Методические рекомендации технические мероприятия по обеспечению безопасности персональных данных при осуществлении нотариальной деятельности Версия (стр. 1 из 9)
Федеральная нотариальная палата
Фонд «Центр инноваций и информационных технологий»
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
Технические мероприятия по обеспечению безопасности персональных данных при осуществлении нотариальной деятельности
Версия 2.0
Москва 2011
Содержание:
| 1. | Общие положения | 3 |
| 1.1.Цели и задачи | 3 | |
| 1.2.Область применения | 3 | |
| 1.3.Термины и определения | 4 | |
| 1.4.Нормативно-правовая база | 9 | |
| 2. | Объекты защиты ИСПДн | 11 |
| 3. | Общие требования к СиЗИ ИСПДн | 15 |
| 4. | Рекомендации по выбору программно-аппаратных СЗИ | 15 |
| 5. | Краткий обзор программно-аппаратных средств защиты информации , применимых для создания ИСПДн в защищенном исполнении | 16 |
| 6. | Сравнительный анализ программно-аппаратных средств защиты информации , применимых для создания ИСПДн в защищенном исполнении. | 32 |
| 7. | Типовые варианты системы защиты ПДн в ИСПДн | 43 |
| 8. | Технические требования, предъявляемые к рабочим станциям с установленными средствами защиты | 49 |
| 9. | Рекомендации по оптимизации затрат на создание СиЗИ ИСПДн | 50 |
| 10. | Заключение | 51 |
1. Общие положения
1.1. Цели и задачи
Методические рекомендации. Технические мероприятия по обеспечению
безопасности персональных данных при осуществлении нотариальной деятельности (далее Методические рекомендации), разработаны Фондом «Центр инноваций и информационных технологий» Федеральной нотариальной палаты с целью:
· методического обеспечения работ по приведению информационных систем персональных данных (далее ИСПДн), применяемых для обработки персональных данных (далее ПДн) при осуществлении нотариальной деятельности, в соответствие с требованиями Федерального Закона РФ № 152 «О персональных данных»;
· оптимизации затрат на внедрение программно-технических решений по защите ПДн
Для достижения указанных целей необходимо решить следующие задачи:
· определить объекты защиты в ИСПДн;
· провести сравнительный анализ программно-аппаратных средств защиты информации (далее СЗИ), применимых для создания ИСПДн в защищенном исполнении;
· разработать типовые варианты системы защиты ПДн в ИСПДн;
· разработать рекомендации по выбору программно-аппаратных СЗИ;
· разработать рекомендации по оптимизации затрат на создание СиЗИ ИСПДн;
1.2. Область применения
Методические рекомендации предназначены для специалистов по обеспечению
безопасности информации, руководителей, лиц ответственных за организацию и обеспечение режима информационной безопасности в ИСПДн
Действие настоящих Методических рекомендаций не распространяется на
отношения, возникающие при:
· обработке ПДн, осуществляемой без использования средств автоматизации. В этом случае правила обработки ПДн определяются требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
· обработке ПДн физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов ПДн;
· организации хранения, комплектования, учета и использования, содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
1.3. Термины и определения
В настоящих методических рекомендациях используются следующие основные понятия:
Автоматизированная система (AC) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (ГОСТ 34.003-90).
Автоматизированное рабочее место (АРМ) - программно-технический комплекс АС, предназначенный для автоматизации деятельности определенного вида (ГОСТ 34.003-90).
Администратор информационной безопасности [Администратор защиты] (АИБ) - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации (Гостехкомиссия России. РД. Защита от несанкционированного доступа к информации. Термины и определения).
Администратор системы (системный администратор) - лицо, отвечающее за эксплуатацию системы и поддержание ее в работоспособном состоянии.
База данных - это объективная форма представления и организации совокупности данных (статей, расчетов и т.д.), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ) (закон «О правовой охране программ для ЭВМ и баз данных»).
Безопасность информации [данных] - Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность (ГОСТ Р 50922-2006).
Блокирование персональных данных - блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (ФЗ №152).
Вредоносные программы - программы, предназначенные для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы (ГОСТ Р 50922-2006).
Данные - факты, понятия или команды, представленные в формализованном виде и позволяющие осуществлять их передачу или обработку как вручную, так и с помощью средств автоматизации (ГОСТ Р 50922-2006).
Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922-2006).
Защита информации от несанкционированного воздействия (ЗИ от НСВ) - защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации (ГОСТ Р 50922-2006).
Защита информации от непреднамеренного воздействия (ЗИ НПВ) - защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации (ГОСТ Р 50922-2006).
Защита информации от разглашения - защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации (ГОСТ Р 50922-2006).
Защита информации от несанкционированного доступа (ЗИ от НСД) - защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации ( ГОСТ Р 50922-2006).
Защита информации от преднамеренного воздействия (ЗИ от ПДВ) - защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях (ГОСТ Р 50922-2006).
Информационная система (ИС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон № 149 «Об информации, информационных технологиях и защите информации»).
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ №152).
Информационная технология (ИТ) - приемы, способы и методы применения средств вычислительной техники при выполнении функций сбора, обработки, хранения, обработки, передачи и использования данных (ГОСТ 34.003-90).
Информация - сведения (сообщения, данные) независимо от формы их представления (ФЗ №149).
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (ФЗ №152);
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ФЗ №152);