Политика обеспечения информационной безопасности
1. Термины и определения
1.1. Автоматизированное рабочее место (далее- АРМ) – автоматизированное рабочее место пользователя (ПК с периферийным оборудованием и прикладным ПО) для выполнения определенных производственных задач.
1.2. Автоматизированная система (АС)– система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
1.3. Аутентификация – процедура определения подлинности пользователя определенной системы.
1.4. Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
1.5. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
1.6. Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
1.7. Допуск к информации – оформленное в соответствии с установленными правилами разрешение на работу с информацией ограниченного распространения.
1.8. Доступ к информации – возможность получения информации и ее использования.
1.9. Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
1.10. Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
1.11. Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
1.12. Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.13. Информационные ресурсы – совокупность данных, организованных для эффективного получения достоверной информации; документы и массивы документов, зафиксированные на материальных носителях и хранящиеся в информационных системах: библиотеках, архивах, фондах, банках данных, других информационных системах.
1.14. Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
1.15. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.16. Контролируемая зона (КЗ)– пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
1.17. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не распространять и не передавать такую информацию третьим лицам без согласия ее обладателя.
1.18. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
1.19. Локальная вычислительная сеть (ЛВС)- коммуникационная система, включающая активное сетевое оборудование (маршрутизаторы, коммутаторы, модемы, конвертеры, интерфейсы, оборудование сопряжения с каналами передачи данных), пассивное сетевое оборудование (коммутационные шкафы, кроссовые панели, кабельная система сети, кабель-каналы, сетевые розетки), обеспечивающая взаимодействие серверов и АРМ с целью распределенной обработки данных.
1.20. Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
1.21. Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
1.22. Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
1.23. Обработка данных – действия (операции) с данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), блокирование, уничтожение.
1.24. Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
1.25. Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
1.26. Персональные данные (ПДн)– любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.27. Поддерживающая инфраструктура ИСПДн - системы электропитания, тепло- и водоснабжения, кондиционирования, канализации и обслуживающий их персонал, обеспечивающие условия корректной эксплуатации ИСПДн.
1.28. Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
1.29. Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
1.30. Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.
1.31. Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
1.32. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.33. Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
1.34. Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
1.35. Средства криптографической защиты информации (СКЗИ) - совокупность программно-технических средств, обеспечивающих применение ЭП и/или шифрования при осуществлении электронного документооборота.
1.36. Средства защиты информации - совокупность инженерно-технических, программных, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
1.37. Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
1.38. Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
1.39. Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
1.40. Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
1.41. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.42. Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
1.43. Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
1.44. Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
2. Общие положения
2.1. Настоящая Политика информационной безопасности в Санкт-петербургском государственном автономного учреждении «Центр занятости населения Санкт-Петербурга» (далее – Политика), разработана в соответствии с Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных», Статьей 24 Конституции Российской Федерации, Главой 14 Трудового Кодекса Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21"Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами в области защиты персональных данных.
2.2. Настоящая Политика в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных, изложенными в Концепции информационной безопасности Санкт-петербургского государственного автономного учреждения «Центр занятости населения Санкт-Петербурга» (далее - Концепция), определяет состав мер и требования к системе защиты персональных данных, а также общие требования к персоналу Санкт-петербургского государственного автономного учреждения «Центр занятости населения Санкт-Петербурга» (далее - СПб ГАУ ЦЗН), осуществляющему обработку персональных данных (далее - ПДн).
2.3. Настоящая Политика применяется совместно с Концепцией информационной безопасности Санкт-петербургского государственного автономного учреждения «Центр занятости населения Санкт-Петербурга» (далее - Концепция) и другими Положениями, Порядками, Инструкциями из Общего перечня локальных нормативных актов по вопросам организации обработки и защиты ПДн и конфиденциальной информации в СПб ГАУ ЦЗН.
