Угрозы в ИСПДн ЕИИС «Соцстрах»
В соответствии с Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». для обеспечения безопасности ПДн при их обработке в ИСПДн ЕИИС "Соцстрах" используются мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн 1 класса при многопользовательском режиме обработки ПДн и разных правах доступа к ним разных пользователей.
Для ЕИИС «Соцстрах» актуальными являются угрозы 3-го типа.
В соответствии с «Описанием информационной системы персональных данных Фонда социального страхования Российской Федерации», «Моделью угроз безопасности персональных данных при их обработке в информационной системе персональных данных единой интегрированной информационной системе Фонда социального страхования Российской Федерации» ИСПДн ЕИИС «Соцстрах» обладает следующими характеристиками:
категория обрабатываемых в ИСПДн данных – 1 (первая);
объем обрабатываемых персональных данных – 1 (в информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов персональных данных);
характеристики безопасности персональных данных – специальная информационная система;
структура информационной системы – распределенная;
наличие подключения к сетям связи общего пользования и (или) сетям международного информационного обмена – информационная система, имеющая подключения;
режим обработки персональных данных в информационной системе – многопользовательский;
разграничение прав доступа пользователей к информационной системе - система с разграничением прав доступа;
местонахождение информационной системы – в пределах Российской Федерации.
Актуальными угрозами безопасности ПДн в ИСПДн ЕИИС "Соцстрах" являются угрозы:
реализуемые после загрузки операционной системы;
внедрения вредоносных программ;
реализуемые в ходе загрузки операционной системы;
наличия недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе;
-
внедрения ложного объекта сети как в ИСПДн ЕИИС "Соцстрах", так и во внешних сетях;
выявления паролей;
удаленного запуска приложений;
внедрения по сети вредоносных программ;
подмены доверенного объекта.
-
Система защиты персональных данных в ЕИИС «Соцстрах»
В соответствии с Федеральным Законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Защита персональных данных является составной частью работ по созданию и эксплуатации ЕИИС «Соцстрах», должна осуществляться в установленном настоящим Положением порядке и реализуется в виде Системы защиты персональных данных ЕИИС «Соцстрах» (СЗПДн ЕИИС «Соцстрах»).
Согласно классификации, установленной Постановлением Правительства РФ № 1119, ЕИИС «Соцстрах» относится к ИСПДн 1-го уровня защищенности.
Организация защиты персональных данных в ИСПДн предполагает:
регулярный контроль за выполнением требований безопасности ИСПДн;
физическая безопасность и контроль доступа – организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
обеспечение сохранности носителей персональных данных;
определение перечня лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей;
использование сертифицированных средств для обеспечения защиты информации для нейтрализации актуальных угроз;
назначение должностного лица, ответственного за обеспечение безопасности ПДн в ИСПДн;
обеспечение доступа к содержанию сообщений электронного журнала доступа к ИСПДн исключительно для работников, которым эти сведения необходимы для выполнения служебных обязанностей;
автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу а ПДн, содержащимся в ИСПДн;
возложение на отдел информатизации функций по обеспечению безопасности ПДн в ИСПДн.
-
Обязанности и ответственность
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (администратор информационной безопасности), ответственные за обеспечение безопасности персональных данных.
Ответственность за выполнение требований настоящего Положения несут:
администратор информационной безопасности;
руководители структурных подразделений Регионального отделения;
зарегистрированные пользователи.
Администратор информационной безопасности осуществляет организацию и контроль мероприятий, связанных с функционированием СЗПДн, в соответствии с «Инструкцией администратора информационной безопасности».
Руководители структурных подразделений Регионального отделения:
несут ответственность за нарушения порядка допуска работника к сведениям конфиденциального характера;
проводят регулярно, не реже одного раза в квартал, инструктаж с работниками Регионального отделения по вопросу обеспечения защиты сведений конфиденциального характера;
организуют выполнение требований настоящего Положения и иных нормативных документов по обеспечению режима защиты информации сотрудниками на рабочих местах;
определяют информационные ресурсы подразделения, подлежащие защите, уязвимые места, проводят анализ риска их использования и реализации рентабельных средств защиты;
организуют обучение сотрудников основам информационной безопасности.
