Модель угроз безопасности персональных данных определяет перечень актуальных угроз.
Модель угроз разрабатывается на основании Методики составления модели угроз.
Пример Модели угроз безопасности персональных данных.
Модель угроз должна:
1) Быть утверждена Руководителем Учреждения, на основании Отчета о результатах проведения внутренней проверки.
Дата принятия Модели угроз, должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки.
2) Быть составлена в соответствии с Методикой составления ЧМУ в учреждениях Минздравсоцразвития.
3) В Модели должны быть перечислены названиях всех выявленных ИСПДн.
4) Для каждой выявленной ИСПДн должен быть выделен раздел в Модели.
5) Для каждой ИСПДн должна быть определена ее структура, в которой определяются характеристики режима обработки (см. раздел 4).
Заданные характеристики безопасности персональных данных | Типовая информационная система / специальная информационная система |
Структура информационной системы | Автоматизированное рабочее место/ Локальная информационная система / Распределенная информационная система |
Подключение информационной системы к сетям общего пользования и / или сетям международного информационного обмена | Имеется / не имеется |
Режим обработки персональных данных | Однопользовательская / многопользовательская система |
Режим разграничения прав доступа пользователей | Система с разграничение доступа / без разграничения доступа |
Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации / технические средства частично или целиком находятся за пределами Российской Федерации |
Дополнительные информация | К персональным данным предъявляется требование целостности и / или доступности |
Характеристики рекомендуется заполнять следующим образом:
|
- Все системы Учреждений являются специальными.
- Структура информационной системы может быть представлена как:
- Автоматизированное рабочее место, если вся обработка ПДн производится в рамках одного рабочего места.
- Локальная информационная система, если вся обработка ПДн производится в рамках одной локальной вычислительной сети.
- Распределенная информационная система, если обработка ПДн производится в рамках комплекса автоматизированных рабочих мест и / или локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа. Т.е. элементы ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и / или международного обмена.
- Подключение информационной системы к сетям общего пользования и / или сетям международного информационного обмена. Если ИСПДн или ее элементы имеют подключение к Интернету или другим сетям, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
- Режим обработки персональных данных. Система является однопользовательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройка и поддержку технических и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.
|
- Режим разграничения прав доступа пользователей. Если в системе все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью и вход под другими учетными записями не осуществляется, то ИСПДн не имеет системы разграничения прав доступа. Во всех других случаях ИСПДн имеет систему разграничения прав доступа.
- Местонахождение технических средств информационной системы. Все ИСПДн Учреждений находятся на территории Российской Федерации.
- Дополнительная информация. К ИСПДн Учреждений предъявляются требования целостности. Если также должно обеспечиваться требование доступности, то необходимо внести соответствующие изменения.
6) Для каждой ИСПДн должен быть определен перечень обрабатываемых персональных данных, а так же состав объектов защиты. Примерный состав обрабатываемых персональных данных и объектов защиты описан в Перечне персональных данных, подлежащих защите.
7) На основании состава персональных данных должен быть сделан вывод о категории обрабатываемых персональных данных (ХПД) (см. раздел 4).
8) Должно быть определен объем записей персональных данных (ХПДН). В ИСПДн объем ПДн может принимать значение:
- 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
|
- 2- в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
- 3- в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
9) Для каждой ИСПДн должна быть нарисована конфигурация ИСПДн – схематичное взаиморасположение элементов системы. Конфигурация может быть нарисована в любом графическом редакторе.
При составлении конфигурации могут использоваться следующие условные обозначения:
– Группа пользователей ИСПДн.
– АРМ пользователей ИСПДн.
– Сервер, например, почтовый, файловый, proxy сервер, сервер приложений и другие.
– Сервер баз данных.
– Межсетевой экран.
– Сеть общего доступа и / или международного обмена, например, Интернет.
– Направление информационного взаимодействия.