3. Система защиты персональных данных
3.1. Система защиты персональных данных (далее - СЗПДн) должна обеспечивать безопасность конфиденциальной информации, в том числе персональных данных, включенных в утвержденный Перечень сведений конфиденциального характера, подлежащих защите при их обработке в СПб ГАУ ЦЗН, обрабатываемых без средств автоматизации и с помощью автоматизированных информационных ресурсов, в том числе информационных систем персональных данных (далее – ИСПДн), включенных в утвержденный Перечень автоматизированных и информационных систем, используемых для обработки конфиденциальной информации и персональных данных в СПб ГАУ ЦЗН. Безопасность обеспечивается применением мер, исключающих несанкционированный, в том числе случайный, непреднамеренный доступ к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных и конфиденциальной информации, а также иных несанкционированных действий.
3.2. Построение системы защиты персональных данных (далее - СЗПДн), проводится поэтапно:
3.2.1. Предпроектное обследование:
- определение Перечня сведений конфиденциального характера, подлежащих защите при их обработке, категорирование ПДн;
- определение перечня информационных и автоматизированных систем, в которых обрабатываются сведения конфиденциального характера, в том числе - ПДн;
- определение угроз безопасности, построение моделей угроз для каждой ИСПДн;
- определение класса и уровня защищенности для каждой ИСПДн;
- создание отчета об обследовании ИСПДн.
3.2.2. Техническое задание на разработку СЗПДн:
- определение назначения и цели создания СЗПДн;
- требования к основным видам технического и организационного обеспечения;
- определение порядка разработки и внедрения СЗПДн.
3.2.3. Техно-рабочий проект на создание СЗПДн:
- разработка проекта проведения работ в соответствии с требованиями технического задания на разработку СЗПДн;
- разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
- обоснование и определение совокупности требуемых в ИСПДн сертифицированных технических, программных и программно-технических средств защиты информации.
3.2.4. Создание СЗПДн:
- выполнение работ в соответствии с проектной документацией;
- разработка комплекта организационно-распорядительных документов, регламентирующих процессы обработки и защиты ПДн;
- разработка Плана исполнения мер защиты ПДн в СПб ГАУ ЦЗН;
- закупка, установка и настройка средств защиты информации;
- внедрение мероприятий по защите ПДн.
3.2.5. Ввод СЗПДн в действие:
- опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;
- приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации;
- оценка соответствия ИСПДн требованиям безопасности ПДн.
3.3. На этапе создания СЗПДн разрабатываются и реализуются организационные и программно-технические меры по защите информации.
3.3.1. Организационные меры состоят из мер административного уровня и процедурных мер защиты информации. Основой мер административного уровня, то есть мер, предпринимаемых руководством предприятия, является настоящая Политика.
3.3.2. В рамках мер административного уровня разрабатывается комплект организационно-распорядительных документов, включающих:
- Положение о порядке организации и проведения работ по защите конфиденциальной информации;
- Порядок допуска к информационным системам, персональным данным и средствам защиты информации;
- Положение об обработке персональных данных субъектов персональных данных и работников;
- Положение о разрешительной системе допуска;
- Положение о порядке обеспечения конфиденциальности при обращении с информацией, содержащей ПДн;
- Пользовательское соглашение об обработке персональных данных субъектов персональных данных на Информационно-интерактивном ресурсе для взаимодействия с гражданами и работодателями в сети Интернет (Портал СПб ГАУ ЦЗН);
- Положение об обработке персональных данных субъектов персональных данных без использования средств автоматизации;
- Инструкция об обезличивании ПДн;
- Положения о порядке публикации материалов о деятельности СПб ГАУ ЦЗН, размещении рекламы и ответов на запросы сторонних организаций и субъектов персональных данных;
- Положение о разграничении прав доступа к конфиденциальной информации и обрабатываемым ПДн в информационных системах персональных данных;
- Положение об установке, обновлении и учете общесистемного и прикладного программного обеспечения информационных систем персональных данных;
- Положение о контролируемой зоне;
- Инструкции ответственных за различные направления обеспечения безопасности обработки ПДн;
- Инструкции пользователей по соблюдению безопасности обработки ПДн по различным аспектам.
