Руководства, Инструкции, Бланки

Акт Определения Уровня Защищенности Испдн Образец

Категория: Бланки/Образцы

Описание

Акт определения уровня защищенности ПДн при их обработке в ИСПДн

Акт определения уровня защищенности ПДн при их обработке в ИСПДн

Материал из WikiSec

В данной статье освещается такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн. Это, если можно так сказать, перерождение Акта классификации ИСПДн. Основной камень преткновения, который здесь есть, это не совсем понятная картина в том, что является законодательным инструментом в написании данного акта. Дело в том, что ранее Акт классификации ИСПДн писался на основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», который и утверждает порядок классификации. Но издан этот приказ в соответствии с пунктом 6 Постановления Правительства №781 от 17 ноября 2007 г. которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012. Таким образом, приказ действующий, а вышестоящий документ – нет. В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн.

Итак: «Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********»

Далее по содержанию акта:

Определяем состав комиссии.

После пишем, на основании какого документа мы определяем, какой уровень защищенности нам необходимо обеспечить. Естественно, это ПП 1119. Однако есть мнение, что т.к. приказ №55/86/20 еще не утратил силу, то указать желательно и его. Привычка регулятора может сыграть злую шутку.

Далее по пунктам расписываем, что определила комиссия, а именно:

1. Категории персональных данных, обрабатываемых в информационной системе. Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические, специальные. Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.

2. Объём обрабатываемых персональных данных. Здесь все просто, либо менее 10 000, либо более 10 000.

3. Угрозы, актуальные для информационной системы. Опять таки, типы угроз расписаны в ПП 1119. И также по тексту описываем, какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.

4. Тип субъектов персональных данных, обрабатываемых в информационной системе. Тоже все просто. Это либо только сотрудники оператора, либо нет. Также лучше пояснить, что значит «сотрудники оператора». Вам не сложно, а у регулятора меньше поводов зацепиться.

5. К специальной или типовой относится ИСПДН. Здесь также лучше расписать, по каким критериям происходит отнесение. Только это уже берется не из ПП 1119, а из «трехглавого» приказа №55/86/20.

6. Структуру ИСПДн (автономная, локальная, распределенная)

7. Имеются ли подключения ИСПДн к сетям общего пользования

8. Режим обработки ПДн в ИСПДн (однопользовательский или многопользовательский)

9. Имеется ли разграничение доступа

10.Территориальное расположение ИСПДн (Целиком в пределах РФ или нет)

По сути, п.п. 5-10 здесь не нужны, т.к. для определения уровня защищенности достаточно первых четырех, однако пару лет все-таки рекомендуется не исключать "отголоски" трехглавого приказа, если он, конечно, не будет отменен в явном виде ранее.

Завершающий аккорд: определение необходимого уровня защищенности. Формулировка здесь также свободная, однако рекомендуется сослаться на модель угроз.

Первая страница: титульный лист. Оформляется согласно принятым в организации стандартам.

Видео

акт определения уровня защищенности испдн образец:

  • скачать
  • скачать
  • Другие статьи

    Акт определения уровня защищенности испдн образец

    3. Методика и порядок выполнения работы.

    1. На данном практическом занятии студенты составляют «АКТ определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных», содержащий обязательные поля для заполнения, отмеченные красным шрифтом.

    2. Акт оформляется в виде модели защиты с составом и содержанием мер по обеспечению безопасности ПДн, согласно формы для заполнения, см. приложение 3 данной методики.

    4. Содержание отчёта и его форма

    Отчёт выполняется каждым студентом индивидуально. Работа должна быть оформлена в электронном виде в формате .doc и распечатана на листах формата А4.

    На титульном листе указываются: наименование учебного учреждения, наименование дисциплины, название и номер работы, вариант, выполнил: фамилия, имя, отчество, студента, курс, группа, проверил: преподаватель ФИО.

    5. Контрольные вопросы

    1) Что включает в себя выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных?

    2) В каких случаях применяются компенсирующие меры?

    3) Какого класса применяются средства вычислительной техники для обеспечения 3 уровня защищенности персональных данных?

    Общие исходные данные для расчётов:

    Персональные данные - не общедоступные

    Наличие подключений ИСПДн к сетям связи общего пользования/сетям МИО - имеющие подключение .

    Все элементы ИСПДн находятся в пределах КЗ.

    Пользователи имеют разные права доступа к ПДн.

    Недекларированные возможности в ПО отсутствуют.

