Раздел 4. Перечень и описание программных мероприятий. Постановление Администрации муниципального образования Узловский район Тульской области от 29.06.2011 N 645 "Об утверждении муниципальной программы "Обеспечение безопасности персональных данных в органах местного самоуправления Узловского района на 2011 - 2012 годы" (с изменениями и дополнениями)

Раздел 4. Перечень и описание программных мероприятий

Организация обеспечения безопасности персональных данных при их обработке в ИСПДн обеспечивается путем формирования совокупности осуществляемых на всех стадиях жизненного цикла ИСПДн согласованных по цели, задачам, месту и времени мероприятий, направленных на предотвращение (нейтрализацию) и парирование угроз безопасности персональных данных в ИСПДн, на восстановление нормального функционирования ИСПДн после нейтрализации угроз, с целью минимизации ущерба от возможной реализации таких угроз.

Обеспечение безопасности персональных данных при их обработке в автоматизированных ИСПДн должно проводиться путем выполнения комплекса организационных и технических мероприятий (применения технических средств) в рамках системы (подсистемы) защиты персональных данных, развертываемой в ИСПДн в процессе ее создания или модернизации.

Порядок организации обеспечения безопасности персональных данных в ИСПДн предусматривает:

- оценку обстановки;

- обоснование требований по обеспечению безопасности персональных данных и формулирование задач защиты персональных данных;

- разработку замысла обеспечения безопасности персональных данных;

- выбор целесообразных способов (мер и средств) защиты персональных данных в соответствии с задачами и замыслом защиты;

- решение вопросов управления обеспечением безопасности персональных данных в динамике изменения обстановки и контроля эффективности защиты;

- обеспечение реализации принятого замысла защиты;

- планирование мероприятий по защите персональных данных;

- организацию и проведение работ по созданию системы защиты персональных данных (далее - СЗПДн) в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних организаций к разработке и развертыванию СЗПДн или ее элементов в ИСПДн, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации ИСПДн;

- разработку документов, регламентирующих вопросы организации обеспечения безопасности персональных данных и эксплуатации СЗПДн в ИСПДн;

- развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн;

- доработку СЗПДн по результатам опытной эксплуатации.

Оценка обстановки основывается на результатах комплексного обследования ИСПДн, в ходе которого, прежде всего, проводится изучение персональных данных по содержанию, а также их категорирование по важности.

При оценке обстановки определяется необходимость обеспечения безопасности персональных данных от угроз:

- уничтожения, хищения аппаратных средств ИСПДн, носителей информации путем физического доступа к элементам ИСПДн;

- утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН);

- перехвата при передаче по проводным (кабельным) линиям связи;

- несанкционированной модификации или блокирования информации за счет несанкционированного доступа (далее - НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);

- непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн из-за сбоев аппаратной части и программного обеспечения, а также от угроз стихийного характера (ударов молний, пожаров, затопления и т.п.).

На основе вышеизложенного формируется следующий подход к построению системы защиты ПДн:

- проводится анализ структурного построения и принципов функционирования объекта защиты, выделяются на основе анализа уязвимые элементы, которые влияют на безопасность объекта;

- определяются и анализируются возможные угрозы выделенным элементам и формируется перечень требований к системе защиты;

- на основе опыта создания систем защиты информации определяются наиболее подходящие варианты набора средств и мер защиты, методами экспертных оценок определяются показатели эффективности составленных вариантов;

- на основе технико-экономических оценок средств и мер защиты определяются размеры материальных и трудовых ресурсов.

Перечень мероприятий (состав работ) по защите ПДн.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз, с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

На стадии проектирования и создания ИСПДн проводятся следующие мероприятия:

- разработка задания и проекта на строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического задания на разработку СЗПДн;

- разработка раздела технического проекта на ИСПДн в части защиты информации;

- строительно-монтажные работы в соответствии с проектной документацией;

- закупка серийно выпускаемых технических средств обработки, передачи и хранения информации;

- разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

- установка сертифицированных технических, программных и программно-технических средств защиты информации;

- сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;

- разработка и реализация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации;

- определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности персональных данных;

- разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов).

На стадии ввода в действие ИСПДн осуществляются:

- выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки персональных данных;

- приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации;

- оценка соответствия ИСПДн требованиям безопасности ПДн.

Работы по созданию системы защиты ПДн проводятся в три этапа:

1. предпроектный этап, включающий определение перечня защищаемых информационных ресурсов и технических средств, классификацию и категорирование объектов информатизации, разработку технического задания на создание СЗПДн;

2. стадия разработки СЗПДн;

3. стадия ввода в действие СЗПДН, включающая закупку, установку, опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию ИСПДн на их соответствие установленным требованиям.

