические номера) ключевых документов 1 2 3 4 1 Лицензия Vi. PNet Client 3. x(КС 2) 1234 -5678 -90123456789 1 586 A-009 XXX 1 CD-диск Vi. PNet Client КС 2 2 3 Формуляр Клиент КС 2 ФРКЕ. 00004 -04 30 01 ФО - Копия сертификата соотв. ФСБ № СФ/515 -1465 - От кого получены Дата и номер сопроводительного письма Ф. И. О. пользователя СКЗИ Дата и расписка в получении 5 6 7 8 Иванов И. И. ООО «Ри. К» 1 4 Отметка о выдаче 1 8. 08. 2011 № 222 К Иванов И. И. Ведется Администратором безопасности ИСПДн Гриф: Конфиденциально

Журнал учета СКЗИ – стр. 2 Отметка об изъятии СКЗИ из аппаратных средств, уничтожении ключевых документов Отметка о подключении (установке) СКЗИ Ф. И. О. сотрудников органа криптографической защиты, пользователя СКЗИ, произведших подключение (установку) Дата подключения (установки) и подписи лиц, произведших подключение (установку) Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ Дата изъятия (уничтожения) 9 10 11 12 13 14 15 Админский А. А. 9. 08. 2011 С CD-диска Установлен Vi. PNet Client КС 2 Админский А. А. 9. 08. 2011 ПЭВМ RT № 123456 Ф. И. О. сотрудников органа криптографической Номер акта защиты, или пользователя расписка об СКЗИ, произведших уничтожении изъятие (уничтожение) Примечание Ведется Администратором безопасности ИСПДн Гриф: Конфиденциально

VI. Комплексные решения по защите ПДн Вариант системы защиты локальной ИСПДн класса К 3

Исходные данные об ИСПДн В организации имеется две ИСПДн: 1. ИСПДн « 1 С Бухгалтерия 7. 7» : 2 -х ПЭВМ в составе ЛВС; класс К 3, локальная, с подключением к сети Internet. 2. ИСПДн « 1 С Кадры 8. 1» : 1 ПЭВМ в составе ЛВС; класс К 3, локальная, с подключением к сети Intеrnet. Базы с персональными данными хранится на сервере.

Исходные данные об ИСПДн

Пример реализации СЗПДн

Расчет стоимости СЗИ Наименование СЗИ Колво Цена за 1 Стоимость, шт. , руб. ** Сертифицированный комплект Dr. WEB «Малый бизнес» (для 5 раб. /ст. и 1 сервера) 1 4990** 4990 Межсетевой экран «Vi. PNet Personal Firewall 3. 1» 4 3 000** 12 000 Средство защиты от несанкционированного доступа «Secret Net 5. 1» 4 7 000** 28 000 Электронный ключ «E-Token» для усиленной аутентификации 8* 1 320 10 560 Система анализа защищенности TCP/IP сетей «Ревизор 2. 0» на 5 IP-адресов. 1 5 700** 5 700 ИТОГО 61 250 * - кол-во идентификаторов подбирается исходя из общего числа пользователей; ** - в стоимость СЗИ включена стоимость Сертифицированных дистрибутивов; Сроки лицензий: Dr. Web – 1 год, Vi. PNet – бессрочная, Secret Net – бессрочная, Ревизор сети – 1 год.

Вариант защиты сети передачи данных на примере головного офиса и филиалов (огромное кол-во территориально-разнесенных ПК, сосредоточенных в небольшом кол-ве филиалов)

Исходные данные

Пример реализации ЗСПД

Расчет стоимости ЗСПД Наименование СЗИ Колво Цена за 1 Стоимость, шт. , руб. ** Антивирус «Dr. WEB для рабочих станций 5. 0» N 2000*N Средство защиты от несанкционированного доступа «Secret Net 5. 1» N 7000*N Электронный ключ «E-Token» для усиленной аутентификации 2*N 1320*2*N Vi. PNet Administrator [ПО Центр Управления Сетью и ПО Удостоверяющий и Ключевой Центр] версии 3. х( КС 2) 1 70800 ПО Vi. PNet Coordinator 3. х (КС 2) N 46200*N ПО Vi. PNet Client 3. х (КС 2) N 6018*N ИТОГО: (63858*N+70800) руб. N – кол-во ПЭВМ (раб. станций и серверов), входящих в состав распределенной сети; Сроки лицензий: Dr. Web – 1 год, Vi. PNet – бессрочная, Secret Net – бессрочная.

Вариант защиты сети передачи данных на примере головного офиса и филиалов (небольшое кол-во территориально-разнесенных ПК, расположенных в небольшом кол-ве филиалов)

Пример реализации ЗСПД-2

Расчет стоимости ЗСПД-2 Наименование СЗИ Колво Цена за 1 Стоимость, шт. , руб. ** Антивирус «Dr. WEB для рабочих станций 5. 0» N 2000*N Средство защиты от несанкционированного доступа «Secret Net 5. 1» N 7000*N Электронный ключ «E-Token» для усиленной аутентификации 2*N 1320*2*N 1 161 800 N 5000*N N 250*N АПКШ «Континент» 3. 5. ЦУС - Сервер Доступа. Платформа IPC-100* Право на использование Континент АП (1 доп. подкл. пользователя Континент АП к СД), с правом использования Крипто. Про CSP 3. 6 Установочный комплект. «Континент-АП» версия 3. 5 ИТОГО: (16890*N+161800) руб. (схема актуальна при защите до 10 -15 удаленных ПЭВМ) N – кол-во ПЭВМ (раб. станций и серверов), входящих в состав распределенной сети; Сроки лицензий: Dr. Web – 1 год, Континент АП – бессрочная, Secret Net – бессрочная.

VII. Оценка соответствия ИСПДн требованиям по безопасности информации Декларирование соответствия ИСПДн требованиям по безопасности информации; Аттестация ИСПДн на соответствие требованиям по безопасности информации

Сравнение способов оценки соответствия ИСПДн Аттестация Срок действия аттестата – 3 года Делегирование рисков несоответствия действующему законодательства органу по аттестации (лицензиату ФСТЭК), выдавшему аттестат соответствия Упрощение процедуры проверки со стороны регуляторов Более высокая стоимость Декларирование Ответственность за правильность построения СЗПДн – на том кто проводит Декларирование соответствия законодательно разрешено, но процедура декларирования нигде не определена и не прописана Возможны проблемы при прохождении проверок регуляторов

Аттестация ИСПДн Кто проводит: лицензиат ФСТЭК Основание: программа и методика аттестационных испытаний На каком этапе: ввод в эксплуатацию, аттестационные испытания Документ: Протоколы (НСД, ПЭМИН) аттестационных испытаний Заключение по результатам аттестационных испытаний ИСПДн Аттестат соответствия (сроком на 3 года) Кто несет ответственность: лицензиат ФСТЭК

Аттестация ИСПДн на соответствие требованиям по безопасности информации Подготовка Технического паспорта на ОИ; Разработка программы и методики Аттестационных испытаний (согласование с Заказчиком); Проверка требований по соблюдений организационнорежимных мероприятий и уровню подготовки кадров; Проверка представленной документации на ОИ реальным условиям функционирования ОИ. Проведение испытаний по НСД, контроля защищенности информации, специальных исследований по каналу ПЭМИН (для ИСПДн класса К 1); Заключение по результатам аттестационных испытаний Решение о выдаче Аттестата соответствия

Технический паспорт ИСПДн 1. Общие сведения 1. 1 Наименование объекта: Информационная система персональных данных « 1 С Бухгалтерия 7. 7» ООО «Ри. К» . 1. 2 Расположение объекта: 644001, г. Омск. ул. Омская, д. 1, второй этаж. 1. 3 Частная модель угроз безопасности ПДн в ИСПДн « 1 С Бухгалтерия 7. 7» утверждена 28. 10. 2010 г уч. № 10 К. 1. 4 Класс ИСПДн « 1 С Бухгалтерия 7. 7» : K 3 (акт классификации ИСПДн « 1 С Бухгалтерия 7. 7» уч. № 11 К от 29. 10. 2010 г)

Технический паспорт ИСПДн 2. Состав оборудования ИСПДн 2. 1. Перечень основных технических средств и систем (ОТСС) ИСПДн « 1 С Бухгалтерия 7. 7» представлен в Таблице. № Тип ОТСС п/п 1. Системный блок ПЭВМ «RT» 2. Монитор Samsung Sync. Master 934 N 3. Клавиатура Mitsumi KFK-EA 4 XT 4. Мышь Logitech M-UAE 96 6. Принтер HP Deskjet 1320 7. Сканер Epson Perfection 1670 Заводской (инвентарный) номер 1000017 Размещение 2000017 4000017 Кабинет № 2 5000017 8000002 7000002

Технический паспорт ИСПДн 2. 2. Перечень вспомогательных технических средств и систем (ВТСС) ИСПДн « 1 С Бухгалтерия 7. 7» представлен в Таблице 2. № п/п 1. 2. 3. 4. Тип ВТСС Телефон PANASONIC KX-TS 2361 RUW Кондиционер Electrolux EACS-09 HC Источник бесперебойного питания APC BK 500 EI Сетевой фильтр Pilot-S Заводской (инвентарный) номер 6000002 Размещение 1100002 Кабинет № 2 9000002 1200002

