Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание




Скачать 356.4 Kb.
НазваниеКонцепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание
страница2/5
Дата22.10.2012
Размер356.4 Kb.
ТипРеферат
1   2   3   4   5

Обозначения и сокращения


АВС – антивирусные средства

АРМ – автоматизированное рабочее место

ВТСС – вспомогательные технические средства и системы

ИСПДн – информационная система персональных данных

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

САЗ – система анализа защищенности

СЗИ – средства защиты информации

СЗПДн – система (подсистема) защиты персональных данных

СОВ – система обнаружения вторжений

ТКУИ – технические каналы утечки информации

УБПДн – угрозы безопасности персональных данных


Введение



Настоящая Концепция информационной безопасности ИСПДн Управления Росздравнадзора по Приморскому краю (далее – Управление) является официальным документом, в котором определена система взглядов на обеспечение информационной безопасности Управления.

Необходимость разработки Концепции обусловлена стремительным расширением сферы применения новейших информационных технологий и процессов при обработке информации вообще, и персональных данных в частности.

Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (СЗПДн) Управления. Концепция определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности информации.

Концепция разработана в соответствии с системным подходом к обеспечению информационной безопасности. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты ПДн, с позиции комплексного применения технических и организационных мер и средств защиты.

Под информационной безопасностью ПДн понимается защищенность персональных данных и обрабатывающей их инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам (субъектам ПДн) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности ПДн, а также к прогнозированию и предотвращению таких воздействий.

Концепция служит основой для разработки комплекса организационных и технических мер по обеспечению информационной безопасности Управления, а также нормативных и методических документов, обеспечивающих ее реализацию, и не предполагает подмены функций государственных органов власти Российской Федерации, отвечающих за обеспечение безопасности информационных технологий и защиту информации.

Концепция является методологической основой для:

формирования и проведения единой политики в области обеспечения безопасности ПДн в ИСПДн Управления;

принятия управленческих решений и разработки практических мер по воплощению политики безопасности ПДн и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ПДн;

координации деятельности структурных подразделений Управления при проведении работ по развитию и эксплуатации ИСПДн с соблюдением требований обеспечения безопасности ПДн;

разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ПДн в ИСПДн Управления.

Правовой базой для разработки настоящей Концепции служат требования действующих в России законодательных и нормативных документов по обеспечению безопасности персональных данных (ПДн).


1. Общие положения


Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (СЗПДн) Управления, в соответствии с Перечнем ИСПДн. Концепция определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности информации.

СЗПДн представляет собой совокупность организационных и тех­нических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, рас­пространения ПДн, а также иных неправомерных действий с ними.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Структура, состав и основные функции СЗПДн определяются исходя из класса ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии.

Эти меры призваны обеспечить:

конфиденциальность информации (защита от несанкционированного ознакомления);

целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

доступность информации (возможность за приемлемое время получить требуемую информационную услугу).

Стадии создания СЗПДн включают:

- предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание;

стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;

стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.

Организационные меры предусматривают создание и поддержание правовой базы безопасности ПДн и разработку (введение в действие) предусмотренных Политикой информационной безопасности ИСПДн следующих организационно-распорядительных документов:

План мероприятий по обеспечению защиты ПДн при их обработке в ИСПДн;

Инструкция по обеспечению безопасности ПД, при их обработке в ИСПДн Управления Росздравнадзора по Приморскому краю;

Инструкция по организации антивирусной защиты в автоматизированных системах предназначенных для обработки ПД в Управлении Росздравнадзора по Приморскому краю;

Инструкция по работе ответственного лица за обеспечение безопасности ПД и эксплуатацию объекта информатизации в Управлении Росздравнадзора по Приморскому краю;

Инструкция по применению парольной защиты и личных индентификаторов в автоматизированных системах, предназначенных для обработки ПД в Управлении Росздравнадзора по Приморскому краю;

Инструкция о порядке доступа в помещения, где обрабатываются ПД и к ИСПДн Управления Росздравнадзора по Приморскому краю;

Инструкция пользователю автоматических систем, предназначенных для обработки ПД в Управлении Росздравнадзора по Приморскому краю,

и других нормативно-правовых документов предусмотренных законодательством в области защиты персональных данных.

Технические меры защиты реализуются при помощи соответствующих программно-технических средств и методов защиты.

Перечень необходимых мер защиты информации определяется на основании утвержденной Модели угроз безопасности ПД при их обработке в ИСПДн Управления Росздравнадзора по Приморскому краю.


2. Задачи СЗПДн


Основной целью СЗПДн является минимизация ущерба от возможной реализации угроз безопасности ПДн.

