Модель угроз безопасности персональных данных
Шубинский
Наличие подразделения (специалиста) по обеспечению безопасности
ПДн
Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должна быть) создана специальная служба обеспечения безопасности информации (служба компьютерной безопасности).
Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования.
На это подразделение целесообразно возложить решение следующих основных задач:
· определение требований к системе защиты информации, ее носителей и процессов обработки, разработка политики безопасности;
· организация мероприятий по реализации принятой политики безопасности, оказание методической помощи и координация работ по созданию и развитию комплексной системы защиты;
· контроль за соблюдением установленных правил безопасной работы в АС, оценка эффективности и достаточности принятых мер и применяемых средств защиты.
Основные функции службы заключаются в следующем:
· формирование требований к системе защиты при создании и развитии АС;
· участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
· планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
· обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС;
· распределение между пользователями необходимых реквизитов доступа к ресурсам АС;
· контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
· взаимодействие с ответственными за безопасность информации в подразделениях;
· регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);
• принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты;
• наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.
Организационно-правовой статус службы обеспечения безопасности информации определяется следующим образом:
• служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
• сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;
• руководителю службы защиты должно быть предоставлено право ' запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности;
• численность службы должна быть достаточной для выполнения всех перечисленных выше функций;
• штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС;
• сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций.
Для решения задач, возложенных на подразделение обеспечения безопасности информации, его сотрудники должны иметь следующие права:
• определять необходимость, разрабатывать представлять на согласование и утверждение руководством нормативные и организационно-распорядительные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников других подразделений;
• получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся ОИБ;
• участвовать в проработке технических решений по вопросам ОИБ при проектировании и разработке новых подсистем и комплексов задач (задач);
• участвовать в испытаниях разработанных подсистем и комплексов задач (задач) по вопросам оценки качества реализации требований по ОИБ;
• контролировать деятельность сотрудников других подразделений организации по вопросам ОИБ.
Естественно, все эти задачи не под силу одному человеку, особенно в крупной организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. В состав такого подразделения должны входить следующие специалисты:
• руководитель, непосредственно отвечающий за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в АС;
• аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;
• администраторы средств защиты, контроля и управления, отвечающие за сопровождение и администрирование конкретных средств защиты информации и средств анализа защищенности подсистем АС;
• администраторы криптографических средств защиты, ответственные за установку, настройку, снятие СКЗИ, генерацию и распределение ключей и т.п.;
• ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участвующие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участвующие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите и т.д.);
• специалисты по защите информации от утечки по техническим каналам;
• ответственные за организацию конфиденциального (секретного) делопроизводства и др.
В соответствии с постановлением правительства Российской Федерации от 17 ноября 2007 г №781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
Должностное лицо (работник или целое подразделение), ответственное за обеспечение безопасности персональных данных в соотвествии с пп. 11,12,13 Постановления Правительства РФ от 17 ноября 2007 г. N 781 должно выполнять следующие функции:
o своевременное обнаружение фактов несанкционированного доступа к персональным данным;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
o возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
o постоянный контроль за обеспечением уровня защищенности персональных данных.
обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
o учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
o учет лиц, допущенных к работе с персональными данными в информационной системе;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
o разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
o НО НАХЕР ЭТО ПОСТАНОВЛЕНИЕ УТРАТИЛО И СИЛУ И ИНФУ БРАТЬ НЕГДЕ!