Пример конфигурации ИСПДн приведен на рисунке 1. Здесь показана ИСПДн, основным элементом которой является сервер баз данных ORACLE. К БД ORACLE осуществляют доступ Операторы и Разработчики ИСПДн, авторизуясь под своими доменными учетными записями в домене Domain.
К БД ORACLE так же имеют удаленный доступ Операторы филиала. Удаленный доступ организуется по сети общего пользования и международного обмена – Интернету. Операторы филиала вначале авторизуются в своем домене Domain-F, подключаются через Интернет к терминальному серверу Terminal Server, авторизуясь на нем под учетной записью основного домена Domain. Затем Операторы филиала авторизуются в БД ORACLE.
Пример конфигурации ИСПДн приведен на рисунке 3.
Рисунок 3
10) Для каждой ИСПДн должно быть нарисовано территориальное расположение ИСПДн относительно контролируемой зоны. Расположение ИСПДн относительно контролируемой зоны может быть нарисовано в любом графическом редакторе.
При составлении конфигурации могут использоваться следующие условные обозначения:
– АРМ пользователей ИСПДн.
– Сервера ИСПДн.
Пример расположение ИСПДн относительно контролируемой зоны приведен на рисунке 4.
Рисунок 4
11) Для каждой ИСПДн должна быть описана структура обработки ПДн. Структура обработки должна включать всю последовательность шагов по вводу ПДн, их обработке, передаче в другие ИСПДн и другим процессам. Структура обработки ПДн может быть описана как в текстовом, так и в графическом виде.
Пример описания структуры ИСПДн:
1) Сотрудник Регистратуры авторизуется на своем рабочем месте в ОС Windows XP в домене.
2) Сотрудник авторизуется в программе Медиалог.
3) Сотрудник вносит в программу данные из больничной карты пациента.
4) Данные хранятся на сервере MS SQL Server.
12) Для каждой ИСПДн должны быть определены группы пользователей участвующие в обработке ПДн. Список групп берется из Политики информационной безопасности. Для всех групп должен быть определен перечень прав и уровень доступа. Все это необходимо отразить в Матрице доступа.
Пример Матрицы доступа:
Группа | Уровень доступа к ПДн | Разрешенные действия | Сотрудники отдела |
Администраторы ИСПДн | Обладают полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладают полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. Обладают правами конфигурирования и административной настройки технических средств ИСПДн. | - сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение | Отдел информационных технологий |
Администратор безопасности | Обладает правами Администратора ИСПДн. Обладает полной информацией об ИСПДн. Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн. Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). | - сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение | Петров П.П. |
Операторы ИСПДн с правами записи | Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. | - сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение | Отдел регистратуры |
Операторы ИСПДн с правами чтения | Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ к подмножеству ПДн. | - использование | Сотрудники call-центра |
13) Для каждой ИСПДн должен быть определен поименный список сотрудников, участвующих в обработке.
14) Для каждой ИСПДн должен быть дополнен список внутренних нарушителей (см. раздел 1.6. Модели угроз) в соответствии с уточненным списком групп в Политике информационной безопасности.
15) Для каждой ИСПДн должен быть определен исходный уровень защищенности, по параметрам:
Позиция | Технические и эксплуатационные характеристики | Уровень защищенности |
По территориальному размещению | ||
По наличию соединения с сетями общего пользования | ||
По встроенным (легальным) операциям с записями баз персональных данных | ||
По разграничению доступа к персональным данным | ||
По наличию соединений с другими базами ПДн иных ИСПДн | ||
По уровню (обезличивания) ПДн | ||
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки |
16) Для каждой ИСПДн должны быть определены вероятности реализации угроз безопасности персональных данных (на основании Методических рекомендаций по составлению модели угроз раздел 8.5).
17) Для каждой ИСПДн должна быть определена реализуемость угроз безопасности персональных данных (на основании Методических рекомендаций по составлению модели угроз раздел 9).