Для достижения основной цели система безопасности ПДн ИСПДн должна обеспечивать эффективное решение следующих задач:

- защиту от вмешательства в процесс функционирования ИСПДн посторонних лиц (возможность использования АС и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи);

разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам ИСПДн (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям ИСПДн для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:

    1. к информации, циркулирующей в ИСПДн;

    2. средствам вычислительной техники ИСПДн;

    3. аппаратным, программным и криптографическим средствам защиты, используемым в ИСПДн;

регистрацию действий пользователей при использовании защищаемых ресурсов ИСПДн в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;

контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;

защиту от несанкционированной модификации и контроль целостности используемых в ИСПДн программных средств, а также защиту системы от внедрения несанкционированных программ;

защиту ПДн от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;

защиту ПДн, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;

обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;

своевременное выявление источников угроз безопасности ПДн, причин и условий, способствующих нанесению ущерба субъектам ПДн, создание механизма оперативного реагирования на угрозы безопасности ПДн и негативные тенденции;

создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности ПДн.


3. Объекты защиты.


3.1. Перечень информационных систем


В Управлении Росздравнадзора по Приморскому краю производится обработка персональных данных в информационных системах обработки персональных данных (ИСПДн).

Перечень персональных данных в ИСПДн подлежащих защите утвержден Приказом Руководителя Управления Росздравнадзора по Приморскому краю «___» _____________ 201__г. № ____.


3.2. Перечень объектов защиты

Объектами защиты являются – информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты. Перечень персональных данных, подлежащие защите, определен в Перечне персональных данных, подлежащих защите в ИСПД.

Объекты защиты включают:

1) обрабатываемая информация;

2) технологическая информация;

3) программно-технические средства обработки;

4) средства защиты ПДн;

5) каналы информационного обмена и телекоммуникации;

6) объекты и помещения, в которых размещены компоненты ИСПДн.


4. Классификация пользователей ИСПДн


Пользователем ИСПДн является лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. Пользователем ИСПДн является любой сотрудник Управления, имеющий доступ к ИСПДн и ее ресурсам в соответствии с установленным порядком, в соответствии с его функциональными обязанностями.


Пользователи ИСПДн делятся на две основные категории:

1. Ответственный за обеспечение безопасности персональных данных – сотрудник Управления, который занимается настройкой, внедрением и сопровождением системы. Ответственный за обеспечение безопасности персональных данных обладает следующим уровнем доступа:

    1. обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

    2. обладает полной информацией о технических средствах и конфигурации ИСПДн;

    3. имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

    4. обладает правами конфигурирования и административной настройки технических средств ИСПДн.

    5. обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

    6. обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;

    7. может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

2. Пользователь ИСПДн – сотрудники подразделений Управления, участвующих в процессе эксплуатации ИСПДн. Пользователь ИСПДн обладает следующим уровнем доступа:

    1. обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

    2. располагает конфиденциальными данными, к которым имеет доступ.

Категории пользователей должны быть определены для каждой ИСПДн. Должно быть уточнено разделение сотрудников внутри категорий, в соответствии с типами пользователей определенными в Политике информационной безопасности.

Данные о группах пользователях, уровне их доступа и информированности должен быть отражен в Положение о разграничении прав доступа к обрабатываемым персональным данным.


1   2   3   4   5

Похожие:

Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconПолитика информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Определения
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную...
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconЧастная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год
Лёня – оператор персональных данных юридическое лицо, совместно с другими лицами организующее и осуществляющее обработку персональных...
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconМетодические рекомендации по проведению в 2011 2012 годах работ по информационной безопасности для регионального уровня единой государственной информационной системы в сфере здравоохранения
Настоящим документом определен состав и порядок выполнения работ для обеспечения информационной безопасности при обработке персональных...
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconСборник упражнении по стандарту sql
«Системы управления базами данных» для студентов специальностей «Прикладная информатика в экономике», «Автоматизированные системы...
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconОбразовательная программа "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" разработана в соответствии с правовыми и нормативными документами,
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных,...
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconАудит информационной безопасности предприятий и систем учебное пособие Тула,2008 Содержание
Международные правовые аспекты, стандарты и руководства по основам аудита информационной безопасности
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconПриказ №01-138/08 «15» декабря 2010 г. Положение о порядке обработки и обеспечении безопасности персональных данных в гоу средней общеобразовательной школе №438 Москва
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание icon1 Проведение первоначального аудита информационной безопасности
Необходимость создания системы информационной безопасности
Концепция информационной безопасности информационной системы персональных данных Управления Росздравнадзора по Приморскому краю Содержание iconЭтапы проектирования базы данных
БД) – одна из наиболее сложных и ответственных задач, связанных с созданием информационной системы (ИС). В результате её решения...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница