Средства анализа защищенности применяются с целью контроля настроек защиты операционных систем на рабочих станциях и серверах и позволяют оценить возможность проведения нарушителями атак на сетевое оборудование, контролируют безопасность программного обеспечения. Для этого они исследуют топологию сети, ищут незащищенные или несанкционированные сетевые подключения, проверяют настройки межсетевых экранов. Подобный анализ производится на основании детальных описаний уязвимостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. Результатом работы средства анализа защищенности является отчет, в котором обобщаются сведения об обнаруженных уязвимостях.

В интересах выявления угроз НСД за счет межсетевого взаимодействия применяются системы обнаружения вторжений. Такие системы строятся с учетом особенностей реализации атак, этапов их развития и основаны на целом ряде методов обнаружения атак.

Для обнаружения вторжений в ИСПДн Организации рекомендуется использовать системы обнаружения сетевых атак, использующие как сигнатурные методы анализа, так и методы выявления аномалий.

7.9. Для защиты ПДн от утечки по техническим каналам применяются

организационные и технические мероприятия, направленные на исключение утечки акустической (речевой), видовой информации, а также утечки информации за счет ПЭМИН. При реализации технических мероприятий используются технические пассивные и активные средства защиты.

7.10. Перечень мероприятий по защите ПДн для ИСПДн Организации определяется отделом информатизации и ввода данных в зависимости от ущерба, который может быть нанесен вследствие НСД или непреднамеренного доступа к ПДн в соответствии с действующим законодательством.

8. Организация работ по защите информации на объекте информатизации организации

8.1. Под организацией обеспечения безопасности ПДн при их обработке в ИСПДн понимается формирование и реализация совокупности согласованных по целям, задачам, месту и времени организационных и технических мероприятий в Управлении, направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.

Защита информации, циркулирующей на объекте информатизации, должна быть комплексной и дифференцированной. С этой целью для объекта информатизации создается система защиты информации.

Разработка мероприятий по организации и обеспечению безопасности ПДн при их обработке в ИСПДн в Организации осуществляется отделом безопасности.

8.2. Технические и программные средства, используемые для обработки ПДн в ИСПДн, должны удовлетворять установленным в соответствии с законодательством РФ требованиям, обеспечивающим защиту ПДн.

Средства защиты ПДн, применяемые в ИСПДн, должны быть сертифицированы в соответствии с требованиями по безопасности ПДн.

8.3. Порядок организации и обеспечения безопасности ПДн в ИСПДн Управления включает в себя:

8.3.1 Оценку обстановки.

Оценка обстановки проводится работниками отдела информатизации и ввода данных и определяются возможные способы обеспечения безопасности ПДн. Она основывается на результатах комплексного обследования ИСПДн, в ходе которого, прежде всего, проводится категорирование ПДн по важности.

При оценке обстановки определяется необходимость обеспечения безопасности ПДн от угроз:

уничтожения, хищения аппаратных средств ИСПДн, носителей информации путем физического доступа к элементам ИСПДн;

– утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН);

– перехвата при передаче по проводным (кабельным) линиям связи;

хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе ПМВ);

– воспрепятствования функционированию ИСПДн путем преднамеренного электромагнитного воздействия на ее элементы;

– непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за

ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.

При оценке обстановки учитывается степень ущерба, который может быть причинен в случае неправомерного использования соответствующих ПДн.

8.3.2. Обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн проводится в соответствии с действующим законодательством.

8.3.3. Разработку замысла обеспечения безопасности ПДн (осуществляется выбор основных способов защиты ПДн).

8.3.4. Выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты.

При выборе целесообразных способов обеспечения безопасности ПДн, обрабатываемых в ИСПДн, определяются организационные меры и технические (аппаратные, программные и программно-аппаратные) сертифицированные средства защиты.

В соответствии с выявленными сектором защиты информации угрозами безопасности ПДн осуществляется планирование и проведение мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн Организации.

Модель угроз применительно к конкретной ИСПДн разрабатывается отделом безопасности в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 14.02.2008, на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 15.02.2008, по представленным необходимым техническим данным об ИСПДн.

8.3.5. Решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты. Предусматривает подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.

Контроль осуществляется отделом безопасности по выполнению требований нормативных документов по защите ПДн, а также в оценке обоснованности и эффективности принятых мер.

8.3.6. Обеспечение реализации принятого замысла защиты ПДн.

8.3.7. Планирование мероприятий по защите ПДн.

8.3.8. Организацию и проведение работ по созданию СЗПДн в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних лицензированных организаций, решение основных задач взаимодействия.