3.3.3. Комплект организационно-распорядительных документов входит в Общий перечень локальных нормативных актов по вопросам организации обработки и защиты ПДн и конфиденциальной информации в СПб ГАУ ЦЗН. Документы, в него входящие, определяют основные правила по обеспечению безопасности обработки ПДн, обязательные для исполнения всеми сотрудниками СПб ГАУ ЦЗН, допущенными к их обработке.
3.3.4. К процедурному уровню относятся меры безопасности, реализуемые сотрудниками СПб ГАУ ЦЗН. Выделяются следующие группы процедурных мер, направленных на обеспечение информационной безопасности:
- управление персоналом;
- физическая защита;
- поддержание работоспособности средств защиты информации;
- реагирование на нарушения режима безопасности;
- планирование восстановительных работ.
3.3.5. В рамках управления персоналом, каждого сотрудника необходимо обучить мерам обеспечения информационной безопасности теоретически и отработать выполнение этих мер практически.
3.3.6. Информационная безопасность информационных ресурсов СПб ГАУ ЦЗН зависит от окружения, в котором они эксплуатируются. Необходимо принимать меры для обеспечения физической защиты зданий и прилегающей территории, поддерживающей инфраструктуры и технических средств ИСПДн. При разработке проекта СЗПДн предполагается реализация мер физической защиты офисных зданий и других помещений СПб ГАУ ЦЗН, по следующим направлениям: физическое управление доступом, противопожарные меры, защита поддерживающей инфраструктуры.
3.3.7. Предполагается также реализация следующих направлений поддержания работоспособности средств защиты информации: поддержка пользователей информационных систем (далее - ИС); поддержка программного обеспечения; резервное копирование; управление носителями; документирование; регламентные работы.
3.3.8. Программа информационной безопасности должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию нарушений режима безопасности. Мероприятия должны предусматривать заранее определенную последовательность срочных и скоординированных действий. Реакция на нарушения режима информационной безопасности преследует две главные цели - блокирование нарушителя и уменьшение наносимого вреда и недопущение повторных нарушений.
3.3.9. Планирование восстановительных работ позволяет подготовиться к авариям ИС, уменьшить ущерб от них и сохранить способность к функционированию, хотя бы в минимальном объеме.
3.4. Меры обеспечения информационной безопасности программно-технического уровня предусматривают:
- защиту информации при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны;
- защиту внутренних сетевых сервисов и информационных обменов;
- защиту серверов и рабочих станций;
- защиту системных ресурсов и локальных приложений на серверах и рабочих станциях.
3.4.1. На программно-техническом уровне выполнение защитных функций ИС осуществляется следующими служебными сервисами обеспечения информационной безопасности:
- идентификация/аутентификация пользователей ИС;
- разграничение доступа объектов и субъектов информационного обмена;
- протоколирование/аудит действий пользователей;
- экранирование информационных потоков и ресурсов локальной вычислительной сети (далее - ЛВС);
- туннелирование информационных потоков;
- шифрование информационных потоков, критической информации;
- контроль целостности;
- контроль защищенности.
4. Требования к подсистемам СЗПДн
4.1. СЗПДн включает в себя следующие подсистемы:
- управления доступом, регистрации и учета;
- обеспечения целостности и доступности;
- антивирусной защиты;
- межсетевого экранирования;
- анализа защищенности;
- обнаружения вторжений;
- криптографической защиты.
4.2. Подсистемы управления доступом, регистрации и учета
4.2.1. Подсистема управления доступом, представляет собой комплекс программно-технических средств, обеспечивающих:
- идентификацию и проверку подлинности субъектов доступа при входе в ИСПДн;
- идентификацию терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
- идентификацию программ, томов, каталогов, файлов, записей, полей записей по именам;
- регистрацию входа (выхода) субъектов доступа в систему (из системы), либо регистрацию загрузки и инициализации операционной системы и ее останова.
- регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
- регистрацию попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
4.2.2. Подсистема идентификации и аутентификации включает в себя компоненты, встроенные в операционные системы, межсетевые экраны, СУБД и приложения, которые обеспечивают управление идентификационными данными пользователей, паролями и ключевой информацией, а также реализуют различные схемы подтверждения подлинности при входе пользователя в систему и получении доступа к системным ресурсам и приложениям. Так же может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
4.3. Подсистема обеспечения целостности и доступности
4.3.1. Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн СПб ГАУ ЦЗН, а также средств защиты, при случайной или намеренной модификации, и реализует:
- обеспечение целостности программных средств СЗПДн, обрабатываемой информации, а также неизменность программной среды;
- физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;
- наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.
4.4. Подсистема антивирусной защиты
4.4.1. Подсистема антивирусной защиты сети предназначена для решения следующих задач:
- Перекрытие всех возможных каналов распространения вирусов, к числу которых относятся: электронная почта, разрешенные для взаимодействия с сетью Интернет сетевые протоколы (HTTP и FTP), съемные носители информации (floppy-дискеты, flash-накопители, CD, DVD-диски, внешние USB-диски, карты памяти и др.), разделяемые папки на файловых серверах;
- Непрерывный антивирусный мониторинг и периодическое антивирусное сканирование всех серверов и рабочих станций, подключаемых к ЛВС;
- Автоматическое реагирование на заражение компьютерными вирусами и на вирусные эпидемии, включающее в себя: оповещения, лечение вирусов, удаление троянских программ и очистку системы, подвергнувшейся заражению;
4.4.2. Средства антивирусной защиты предназначены для реализации следующих функций:
- резидентный антивирусный мониторинг;
- антивирусное сканирование;
- скрипт-блокирование;
- централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
- автоматизированное обновление антивирусных баз;
- ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
- автоматический запуск сразу после загрузки операционной системы.
4.4.3. Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн.
4.5. Подсистема межсетевого экранирования
4.5.1. Подсистема межсетевого экранирования реализуется с помощью аппаратных средств (межсетевых экранов) и программных средств (сканера сетевой безопасности) и предназначена для разграничения межсетевого доступа на уровне сетевых протоколов и защиты ЛВС от сетевых атак со стороны внешних сетей и реализует следующие функции:
- фильтрация открытого и зашифрованного (закрытого) IP-трафика;
- фиксация во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
- идентификация и аутентификация администратора межсетевого экрана при его локальных запросах на доступ;
- регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализация системы и ее программного останова;
- контроль целостности своей программной и информационной части;
- фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
- фильтрация с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
- регистрация и учет запрашиваемых сервисов прикладного уровня;
- блокирование доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
- контроль за сетевой активностью приложений и обнаружения сетевых атак.
4.6. Подсистема анализа защищенности
4.6.1. Подсистема анализа защищенности, должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.
4.6.2. Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
4.7. Подсистема обнаружения вторжений
4.7.1. Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИСПДн подключенные к сетям общего пользования и (или) международного обмена.
4.7.2. Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
4.8. Подсистема криптографической защиты
4.8.1. Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн, при ее передаче по каналам связи сетей общего пользования.
4.8.2. Подсистема реализуется на основе криптографических программно-аппаратных комплексов.
5. Пользователи ИСПДн
5.1. В настоящей Политике определены основные категории пользователей.
5.2. В ИСПДн СПб ГАУ ЦЗН можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
- оператор автоматизированного рабочего места (далее - АРМ);
- администратор ЛВС подразделения (далее – Администратор сети);
- администратор сети, в функции которого входит организация защиты информации;
- технический специалист по обслуживанию ЛВС, серверного и локального оборудования (АРМ);
- программист-разработчик прикладного ПО и ИСПДн;
- ответственный за обработку персональных данных подразделения (далее – Ответственный ПДн)) и ответственный за информационную безопасность подразделения (далее – Ответственный ИБ.
5.3. Оператор АРМ - сотрудник СПб ГАУ ЦЗН, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему
ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.
5.3.1. Оператор АРМ обладает следующим уровнем доступа и знаний:
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
- располагает конфиденциальными данными и осуществляет обработку ПДн, к которым имеет доступ.