На первом этапе проводятся следующие работы:

- в органах местного самоуправления района назначаются должностные лица, ответственные за организацию и проведение работ по созданию системы защиты информации, определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ;

- определяются мероприятия по обеспечению режима конфиденциальности на стадии создания СЗПДн;

- проводится анализ циркуляции ПДн в структурных подразделениях органов местного самоуправления района, по результатам которого определяются состав технических средств и объектов информатизации, участвующих в обработке ПДн, условия их расположения, степень конфиденциальности и режимы обработки;

- определяются требования по защите персональных данных от несанкционированного доступа (далее - НСД) при их обработке в ИСПДн;

- на основе исходных данных, полученных в результате обследования объектов информатизации, и предъявляемых к ним требований по защите информации от НСД определяется класс защищенности автоматизированных систем, участвующих в обработке персональных данных;

- распоряжением (приказом) руководителя определяется контролируемая зона (КЗ), в пределах которой исключено пребывание посторонних лиц;

- проводится анализ возможных технических каналов утечки информации;

- проводится оценка возможностей средств технических разведок и других источников угроз, которые опасны для органов местного самоуправления района, в том числе со стороны преступных группировок, частных лиц, организаций и т.п. Указанная оценка производится на основе расчетных формул и данных, приведенных в нормативных документах ФСТЭК (Гостехкомиссии) России, и реально складывающейся оперативной обстановки;

- составляется перечень предполагаемых к использованию сертифицированных средств защиты информации;

- проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;

- обосновывается необходимость привлечения специализированных предприятий для создания СЗПДн;

- разрабатываются техническое задание (ТЗ) на создание СЗПДн, в котором должны найти отражение следующие вопросы:

исходные данные о создаваемой системе или иного объекта информатизации в техническом, программном, информационном и организационном аспектах;

классы информационных систем персональных данных (ИСПДн);

классы защищенности автоматизированных систем (АС) по требованиям защиты от НСД;

конкретизация требований к СЗПДн на основе нормативных документов, установленных классов защищенности ИСПДн;

перечень выходных документов по окончании создания СЗПДн;

состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

На втором этапе:

- разрабатывается перечень организационных и технических мероприятий по защите объектов информатизации в соответствии с предъявляемыми в ТЗ требованиями, направленных на предотвращение утечки персональных данных за пределы контролируемой зоны. Указанные мероприятия должны обеспечить устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки ПДн;

- определяется состав серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

- определяется состав технических средств, подвергаемых специальным исследованиям и проверке;

- разрабатываются технические паспорта на объекты информатизации;

- разрабатываются инструкции по обеспечению безопасности информации на этапе эксплуатации технических средств;

- разрабатывается план выполнения организационных и технических мероприятий по защите ИСПДн;

- разрабатывается проектная документация.

Третий этап включает в себя проведение следующих видов работ:

- проведение специальных исследований несертифицированных технических средств и получение предписаний на их эксплуатацию;

- проведение (по решению руководителя) специальной проверки основных технических средств импортного производства;

- закупка сертифицированных серийно выпускаемых технических и программных средств защиты информации и их установка;

- монтаж и пусконаладка технических средств, входящих в состав ИСПДн;

- разработка и реализация разрешительной системы доступа к средствам вычислительной техники и автоматизированным системам, участвующим в обработке персональных данных;

- разработка организационно-распорядительной и рабочей документации по эксплуатации ИСПДн;

- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации;

- проведение инструментального контроля эффективности средств защиты, внедренных на объектах информатизации;

- приемо-сдаточные испытания СЗПДн по результатам ее опытной эксплуатации;

- аттестация ИСНДн по требованиям защиты информации.

При положительных результатах аттестации:

- владельцу ИСПДн выдается "Аттестат соответствия" этого объекта требованиям безопасности информации;

- распоряжением (приказом) по органу местного самоуправления района вводится разрешение на обработку персональных данных на тех объектах информатизации, на которые получены аттестаты соответствия.

Обучение кадров.

В целях организации и поддержания требуемого уровня безопасности персональных данных необходим высококвалифицированный персонал.

Качество решений по защите информации во многом определяется уровнем подготовки специалистов в области информационной безопасности.

За последние годы вопрос подготовки необходимого количества высококвалифицированных специалистов в сфере информационной безопасности как государственной проблемы существенно обострился в связи с расширением информатизации всех сторон деятельности общества и государства, ростом спектра угроз безопасности информации, возрастанием тяжести последствий их реализации.

Действующая система подготовки кадров в области информационной безопасности на территории Узловского района носит несистемный характер (скорее отсутствует вообще). Поэтому дальнейшее развитие форм и методов подготовки специалистов по защите информации на основе внедрения новых информационных технологий, развития учебно-методической и материальной базы может рассматриваться как одно из важнейших направлений в комплексе мер по развитию системы защиты персональных данных.

В 2011 - 2012 годах необходимо организовать обучение руководителей органов местного самоуправления района, обслуживающего персонала, ответственного за защиту информации, в т.ч. пользователей на рабочих местах, работе со средствами защиты информации (ознакомление с организационно-распорядительной документацией на систему защиты информации).

Систематизируя изложенное, мероприятия по обеспечению безопасности персональных данных формируются из 3 блоков:

I. Организация обеспечения безопасности персональных данных

(организационный блок, включающий работы по предпроектным обследованиям информационных систем, обрабатывающих персональные данные (далее - ИСПДн), и оценкам их защищенности, классификации ИСПДн, выявлению и учету угроз безопасности персональных данных (далее - ПДн), разработке технических заданий на создание системы защиты ПДн, разработке нормативной и методической документации, а также формированию структуры системы защиты ПДн и т.д.).

II. Техническая защита персональных данных

(технико-внедренческий блок, включающий приобретение лицензионного программного обеспечения, защиту технических каналов утечки информации, защиту ПДн от несанкционированного доступа, закупку, монтаж и пусконаладку средств защиты, аттестацию ИСПДн согласно требованиям по безопасности информации, внедрение систем контроля недекларированных возможностей, регистрации и учета, обеспечения целостности, обнаружения вторжений, криптографической и антивирусной защиты и т.д.).

III. Обучение кадров

(образовательный блок, включающий проведение обучающих семинаров для работников органов местного самоуправления Узловского района по вопросам защиты ПДн).