8.3.9. Разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

8.3.10. Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.

8.3.11. Доработку СЗПДн по результатам опытной эксплуатации.

8.4. Комплексная защита информации на объекте информатизации проводится по следующим основным направлениям работы:

– охрана помещений объекта;

– определение перечня информации, подлежащей защите;

– классификация ИСПДн;

– создание системы защиты информации при разработке и модернизации объекта;

– составление организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

– защита речевой информации при осуществлении конфиденциальных переговоров;

– защита информации, содержащей ПДн, при ее автоматизированной обработке, передаче с использованием технических средств, а также на бумажных или иных носителях;

– защита информации при взаимодействии абонентов с информационными сетями связи общего пользования.

8.5. Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом (негативным последствиям для субъектов ПДн) от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности и работоспособности технических средств, обрабатывающих эту информацию, а также с учетом реальных возможностей ее перехвата и раскрываемости.

Основное внимание должно быть уделено защите информации, содержащей ПДн, в отношении которой угрозы реальны и сравнительно просто реализуемы без применения сложных технических средств перехвата информации.

К информации такого рода относится:

– речевая информация, циркулирующая в защищаемом помещении;

– информация, обрабатываемая СВТ;

– информация, выводимая на экраны мониторов;

– документированная информация, содержащая ПДн;

– информация, передаваемая по каналам связи, выходящим за пределы КЗ.

В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите ПДн в автоматизированных системах, учитывая при этом, что ПДн отнесены к информации ограниченного доступа.

В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.

8.6. Создание системы защиты информации объекта информатизации осуществляется по следующим стадиям:

– предпроектная стадия, включающая в себя предпроектное обследование объекта информатизации (ИСПДн), разработку аналитического обоснования необходимости создания системы защиты персональных данных (далее СЗПДн) и технического задания на ее создание;

– стадия проектирования (разработки проектов) и реализации ИСПДн, включающая в себя разработку СЗПДн в составе объекта информатизации (ИСПДн);

– стадия ввода в действие СЗПДн, включающая в себя опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации

(далее СрЗИ), а также оценку соответствия ИСПДн требованиям безопасности информации.

8.6.1. Предпроектная стадия обследования объекта информатизации (ИСПДн) включает в себя:

– установление необходимости обработки ПДн в ИСПДн;

– определение ПДн, подлежащих защите от НСД;

– определение условий расположения ИСПДн относительно границ КЗ;

– определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

– определение технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся и предлагаемых к разработке;

– определение режимов обработки ПДн в ИСПДн в целом и в отдельных ее компонентах;

– определение класса ИСПДн;

– уточнение степени участия должностных лиц в обработке ПДн, характер их взаимодействия между собой;

– определение (уточнение) угроз безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (разработка частной модели угроз).

8.6.2. По результатам предпроектного обследования на основе документов ФСТЭК России, с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание на разработку СЗПДн.

8.6.3. Предпроектное обследование может быть поручено специализированной организации, имеющей соответствующую лицензию. Порядок ознакомления (при необходимости) специалистов подрядной организации с защищаемыми сведениями определяется Организацией.

8.6.4. Аналитическое обоснование необходимости создания СЗПДн должно содержать:

– информационную характеристику и организационную структуру объекта информатизации;

– характеристику комплекса ТСИСПДн и ВТСС, программного обеспечения, режимов работы, технологического процесса обработки информации;

– возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

– перечень предлагаемых к использованию сертифицированных СрЗИ;

– обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

– оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗПДн;

– ориентировочные сроки разработки и внедрения СЗПДн;

– перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с отделом безопасности или ответственным лицом и утверждается начальником Организации.

8.6.5. Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

– обоснование разработки СЗПДн;

– исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;

– класс ИСПДн;

– ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;

– конкретизацию мероприятий и требований к СЗПДн;

– перечень предполагаемых к использованию сертифицированных СрЗИ;

– обоснование проведения разработок собственных СрЗИ при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СрЗИ;

– состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

8.6.6. В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства ИСПДн подразделяются на классы.

Класс АС (ИСПДн) устанавливается в соответствии с «Порядком проведения классификации ИСНДн», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 №55/86/20, и оформляется актом.