    Таблица 1. Индивидуальные исходные данные для расчётов:

    Акт опеделения уровня защищенности испДн «сотрудники»

    В ходе работы комиссия установила:

    1) категория персональных данных – иные;

    2) обрабатываются персональных данных сотрудников оператора;

    3) объем обрабатываемых персональных данных – менее 100000 субъектов персональных данных;

    4) структура информационной системы: автономная ИС.

    5) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: да;

    6) режим обработки персональных данных: многопользовательский;

    7) режим разграничения прав доступа пользователей информационной системы: с разграниченными правами доступа;

    8) местонахождение технических средств: в пределах Российской Федерации;

    По результатам анализа исходных данных и модели определения угроз исходящих от НДВ в ПО ИСПДн, ИСПДн «Сотрудники» присваивается 4 уровень защищенности.

    Требования по защищенности для 4 уровня (согласно ПП №1119):

    - организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

    - обеспечение сохранности носителей персональных данных

    - утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей

    - использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

    Литература

    Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ, Об информации, информационных технологиях и о защите информации

    Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ О персональных данных

    «Порядок проведения классификации информационных систем персональных данных», утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №. 55/86/20

    Приказ ФСТЭК от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

    Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 г. № 996 Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ

    Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России от 15.02.2008 г.

    Постановление Правительства РФ от 21.03.2012 N 211 (ред. от 20.07.2013) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

    ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

    Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996, утвержденные 13.12.2013 г. Руководителем Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций

    «Алгоритм действий оператора ПДн по созданию системы защиты ИСПДн». Статья, август 2013. Код безопасности

    Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказ ФСТЭК России от «18» февраля 2013 г. № 21.// Официальный сайт ФСТЭК России. URL: http://fstec.ru/component/attachments/download/562(дата обращения: 15.09.2014).

    «Алгоритм действий оператора ПДн по созданию

    системы защиты ИСПДн». Статья, август 2013. Код безопасности http://www.securitycode.ru/upload/iblock/8e9/algoritm-deystviy-operatora-pdn-po-sozdaniyu-sistemy-zashchity-ispdn.pdf

    It-diver: Персональные данные и их защита

    При обсуждении защиты персональных данных с точки зрения российского законодательства часто возникает путаница с терминологией. Причиной этого является путанность и несовершенство самих законов - про это много и хорошо написано тут http://lukatsky.blogspot.ru/

    Для наведения некоторого порядка в голове привожу перечень нормативных актов и основные определения терминов и понятий из области защиты персональных данных, актуальных в июле 2014 года.

    ЗИ - защита информации
    ИС - информационная система
    ИСПДн - информационная система персональных данных
    МЭ - межсетевой экран
    НДВ - недекларированные возможности
    НСД - несанкционированный доступ
    ПДн - персональные данные
    СВТ - средства вычислительной техники
    СЗИ - средства защиты информации

    3 основных документа ФСТЭК, которые будут определять развитие ИБ в ближайшие годы, - ПДн (21-й приказ), ГИС/МИС (17-й приказ) и АСУ ТП (проект приказа).

    Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных.

    Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва

    "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

    Методические материалы ФСТЭК России
    • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года.
    • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года.
    • Приказ ФСТЭК России от 18 февраля 2013 г. N 21 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

    Методические материалы ФСБ России

    • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года.
    • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 года.
    В соответствии с положениями федерального закона от 27 декабря 2009 года № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона „О персональных данных“», вступившего в силу 29 декабря 2009 года, в законе № 152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПДн шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путем организации криптографической защиты данных, перестали носить обязательный характер.

    Приказ трех ведомств

    Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет собой методическую рекомендацию по классификации информационных систем.

    Классификация информационных систем персональных данных (ИСПДн)

    Категории персональных данных (Хпд):

    • категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
    • категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
    • категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
    • категория 4 - обезличенные и (или) общедоступные персональные данные.

    Информационные системы подразделяются на типовые и специальные информационные системы.

    Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

    Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

    К специальным информационным системам должны быть отнесены:

    • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
    • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

    От класса ИСПДн зависит, какие требования по обеспечению безопасности персональных данных должны выполняться в данной информационной системе. Чем ниже класс ИСПДн, тем выше требования по обеспечению ее защиты.

    Типовой информационной системе присваивается один из следующих классов:

    • класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
    • класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
    • класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
    • класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

    Что такое информационная система и как ее защищать?

    Определение уровня защищенности персональных данных на основе ПП № 1119.

