Политика информационной безопасности информационных систем персональных данных

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

САЗ – система анализа защищенности

СВТ – средства вычислительной техники

СЗИ – средства защиты информации

СиЗИ ПДн – система (подсистема) защиты персональных данных

СОВ – система обнаружения вторжений

ТКУ И – технические каналы утечки информации

УБПДн – угрозы безопасности персональных данных

Введение

Политика информационной безопасности  разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Концепции информационной безопасности ИСПД комитета по тарифам и ценам Курской области (далее – Комитет).

В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Комитета.

1.      Общие положения

Целью настоящей Политики является обеспечение безопасности объектов защиты Комитета от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн).

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн

Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

Состав объектов защиты представлен в Перечне персональных данных, подлежащих защите.

2. Область действия

Субъектами настоящей Политики информационной безопасности являются все лица, вовлеченные в организационные и технологические (бизнес) процессы  сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачу), обезличивания, блокирования, уничтожения персональных данных, обрабатываемых ИСПДн Комитета.

3. Система защиты персональных данных

Система защиты персональных данных (СиЗИ ПДн), строится на  основании:

      Отчета о результатах проведения внутренней проверки;

      Перечня персональных данных, подлежащих защите;

      Акта классификации информационной системы персональных данных;

      Модели угроз безопасности персональных данных;

      Разрешительной системы доступа, обрабатываемых в ИСПДн персональных данных;

      Руководящих документов ФСТЭК и ФСБ России.

На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн Комитета. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета о результатах проведения внутренней проверки, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн.

Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн:

      АРМ пользователей;

      Сервера приложений;

      СУБД;

      Граница ЛВС;

      Каналов передачи в сети общего пользования и (или) международного     обмена, если по ним передаются ПДн.

В зависимости от уровня защищенности ИСПДн и актуальных угроз,  СиЗИ ПДн может включать следующие технические средства:

      антивирусные средства для рабочих станций пользователей и серверов;

      средства межсетевого экранирования;

      средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:

      управление и разграничение доступа пользователей;

      регистрацию и учет действий с информацией;

      обеспечение целостности данных;

      обнаружение вторжений.

Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем Комитета или лицом, ответственным за обеспечение защиты ПДн.

4. Требования к подсистемам СиЗИ ПДн

СиЗИ ПДн может включать в себя следующие подсистемы:

1.      Подсистема управления доступом;

2.      Подсистема регистрации и учета;

3.      Подсистема обеспечения целостности;

4.      Подсистема антивирусной защиты;

5.      Подсистема межсетевого экранирования;

6.      Подсистема аудита безопасности;

7.      Подсистема обнаружения вторжений;

8.      Подсистема криптографической защиты;

9.      Подсистема управления процессами обеспечения безопасности;

10. Подсистема защиты информации от утечки по техническим каналам.

Подсистемы СиЗИ ПДн имеют различный функционал в зависимости от

класса ИСПДн, определенного в Акте классификации информационной системы персональных данных.

4.1. Подсистема управления доступом

Подсистема управления доступом предназначена для управления

доступом к объектам доступа и организации совместного их использования зарегистрированными пользователями в соответствии с установленной разрешительной системой доступа. Под посторонними пользователями понимаются все лица, не зарегистрированные в системе (не имеющие зарегистрированного идентификатора). Защита от посторонних пользователей обеспечивается процедурами идентификации (сравнение предъявленного идентификатора с перечнем зарегистрированных) и аутентификации (подтверждение подлинности).

Подсистема управления доступом включает в себя:

      Подсистему контроля и управления доступом в помещения;

      Подсистему физической защиты;

      Подсистему контроля доступа и разграничения полномочий пользователей.

Подсистема контроля и управления доступом в помещения

Контроль и управление доступом в помещения осуществляется с использованием совокупности организационных мероприятий и средств физической защиты - систем инженерно-технических средств охраны объектов.

Подсистема контроля доступа в помещения (ПКДП) должна обеспечивать

выполнение следующих основных функций:

      поддержание дверей в запертом состоянии;

      распознавание «своих» и обеспечение им свободного передвижения;

      распознавание «чужих» и сигнализация о нарушении прав доступа.

Подсистема Физической защиты

Физическая защита объектов осуществляется с целью своевременного обнаружения фактов несанкционированного проникновения на охраняемую территорию, в выделенные помещения, а также для обеспечения сохранности средств информатизации.

Физическая защита охраняемых территории, помещений и средств осуществляется путем реализации организационных мер (организация охраны Комитета).

Основными задачами физической защиты объектов являются:

1.      Реализация организационных мер на объектах по построению и обеспечению функционирования систем охраны.

2.      Ограничение доступа посторонних лиц в здания и помещения, где размещены средства вычислительной техники и коммуникации, на которых обрабатывается (хранится, передается) конфиденциальная информация, непосредственно к самим средствам информатизации и коммуникациям.

В целях обеспечения комплексной безопасности информации физической защите подлежат следующие объекты ИСПДн:

      помещения, в которых установлены серверы баз данных (электронные             архивы) и коммуникационные серверы («серверные») – в случае, когда они устанавливаются в отдельном помещении; помещения с автоматизированными рабочими местами, обрабатывающими ПДн.

      помещения, в которых хранятся носители информации («хранилища»);

      узлы связи;

      коммуникации ИСПДн;

      системы электропитания (автономные источники электропитания).

Подсистема контроля доступа и разграничения полномочий пользователей

Подсистема контроля доступа и разграничения полномочий пользователей (ПКДРП) предназначена для управления доступом к объектам доступа и организации совместного их использования зарегистрированными пользователями в соответствии с установленными правилами разграничения доступа.

ПКДРП обеспечивает выполнение следующих функций:

      идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

      идентификация терминалов, компьютеров, узлов сети ИСПДн, каналов связи, внешних устройств компьютеров по логическим именам и (или) адресам;

      контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

      управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.

Реализация функций ПКДРП обеспечивается:

      идентификацией и аутентификацией субъектов доступа;

      контролем доступа субъектов к защищаемым объектам в соответствии с правами и правилами доступа.

В состав ПКДРП могут входить:

Модуль контроля доступа

Функциональное предназначение:

Для ИСПДн класс 3 , класс 2, класс 1 (при однопользовательском режиме обработки ПДн)

      идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Для ИСПДн класс 3 , класс 2 (при многопользовательском режиме обработки ПДн и равных правах доступа к ним пользователей):

      идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Для ИСПДн класс 3 , класс 2 (при многопользовательском режиме обработки ПДн и разных правах доступа к ним пользователей):

      идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов.

Для ИСПДн класс 1 (при многопользовательском режиме обработки ПДн и равных правах доступа к ним пользователей):

      идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

      идентификация технических средств информационных систем и каналов связи, внешних устройств информационных систем по их логическим адресам (номерам);

      идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.

Для ИСПДн класс 1 (при многопользовательском режиме обработки ПДн и разных правах доступа к ним пользователей):

      идентификация и проверка подлинности пользователя при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;