Пересмотр класса защищенности АС (ИСПДНн) производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

8.6.7. На стадии проектирования и создания АС (ИСПДн, СЗПДн) проводятся следующие мероприятия:

– разработка задания и проекта проведения работ (в том числе строительных и строительно-монтажных) по созданию (реконструкции) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;

– выполнение работ в соответствии с проектной документацией;

– обоснование и закупка совокупности используемых в ИСПДн серийно выпускаемых технических средств обработки, передачи и хранения информации;

– разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;

– обоснование и закупка совокупности используемых в ИСПДн сертифицированных технических, программных и программно-технических СрЗИ и их установка;

– проведение сертификации по требованиям безопасности информации технических, программных и программно-технических СрЗИ, в случае когда на рынке отсутствуют требуемые сертифицированные СрЗИ;

– разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;

– определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ, с их обучением по направлению обеспечения безопасности ПДн;

– разработка эксплуатационной документации на ИСПДн и СрЗИ, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

– выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.

8.6.8. На стадии ввода в действие АС (ИСПДн, СЗПДн) осуществляются:

– выполнение генерации пакета прикладных программ в комплексе с программными СрЗИ;

– опытная эксплуатация СрЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

– приемо-сдаточные испытания СрЗИ по результатам опытной эксплуатации;

– организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;

– оценка соответствия ИСПДн требованиям безопасности ПДн.

9. Ответственность должностных лиц организации за обеспечение защиты информации, содержащей ПДн, на объекте информатизации

9.1. Лицами, ответственными за организацию, обеспечение и выполнение мероприятий по защите ПДн в Организации, являются:

– начальник Организации;

– начальник отдела безопасности;

– начальник отдела информационных технологий;

– системный администратор;

– администратор информационной безопасности;

– начальники отделов Организации;

– работники, допущенные к обработке ПДн в ИСПДн.

Они обязаны:

– не допускать проведения в Организации работ и мероприятий, связанных с использованием ПДн без принятия необходимых мер по защите ПДн;

– определять объекты информатизации, предназначенные для работы с ПДн, организовывать их защиту;

– контролировать работу структурных подразделений Организации и должностных лиц при обработке ПДн.

9.2. Начальник Организации несет ответственность за общую организацию работ по защите информации на объекте информатизации и созданию эффективной СЗПДн этих объектов.

9.3. Начальник отдела безопасности или администратор информационной безопасности несет ответственность за:

– руководство и координацию работ по защите информации на объекте информатизации;

– организацию выполнения требований по защите информации на объекте информатизации;

– обоснованность необходимости создания СЗПДн объекта информатизации;

– разработку организационно-распорядительных документов по защите информации на объекте информатизации;

– организацию разработки технического задания на создание СЗПДн, подготовку проектов договоров со сторонними организациями на выполнение работ по защите информации на объекте информатизации;

– организацию контроля состояния СЗПДн объекта информатизации, соблюдения работниками установленных норм и требований по защите информации;

– организацию контроля охраны помещений объекта;

– совершенствование СЗПДн.

Он имеет право:

– контролировать деятельность структурных подразделений Организации, должностных лиц по выполнению ими требований по защите ПДн;

– участвовать в работе различного рода заседаний, комиссий, экспертных групп Организации при рассмотрении вопросов защиты ПДн;

– вносить предложения начальнику Организации о приостановке работ с ПДн в случае нарушения требований по защите ПДн;

– готовить предложения о привлечении к проведению работ по защите ПДн сторонних организаций, имеющих лицензию на соответствующий вид деятельности.

9.4. Администратор информационной безопасности объекта информатизации Организации несет ответственность за:

сопровождение СрЗИ от несанкционированного доступа;

– непосредственное управление режимами работы и административную поддержку функционирования применяемых специальных программных и программно-аппаратных СрЗИ от несанкционированного доступа;

– настройку и сопровождение в процессе эксплуатации подсистемы управления доступом;

– проверку состояния используемых СрЗИ от несанкционированного доступа, правильности их настройки;

– организацию разграничения доступа;

– учет и контроль состава и полномочий пользователей;

– выполнение требований по обеспечению безопасности при организации технического обслуживания и отправке в ремонт СВТ;

– учет, хранение, прием и выдачу персональных идентификаторов и ключевых дискет ответственным исполнителям;

– контроль учета, создания, хранения и использования резервных и архивных копий массивов данных.

Он обязан:

– разрабатывать проекты годовых планов работ по защите ПДн в Организации, предусматривающих задачи структурным подразделениям по решению конкретных вопросов защиты ПДн, организацию их выполнения, а также контроль за их эффективностью;

– организовывать разработку и согласование методической документации по защите ПДн;

– согласовывать мероприятия по защите ПДн в ИСПДн с начальником Организации;

– определять степень опасности технических каналов утечки информации, различных способов НСД к ПДн, их разрушения (уничтожения) или искажения;