пользователей: 30398
предметов: 12406
вопросов: 234839
Конспект-online
 РЕГИСТРАЦИЯ ЭКСКУРСИЯ

16.04.15 Аттестация объектов информатизации. Информационные системы.



Требования к защите персональных данных при их обработке в информационных системах персональных данных. Постановление от 01.11.2012 номер 1119. 

ИС— информационная система. 
ПД — персональные данные. 

Информационные системы персональных данных:
1) ИС, обрабатывающая специальные категории ПД (о расовой, национальной принодлежности, политических взглядов...)
2) ИС, обрабатывающая биометрические ПД (на их основании можно установить личность человека)
3) ИС, обрабатывающая общедоступные ПД (полученные только из общедоступных ПД)
4) ИС, обрабатывающая иные категории ПД, если в ней не обрабатываются ПД, указанные в 1-3 пунктах
5) ИС, обрабатывающая ПД сотрудников оператора, если в ней обрабатываются ПД только указанных сотрудников. 

Типы угроз:
1) 1 тип: угрозы, связанные с наличием недокументированных возможностей в системном ПО
2) 2 тип: угрозы, связанные с наличием недокументированных возможностей в прикладном ПО
3) 3 тип: угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном ПО. 

Уровни защищенности ПД в ИС:

Условия первого уровня:
Тип угроз 1: специальные категории ПД, биометрические ПД, иные категории ПД. 
Тип угроз 2: специальные категории ПД больше 100 000 субъектов ПД, не являющихся сотрудниками оператора. 

Условия второго уровня:
Тип угроз 1: общедоступные ПД
Тип угроз 2: специальные категории ПД сотрудников оператора, специальные категории ПД меньше 100 000 субъектов, биометрические ПД, общедоступные ПД больше 100 000 субъектов, иные категории ПД больше 100 000 субъектов
Тип угроз 3: специальные категории ПД больше 100 000 субъектов. 

Условия третьего уровня:
Тип угроз 2: общедоступные ПД сотрудников оператора, общедоступные ПД меньше 100 000 субъектов, иные категории ПД сотрудников оператора, иные категории ПД меньше 100 000 субъектов
Тип угроз 3: специальные категории ПД сотрудников оператора, специальные категории ПД меньше 100 000 субъектов, биометрические ПД, иные категории ПД больше 100 000 субъектов. 

Условия четвертого уровня:
Тип угроз 3: 
1) общедоступные ПД
2) иные категории ПД сотрудников оператора или иные категории ПД меньше 100 000 субъектов ПД, не являющихся сотрудниками оператора. 

Меры по обеспечению безопасности:
1) идентификация и аутентификация субъектов доступа и объектов доступа
2) управление доступом субъектов доступа к объектам доступа
3) ограничение программной среды
4) защита машинных носителей информации, на которых хранятся и(или) обрабатываются ПД
5) регистрация событий безопасности
6) антивирусная защита
7) обнаружение и предотвращение вторжений
8) контроль (анализ) защищенности ПД
9) защита средств виртуализации
10) защита технических средств. 

В случае определения в соответсвии с требованиями к защите персональных при их обработке в информационных системах персональных данных в качестве актуальных угроз безопасности персональных данных 1 и 2 типов дополнительно к мерам по обеспечению безопасности ПД могут применяться следующие меры:
1) проверка системного и(или) прикладного ПО, включая программный код, на отсутствие недекларированных возможностей
2) тестирование И. На проникновения
3) использование в ИС системного и(или) прикладного ПО, разработанного с использованием методов защищенного программирования. 


При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса; межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно- телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

б) для обеспечения 3 уровня защищенности персональных данных применяются: средства вычислительной техники не ниже 5 класса; системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно- телекоммуникационными сетями международного информационного обмена; межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

в) для обеспечения 4 уровня защищенности персональных данных применяются: . средства вычислительной техники не ниже 6 класса; 7 системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса; межсетевые экраны 5 класса. Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

По Приказу ФСТЭК Росии от 18.02.2013 номер 21 к государственным ИС:
В случае обработки в информационной системе информации, содержащей персональные данные, реализуемые в соответствии с пунктами 21 и 22 настоящих Требований меры защиты информации: для информационной системы 1 класса защищенности обеспечивают 1, 2, 3 и 4 уровни защищенности персональных данных1;
для информационной системы 2 класса защищенности обеспечивают 2, 3 и 4 уровни защищенности персональных данных* ; для информационной системы 3 класса защищенности обеспечивают 3 и 4 уровни защищенности персональных данных;
для информационной системы 4 класса защищенности, обеспечивают 4 уровень защищенности персональных данных.
09.09.2015; 13:43
хиты: 98
рейтинг:0
для добавления комментариев необходимо авторизироваться.
  Copyright © 2013-2024. All Rights Reserved. помощь