18) Для каждой ИСПДн должна быть определена опасность реализации угроз безопасности персональных данных (на основании Методических рекомендаций по составлению модели угроз раздел 10).
19) Для каждой ИСПДн должна быть определена актуальность угроз безопасности персональных данных (на основании Методических рекомендаций по составлению модели угроз раздел 11).
20) Для каждой ИСПДн должны быть определены необходимые меры по снижению опасности актуальных угроз. Перечень возможных организационных мер представлен в Плане мероприятий по обеспечению защиты ПДн.
21) Для каждой ИСПДн должны быть составлена обобщенная таблица Модели угроз (на основании Методических рекомендаций по составлению модели угроз - Приложения).
22) На основании полученных данных для каждой ИСПДн должно быть сделано заключение о классификации ИСПДн и необходимости аттестации.
Пример Заключения:
В соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, на основании категории и объема обрабатываемых персональных данных – ИСПДн «АИС Регистратура» классифицируется, как специальная ИСПДн класса K3.
Аттестация ИСПДн «АИС Регистратура» не требуется.
Рекомендации по разработке Плана мероприятий по обеспечению защиты ПДн
План мероприятий по обеспечению защиты ПДн определяет перечень мероприятий обеспечения безопасности.
Пример Плана мероприятий по обеспечению защиты ПДн.
План должен:
1) Быть оформлен в соответствии с внутренним порядком документооборота Учреждения.
2) Быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником, на основании Отчета о результатах проведения внутренней проверки.
Дата введения Плана, должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки.
3) В Плане должен быть уточнен список мероприятий по обеспечению безопасности ПДн с учетом уже имеющихся мероприятий. Не обязательно внедрять все мероприятия (особенно в части технических мер, за исключением случаев описанных в разделе 0).
4) Обобщенный список мероприятий содержит:
Мероприятие | Периодичность | Исполнитель/ Ответственный |
ИСПДн 1 | ||
Организационные мероприятия | ||
Первичная внутренняя проверка | Разовое срок до 01.01.2010 г. | |
Определение перечня ИСПДн | Разовое срок до | |
Определение обрабатываемых ПДн и объектов защиты | Разовое срок до | |
Определение круга лиц участвующих в обработке ПДн | Разовое срок до | |
Определение ответственности лиц участвующих в обработке | Разовое срок до | |
Определение прав разграничения доступа пользователей ИСПДн, необходимых для выполнения должностных обязанностей | Разовое срок до | |
Назначение ответственного за безопасность ПДн | Разовое срок до | |
Введение режима защиты ПДн | Разовое срок до | |
Утверждение Концепции информационной безопасности | Разовое срок до | |
Утверждение Политики информационной безопасности | Разовое срок до | |
Собрание коллегиального органа по классификации ИСПДн | Разовое срок до | |
Классификация всех выявленных ИСПДн | Разовое срок до | |
Первичный анализ актуальности УБПДн | Разовое срок до | |
Установление контролируемой зоны вокруг ИСПДн | Разовое срок до | |
Выбор помещений для установки аппаратных средств ИСПДн в помещениях, с целью исключения НСД лиц, не допущенных к обработке ПДн | Разовое срок до | |
Организация режима и контроля доступа (охраны) в помещения, в которых установлены аппаратные средства ИСПДн. | Разовое срок до | |
Организация порядка резервного копирования защищаемой информации на твердые носители | Разовое срок до | |
Организация порядка восстановления работоспособности технических средств, ПО, баз данных с подсистем СЗПДн | Разовое срок до | |
Введение в действие инструкции по порядку формирования, распределения и применения паролей | Разовое срок до | |
Организация информирования и обучения сотрудников о порядке обработки ПДн | Разовое срок до | |
Организация информирования и обучения сотрудников о введенном режиме защиты ПДн | Разовое срок до | |
Разработка должностных инструкций о порядке обработки ПДн и обеспечении введенного режима защиты | Разовое срок до | |