    На основании ПП № 1119 следует составить "Акт определения уровня защищенности ПДн при их обработке в ИСПДн". Подробно описано тут http://ryndinvs.blogspot.ru/2013/06/blog-post_18.html.

    Начать нужно с названия документа: «Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных «**********»

    Определяется состав комиссии. Можно таблицей, можно текстом.

    Далее пишем, на основании какого документа мы определяем, какой уровень защищенности нам необходимо обеспечить. Пример формулировки «Комиссия, рассмотрев исходные данные информационной системы персональных данных (ИСПДн) «********»в соответствии с Постановлением Правительства Российской Федерации №1119 от 1 ноября 2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и учетом приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», определила:»

    Далее по пунктам расписываем, что определила комиссия, а именно:

    • Категории персональных данных, обрабатываемых в информационной системе. Здесь, согласно ПП 1119 у нас есть 4 варианта: иные, общедоступные, биометрические, специальные. Также рекомендую по тексту расписать, что подразумевается под каждой категорией ПДн.
    • Объём обрабатываемых персональных данных. Здесь все просто, либо менее 100 000, либо более 100 000.
    • Угрозы, актуальные для информационной системы. Опять таки, типы угроз расписаны в ПП 1119. И также по тексту описываем, какие угрозы к какому типу относятся. Желательно описать, почему именно этот тип угроз, либо сослаться на модель угроз.
    • Тип субъектов персональных данных, обрабатываемых в информационной системе. Тоже все просто. Это либо только сотрудники оператора, либо нет. Также лучше пояснить, что значит «сотрудники оператора». Вам не сложно, а у регулятора меньше поводов зацепиться.
    • К специальной или типовой относится ИСПДН. Здесь также лучше расписать, по каким критериям происходит отнесение. Только это уже берется не из ПП 1119, а из «трехглавого» приказа №55/86/20.
    • Структуру ИСПДн (автономная, локальная, распределенная)
    • Имеются ли подключения ИСПДн к сетям общего пользования
    • Режим обработки ПДн в ИСПДн (однопользовательский или многопользовательский)
    • Имеется ли разграничение доступа
    • Территориальное расположение ИСПДн (Целиком в пределах РФ или нет)

    Завершающий аккорд: определение необходимого уровня защищенности. Формулировка здесь также свободная, можно добавить отсылку на модель угроз:
    По результатам анализа исходных данных, а также основываясь на модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных «********», в информационной системе «********» требуется обеспечение Х уровня защищенности персональных данных.

    Требования по обеспечению уровней защищенности по ПП №1119


    Меры по защите персональных данных по приказу ФСТЭК России от 18 февраля 2013 г. N 21

    Класс защищенности - распределение показателей защищенности по классам СВТ

    РД СВТ Защита от НСД к информации. Показатели защищенности от НСД к информации.

    Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.

    Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

    • первая группа содержит только один седьмой класс;
    • вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
    • третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
    • четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
    Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.

    Классы защищенности межсетевых экранов

    РД. СТВ. Межсетевые экраны. Защита от несанкционированного доступа к информации
    Показатели защищенности от несанкционированного доступа к информации

    Устанавливается пять классов защищенности МЭ.

    Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.

    Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

    Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и АС в соответствии с руководящими документами Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации” и “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации”.

    При включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.

    Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.
    Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
    - при обработке информации с грифом “секретно” - не ниже 3 класса;
    - при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
    - при обработке информации с грифом “особой важности” - не ниже 1 класса.



    Уровень контроля НДВ

    РД Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей
    Требования к уровню контроля

    Класс АС

    РД Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации.

    Классификация автоматизированных систем устроена иначе.

    • Устанавливается девять классов защищенности АС от НСД к информации.
    • Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
    • Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
    • В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
    • Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
    • Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
    • Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
    Сертификация

    C isco Certified Network Associate
    Cisco Certified Design Associate
    Cisco Certified Design Professional
    Cisco Express Foundation Design Specialist
    Microsoft Certified Professional
    Microsoft Certified System Administrator 2000 - 2003
    Microsoft Certified System Engineer 2003
    Microsoft Certified IT Professional: Server Administrator
    EMC Proven Professional Specialist: Implementation Engineer, CLARiiON Solutions Specialist, Network Attached Storage (NAS) Specialist
    The Linux Professional Institute Certification
    ITIL v3 Foundation Examination

    Книги, которые читаю
    • Айн Рэнд. Атлант расправил плечи
    • PMBoK