АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА
ЗАКРЫТОГО АДМИНИСТРАТИВНО-ТЕРРИТОРИАЛЬНОГО ОБРАЗОВАНИЯ
СИБИРСКИЙ
ПОСТАНОВЛЕНИЕ
от 8 сентября 2011 г. № 414
ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ ЗАТО СИБИРСКИЙ
В соответствии с требованиями Федерального закона
Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных", системным подходом к обеспечению информационной безопасности и стремительным расширением сферы применения новейших информационных технологий и процессов в Администрации ЗАТО Сибирский при обработке информации постановляю:
1. Утвердить Концепцию
информационной безопасности информационных систем персональных данных в Администрации ЗАТО Сибирский (прилагается).
2. Управлению по муниципальным информационным ресурсам Администрации ЗАТО Сибирский (С.Ю.Болотникова) опубликовать настоящее постановление в газете "Сибирский вестник".
3. Контроль за исполнением постановления возложить на заместителя Главы Администрации по социальным вопросам О.Б.Гречушникову.
Глава Администрации
С.М.ДРАЧЕВ
Утверждена
Постановлением
Администрации ЗАТО Сибирский
от 8 сентября 2011 г. № 414
КОНЦЕПЦИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ЗАТО СИБИРСКИЙ
1. Общие положения
В настоящем документе используются следующие термины и их определения:
Автоматизированная система - система, состоящая из комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Доступ к информации - возможность получения информации и ее использования.
Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабатываемая в информационной системе персональных данных.
Сфера ответственности Главы Администрации включает следующие направления обеспечения безопасности ПДн:
- планирование и реализация мер по обеспечению безопасности ПДн;
- анализ угроз безопасности ПДн;
- разработку, внедрение, контроль исполнения и поддержание в актуальном состоянии политик, руководств, концепций, процедур, регламентов, инструкций и других организационных документов по обеспечению безопасности;
- контроль защищенности ИТ инфраструктуры Администрации ЗАТО Сибирский от угроз ИБ;
- обучение и информирование пользователей ИСПДн Администрации ЗАТО Сибирский о порядке работы с ПДн и средствами защиты;
- предотвращение, выявление, реагирование и расследование нарушений безопасности ПДн.
При взаимодействии со сторонними организациями в случаях, когда сотрудникам этих организаций предоставляется доступ к объектам защиты, с этими организациями должно быть заключено "Соглашение о конфиденциальности", либо "Соглашение о соблюдении режима безопасности ПДн при выполнении работ в ИСПДн". Подготовка типовых вариантов этих соглашений осуществляется совместно с юридическим отделом Администрации ЗАТО Сибирский.
10. Модель нарушителя безопасности
Под нарушителем в Администрации ЗАТО Сибирский и органах Администрации ЗАТО Сибирский понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб объектам защиты.
Нарушители подразделяются по признаку принадлежности к ИСПДн Администрации ЗАТО Сибирский и органам Администрации. Все нарушители делятся на две группы:
- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;
- внутренние нарушители - работники, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.
Классификация нарушителей представлена в Модели угроз безопасности персональных данных каждой ИСПДн Администрации ЗАТО Сибирский, утвержденной постановлением Администрации ЗАТО Сибирский.
11. Модель угроз безопасности
Для ИСПДн Администрации ЗАТО Сибирский выделяются следующие основные категории угроз безопасности персональных данных:
Угрозы от утечки по техническим каналам.
Угрозы несанкционированного доступа к информации:
- угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн;
- угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);
- угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера;
- угрозы преднамеренных действий внутренних нарушителей;
- угрозы несанкционированного доступа по каналам связи.
Описание угроз, вероятность их реализации, опасность и актуальность представлены в Модели угроз безопасности персональных данных каждой ИСПДн.
12. Механизм реализации Концепции
Реализация Концепции должна осуществляться на основе перспективных программ и планов, которые составляются на основании и во исполнение:
- федеральных законов в области обеспечения информационной безопасности и защиты информации;
- постановлений Правительства Российской Федерации;
- руководящих, организационно-распорядительных и методических документов ФСТЭК России;
- постановлений и распоряжений Администрации ЗАТО Сибирский;
- потребностей ИСПДн Администрации ЗАТО Сибирский и в средствах обеспечения безопасности информации.
Ожидаемый эффект от реализации Концепции
Реализация Концепции безопасности ПДн в ИСПДн Администрации ЗАТО Сибирский позволит:
- оценить состояние безопасности информации ИСПДн, выявить источники внутренних и внешних угроз информационной безопасности, определить приоритетные направления предотвращения, отражения и нейтрализации этих угроз;
- разработать распорядительные и нормативно-методические документы применительно к ИСПДн;
- провести классификацию и сертификацию ИСПДн;
- провести организационно-режимные и технические мероприятия по обеспечению безопасности ПДн в ИСПДн;
- обеспечить необходимый уровень безопасности объектов защиты.
Осуществление этих мероприятий обеспечит создание единой, целостной и скоординированной системы информационной безопасности ИСПДн Администрации ЗАТО Сибирский и создаст условия для ее дальнейшего совершенствования.