Разработка инструкций о порядке работы при подключении к сетям общего пользования и / или международного обмена | Разовое срок до | |
Разработка инструкций о действии в случае возникновения внештатных ситуаций | Разовое срок до | |
Разработка положения о внесении изменения в штатное программное обеспечение элементов ИСПДн | Разовое срок до | |
Разработка положения о порядке внесения изменений в программное обеспечение собственной разработки или штатное ПО, специально дорабатываемое собственными разработчиками или сторонними организациями. Положение должно включать в себя техническое задание на изменения, технический проект, приемо-сдаточные испытания, акт о введении в эксплуатацию. | Разовое срок до | |
Организация журнала учета обращений субъектов ПДн | Разовое срок до | |
Организация перечня по учету технических средств и средств защиты, а так же документации к ним | Разовое срок до | |
Физические мероприятия | ||
Организация постов охраны для пропуска в контролируемую зону | Разовое срок до | |
Внедрение технической системы контроля доступа в контролируемую зону и помещения (по электронным пропускам, токену, биометрическим данным и т.п.) | Разовое срок до | |
Внедрение технической системы контроля доступа к элементам ИСПДн (по электронным пропускам, токену, биометрическим данным и т.п.) | Разовое срок до | |
Внедрение видеонаблюдения | Разовое срок до | |
Установка дверей на входе в помещения с аппаратными средствами ИСПДн | Разовое срок до | |
Установка замков на дверях в помещениях с аппаратными средствами ИСПДн | Разовое срок до | |
Установка жалюзи на окнах | Разовое срок до | |
Установка решеток на окнах первого и последнего этажа здания | Разовое срок до | |
Установка системы пожаротушения в помещениях, где расположены элементы ИСПДн | Разовое срок до | |
Установка систем кондиционирования в помещениях, где расположены аппаратные средства ИСПДн | Разовое срок до | |
Установка систем бесперебойного питания на ключевые элементы ИСПДн | Разовое срок до | |
Внедрение резервных (дублирующих) технических средств ключевых элементов ИСПДн | Разовое срок до | |
Технические (аппаратные и программные) мероприятия | ||
Внедрение единого хранилища зарегистрированных действий пользователей с ПДн | Разовое срок до | |
Внедрение специальной подсистемы управления доступом, регистрации и учета (НАЗВАНИЕ) | Разовое срок до | |
Внедрение антивирусной защиты (НАЗВАНИЕ) | Разовое срок до | |
Внедрение межсетевого экранирования (НАЗВАНИЕ) | Разовое срок до | |
Внедрение подсистемы анализа защищенности (НАЗВАНИЕ) | Разовое срок до | |
Внедрение подсистемы обнаружения вторжений (НАЗВАНИЕ) | Разовое срок до | |
Внедрение криптографической защиты (НАЗВАНИЕ) | Разовое срок до | |
Контролирующие мероприятия | ||
Создание журнала внутренних проверок и поддержание его в актуальном состоянии | Ежемесячно | |
Контроль над соблюдением режима обработки ПДн | Еженедельно | |
Контроль над соблюдением режима защиты | Ежедневно | |
Контроль над выполнением антивирусной защиты | Еженедельно | |
Контроль за соблюдением режима защиты при подключении к сетям общего пользования и / или международного обмена | Еженедельно | |
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты ПДн | Ежегодно | |
Контроль за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн | Еженедельно | |
Контроль за обеспечением резервного копирования | Ежемесячно | |
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а так же предсказание появления новых, еще неизвестных, угроз | Ежегодно | |
Поддержание в актуальном состоянии нормативно-организационных документов | Ежемесячно | |
Контроль за разработкой и внесением изменений в программное обеспечение собственной разработки или штатное ПО специально дорабатываемое собственными разработчиками или сторонними организациями. | Ежемесячно |
5) В случае уточнения мероприятий обеспечения безопасности, вследствие специфики обеспечения безопасности конкретного Учреждения, соответствующие изменения должны быть внесены в План.