Технический паспорт ИСПДн 2. 3. Перечень программного обеспечения (ПО) ПЭВМ, входящих в состав ИСПДн «Бухгалтерия 7. 7» представлен в Таблице 3. № Тип программного Наименование программы Место установки п/п обеспечения Операционная Microsoft Windows XP Professional (сборка 5. 1. 2600, 1. Service Pack 3) система - 1 С: Предприятие. Бухгалтерский учет 7. 7 (сетевая версия); - Программа архивации данных 7 -Zip 4. 65; - Программа просмотра графических документов формата. pdf Adobe Reader 9. 3. 3; - Check. XML; - Веб-браузер Microsoft Internet Explorer 6. 0. 2900. 5512; ПЭВМ «RT» - Средства разработки документов Microsoft Office № 1000017 Прикладные Standard 2007 (Excel, Outlook, Power Point, Word); 2. - Программа сдачи налоговой отчетности через программы Интернет Контур-Экстерн; - Модуль сдачи налоговой отчетности Контур. Экстерн Лайт; - Программа криптографической защиты данных Крипто. Про CSP 3. 06. 4323; - Программа просмотра и печати бланков ПФР для системы ПУ; - Программа-анкета ФСФР России.

Технический паспорт ИСПДн 2. 4. Перечень средств защиты персональных данных в ИСПДн представлен в Таблице 4. № п/п Наименование и тип технического средства 1. Система защиты информации от НСД «Secret Net 5. 1» (автономный вариант) 2. Антивирусная программа «Dr. WEB для рабочих станций 5. 0» 3. Межсетевой экран «Vi. PNet Personal Firewall 3. 1» 4. Сетевой сканер «Ревизор Сети 2. 0» Заводской номер* KX 68 T 354 7453 PE 9966 84 R 46667 * - заводские номера средств защиты вымышленные Сведения о сертификате Сертификат ФСТЭК № 912 от 17. 09. 2009 (действителен до 17. 09. 2012) Сертификат ФСТЭК № (действителен до) Сертификат ФСБ № СФ/115 -1285 от 27. 02. 2009 (действителен до 20. 09. 2011) Сертификат ФСТЭК № 1455 от 5. 09. 2007 (действителен до 5. 09. 2013) Место установки ПЭВМ «RT» № 1000017

Технический паспорт ИСПДн 3. СВЕДЕНИЯ О СООТВЕТСТВИИ АС ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ 3. 1 Протокол проведения испытаний объекта информатизации Автоматизированная система « 1 С Бухгалтерия 7. 7» на соответствие требованиям по защите от НСД к хранимой и обрабатываемой информации, уч. № ___ от «__» _______ 20__ г. 3. 2 Заключение по результатам аттестации (оценки соответствия) объекта информатизации Автоматизированная система « 1 С Бухгалтерия 7. 7» на соответствие требованиям по безопасности информации № ___ от «__» _______ 20__ г. 3. 3 Аттестат соответствия объекта информатизации Автоматизированная система « 1 С Бухгалтерия 7. 7» требованиям безопасности информации, № ___ от «__» ______ 20__ г.

Технический паспорт ИСПДн 4. Лист регистрации изменений Таблица 5 Порядковый № и дата введения изменений Наименование документа фиксирующего изменения № замененных (исправленных) листов паспорта Подпись лица, внесшего изменения

ВОПРОСЫ

Наши контакты Адрес: 644031, Россия, г. Омск, ул. Звездова 129, корп. 3 Тел. /факс: +7 (3812) 580 -555 Веб-сайт: http: //www. openprime. ru -----------------------------------------Благодарю за внимание!!! -----------------------------------------С уважением, Радюга Дмитрий Леонидович, Начальник отдела ИБ ООО «Прайм» E-mail: rdl@openprime. ru

NB! Запись Вебинара от 12. 08. 2011 можно прослушать по ссылке: http: //training. drweb. com/webinar/ В настоящем Вебинаре приведен подход к защите персональных данных, реализуемый специалистами ООО «Прайм» . Данный подход основан исключительно на опыте реализации проектов нашими специалистами. ООО «Прайм» не несет ответственности за использование Вами представленных здесь материалов, а также за возможные финансовые потери, которые может повлечь использование указанных здесь сведений. Некоторые слайды, представленные в настоящей презентации, нуждаются в пояснениях, рекомендуется слушать Вебинар в записи.