5.4. Администратор локальной вычислительной сети подразделения (далее- Администратор сети)
5.4.1. Администратор сети - сотрудник СПб ГАУ ЦЗН, ответственный за
- функционирование телекоммуникационной подсистемы ИСПДн;
- настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам ИСПДн, хранящим персональные данные;
- функционирование СЗПДн, включая обслуживание и настройку административной, и клиентской компонент.
5.4.2. Администратор сети обладает следующим уровнем доступа и знаний:
- обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
- обладает полной информацией о технических средствах и конфигурации
ИСПДн; - имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
- обладает правами конфигурирования и административной настройки технических средств ИСПДн;
- обладает полной информацией об ИСПДн;
- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
- имеет физический доступ к техническим средствам обработки информации и средствам защиты.
5.4.3. Администратор сети уполномочен:
- реализовывать политики безопасности в части настройки средств криптографической защиты информации (далее- СКЗИ), межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами ИСПДн;
- осуществлять аудит средств защиты.
5.4.4. Администратор сети, в функции которого входит организация защиты информации, - сотрудник подразделения СПб ГАУ ЦЗН, на которое возложена функция организации защиты информации; обладает всеми правами и полномочиями администратора сети, а также уполномочен осуществлять методическое руководство сотрудников СПб ГАУ ЦЗН по направлениям обеспечения безопасности информации.
5.5. Технический специалист по обслуживанию ЛВС, серверного и оборудования (далее - Технический специалист);
5.5.1. Технический специалист - сотрудник СПб ГАУ ЦЗН или сотрудник организации, выполняющей для СПб ГАУ ЦЗН работы на основании договора, осуществляет обслуживание и настройку ЛВС, серверного и локального оборудования ИСПДн, а также элементов СЗПДн.
5.5.2. Технический специалист обладает следующим уровнем доступа и знаний:
- обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
- обладает частью информации о технических средствах и конфигурации ИСПДн;
- знает, по меньшей мере, одно легальное имя доступа.
5.6. Программист-разработчик прикладного ПО и ИСПДн (далее- Программист-разработчик).
5.6.1. Программисты-разработчики (поставщики) прикладного программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте. К данной группе относятся сотрудники сторонних организаций, выполняющих работы на основании договора с организацией-владельцем ИСПДн.
5.6.2. Программист-разработчик:
- обладает информацией об алгоритмах и программах обработки информации на
ИСПДн; - обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
- может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
5.7. Ответственный ПДн и Ответственный ИБ.
5.7.1. Ответственный ПДн - сотрудник СПб ГАУ ЦЗН, ответственный за осуществление внутреннего контроля за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, и соблюдение сотрудниками технологии обработки персональных данных
5.7.2. Ответственный ИБ – сотрудник СПб ГАУ ЦЗН, ответственный за обеспечение безопасности конфиденциальной информации, обрабатываемой, хранимой и передаваемой при помощи средств вычислительной техники, с помощью технических и программных средств защиты информации.
5.7.3. Ответственный ПДн и Ответственный ИБ обладают следующим уровнем доступа и знаний в рамках своей специализации:
- обладают информацией о действующих государственных нормативно-правовых актов в области защиты персональных данных, а также локальных нормативных актов СПб ГАУ ЦЗН и рекомендаций по вопросам защиты персональных данных структурного подразделения, в функции которого входит организация защиты информации в СПб ГАУ ЦЗН;
- всеми правами и полномочиями оператора АРМ;
- всеми правами и полномочиями администратора сети.
5.8. Ответственный ПДн и Ответственный ИБ уполномочены в рамках своей специализации:
- требовать от сотрудников подразделения зоны ответственности выполнения требований государственных нормативно-правовых актов в области защиты персональных данных и локальных нормативных актов СПб ГАУ ЦЗН;
- получать доступ к программным и аппаратным средствам информационных ресурсов, средствам их защиты, а также к информации на всех объектах вычислительной техники подразделения зоны ответственности;
- осуществлять оперативное вмешательство в работу сотрудников при явной угрозе безопасности информации в результате несоблюдения установленной технологии обработки информации и невыполнения требований по безопасности.