Руководители структурных подразделений Регионального отделения обязаны:
осуществлять мероприятия по обеспечению соблюдения режима обработки ПДн;
сообщать руководителю Регионального отделения, или его заместителю, или администратору информационной безопасности о фактах и попытках НСД к ПДн, случаях утечки и разрушения ПДн;
вносить предложения по совершенствованию режима конфиденциальности, СЗПДн, принимать меры к усилению безопасности в ИСПДн;
согласовывать с администратором информационной безопасности, изменения конфигурации в ИСПДн и их место расположения, замены и дополнительные установки технических средств;
Пользователи ИСПДн отвечают за соблюдение информационной безопасности, принятой в Региональном отделении и докладывают руководству о любом подозрении при нарушении информационной защиты.
Пользователи ИСПДн обязаны:
до получения доступа к конфиденциальным документам и сведениям изучить требования настоящего Положения, других нормативных документов по защите ПДн, действующих в Региональном отделении в части их касающейся;
хранить в тайне ПДн, ставшие им известными по работе или иным путем, пресекать действия других лиц, которые могут привести к разглашению ПДн, докладывать о фактах НСД и действий со стороны других исполнителей, случаях утечки и разрушения обрабатываемой информации;
знакомиться с конфиденциальными документами и сведениями, к которым получили доступ в силу своих служебных обязанностей, правильно определять конфиденциальность документов, строго соблюдать правила их пользования, порядок учета и хранения;
при составлении конфиденциальных документов, содержащими ПДн, ограничиваться минимальными, действительно необходимыми конфиденциальными сведениями; определять количество экземпляров конфиденциальных документов, в строгом соответствии со служебной необходимостью и не допускать рассылки их адресатам, к которым они не имеют отношения;
при работе с конфиденциальными документами, содержащими ПДн, на рабочем месте держать только те конфиденциальные документы, с которыми осуществляется работа; все остальные хранить в сейфе (в металлическом шкафу);
соблюдать правила работы с СЗИ и установленный режим разграничения доступа, принятый в СЗПДн к техническим средствам, программам, данным, файлам с ПДн при ее обработке и другие требования установленные в Региональном отделении;
при увольнении, переходе в другое подразделение Регионального отделения, уходе в отпуск, отъезде в длительную командировку сдавать или отчитываться перед подразделением, которое отвечает в Региональном отделении за учет и хранение конфиденциальных сведений, содержащихся ПДн, за все числящиеся за ними конфиденциальные документы;
знакомить представителей других организаций с конфиденциальными документами, содержащими ПДн, только по согласованию и с письменного разрешения соответствующих руководителей Регионального отделения, при наличии документов у представителей других организаций, удостоверяющих их личность.
Пользователям ИСПДн запрещается:
сообщать свои пароли кому бы то ни было, и разрешать входить в сеть под своим именем; подбирать или отгадывать чужие пароли;
изменять конфигурационную настройку операционной системы; добавлять, изменять или удалять программное обеспечение, отдельные компоненты операционной системы;
модифицировать чужие файлы, если по каким-то причинам у них есть доступ на запись;
использовать ПДн в открытых документах, на АРМ, не предназначенных для обработки (хранения) ПДн;
сообщать устно или письменно посторонним лицам ПДн;
выполнять работы, связанные с обработкой ПДн, на дому;
снимать копии с документов, содержащих ПДн, или производить выписки из них без письменного разрешения руководителя подразделения;
передавать и принимать без росписи конфиденциальные документы и содержащие ПДн;
уничтожать самостоятельно (без согласования с руководителем подразделения) ПДн;
несанкционированно тиражировать, передавать и модифицировать программные СЗИ.
Отказ соблюдать настоящее Положение может подвергнуть защищаемую информацию Регионального отделения недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче.
При выявлении фактов нарушения прав доступа к сведениям конфиденциального характера руководителям структурных подразделений Регионального отделения необходимо немедленно информировать об этом руководство Регионального отделения. По всем выявленным фактам проводятся служебные разбирательства с выяснением причин и обстоятельств происшедшего и с принятием дисциплинарных мер в отношении виновных нарушителей. При этом учитывается, что работники Регионального отделения, разгласившие сведения конфиденциального характера, а также работники, по вине которых произошла утеря документов, несут ответственность, предусмотренную действующим законодательством Российской Федерации, локальными документами Регионального отделения.
|