5.9. В случае, если функции одной из вышеперечисленных групп пользователей, осуществляются сторонней организацией на основании договора на предоставление услуг, в договор, должно быть включено условие о неразглашении сведений, обрабатываемых в информационных ресурсах СПб ГАУ ЦЗН, и служебной информации, ставшей известной в ходе выполнения работ, а также о соблюдении требований законодательства Российской Федерации, требований нормативных документов СПб ГАУ ЦЗН по защите информации и требования других нормативных актов, устанавливающих правила обработки конфиденциальной информации.
6. Модель нарушителя безопасности
6.1. Под нарушителем в СПб ГАУ ЦЗН понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб объектам защиты (раздел 4).
6.2. Нарушители подразделяются по признаку принадлежности к ИСПДн. Все нарушители делятся на две группы:
- внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны (далее - КЗ), в пределах которой размещается оборудование ИСПДн;
- внутренние нарушители – физические лица, имеющие право пребывания на территории КЗ, в пределах которой размещается оборудование ИСПДн.
6.3. Классификация нарушителей представлена в «Модели угроз безопасности персональных данных» каждой ИСПДн.
7. Модель угроз безопасности
7.1. Для ИСПДн СПб ГАУ ЦЗН выделяются следующие основные категории угроз безопасности персональных данных:
- Угрозы от утечки по техническим каналам.
- Угрозы несанкционированного доступа к информации:
- Угрозы уничтожения, хищения аппаратных средств ИСПДн или носителей информации путем физического доступа к элементам ИСПДн.
- Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
- Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
- Угрозы преднамеренных действий внутренних нарушителей.
- Угрозы несанкционированного доступа по каналам связи.
7.2. Описание угроз, вероятность их реализации, опасность и актуальность представлены в «Модели угроз безопасности персональных данных» каждой ИСПДн.
8. Требования к персоналу по обеспечению защиты ПДн
8.1. Все сотрудники СПб ГАУ ЦЗН, осуществляющие обработку ПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
8.2. При вступлении в должность нового сотрудника, Ответственный за обработку ПДн подразделения и Ответственный за информационную безопасность подразделения, обязаны организовать его ознакомление с необходимыми документами, регламентирующими требования по защите ПДн, а также провести обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
8.3. Сотрудники СПб ГАУ ЦЗН, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать несанкционированного доступуа к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
8.4. Сотрудники СПб ГАУ ЦЗН должны следовать установленным процедурам под-держания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
8.5. Сотрудники СПб ГАУ ЦЗН должны обеспечивать надлежащую защиту оборудования, не оставлять его без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все сотрудники должны знать требования по безопасности ПДн и процедуры защиты оборудования, а также свои обязанности по обеспечению такой защиты.
8.6. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.
8.7. Сотрудникам запрещается разглашать третьим лицам защищаемую информацию, которая стала им известна при работе с информационными системами СПб ГАУ ЦЗН.
8.8. При работе с ПДн в ИСПДн сотрудники СПб ГАУ ЦЗН обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.
8.9. При приостановке работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
8.10. Сотрудники СПб ГАУ ЦЗН должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.
8.11. Сотрудники обязаны без промедления сообщать обо всех подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.
9. Ответственность
9.1. В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность.
9.2. Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации АРМ и ИС, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы АРМ и ИС (статьи 272, 273 и 274 УК РФ).
9.3. Администраторы сети несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
9.4. Ответственные ПДн и Ответственные ИБ несут несет дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с Инструкцией ответственного за обработку персональных данных в СПб ГАУ ЦЗН и Инструкцией ответственного за информационную безопасность в СПб ГАУ ЦЗН.
9.5. При нарушениях сотрудниками СПб ГАУ ЦЗН – пользователей ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
- Пользовательское соглашение об обработке персональных данных субъектов персональных данных на Информационно-интерактивном ресурсе для взаимодействия с гражданами и работодателями в сети Интернет Санкт-Петербургского государственного автономного учреждения «Центр занятости населения Санкт-Петербурга»
- Политика обеспечения информационной безопасности
- Концепция обеспечения информационной безопасности