Сотрудника, ответственного за использование криптосредств

1. Общие положения.

1.1. Настоящий документ разработан в соответствии с положениями документа «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, № 149/6/6-622, 2008)» (далее Типовые требования) и приказом ФАПСИ от 13.06.2001 № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

1.2. Настоящий документ определяет права и обязанности сотрудника, ответственного за использование криптосредств в организации.

1.3. Ответственный пользователь криптосредства назначается приказом руководителя.

2. Ответственный пользователь криптосредства обязан:

2.1. Вести поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним;

2.2. Вести учет лиц, допущенных к работе с криптосредствами;

2.3. Производить установку и ввод в эксплуатацию криптосредств в соответствии с эксплуатационной и технической документацией к этим средствам;

2.4. Проверять готовность криптосредств к использованию с составлением заключений о возможности их эксплуатации;

2.5. Не разглашать информацию, к которой он допущен, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты;

2.6. Обеспечивать в соответствии с положениями Типовых требований обеспечение с использованием криптосредств безопасности персональных данных, выполнение требований к обеспечению безопасности криптосредств и ключевых документов к ним;

2.7. Сообщать о ставших ему известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним ответственному за защиту информации;

2.8. Немедленно уведомлять руководство учреждения о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных;

2.9. Сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным Типовыми требованиями, при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств.

3. Ответственный пользователь криптосредства имеет право:

3.1. Инициировать разбирательство и составление заключений по фактам нарушения условий, использования криптосредств, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

3.2. Ответственному пользователю запрещается разглашать информацию, к которой он допущен, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты.

С должностной инструкцией

ознакомлен _________________

(Ф.И.О.)

ПРИКАЗ
О создании комиссии по классификации информационных систем персональных данных

В целях исполнения положений статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», для проведения классификации информационных систем, обрабатывающих персональные данные

ПРИКАЗЫВАЮ:

1. Утвердить состав Комиссии по классификации информационных систем персональных данных в составе:

председатель комиссии - ___________________________________________;

^{(должность, Ф.И.О сотрудника)}

члены комиссии: _______________________________________________.

^{(должность, Ф.И.О сотрудников)}

2. Комиссии провести классификацию информационных систем персональных данных ЛПУ до _________________ года в соответствии с требованиями законодательства Российской Федерации с оформлением актов классификации информационных систем персональных данных.

3. При проведении классификации комиссии руководствоваться требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

УТВЕРЖДАЮ

АКТ
определения уровня защищенности
персональных данных при их обработке в информационной системе персональных данных (название ИСПДн)

Комиссия, назначенная приказом №_____ от ________________г., в составе:

председатель комиссии – ________________________ _____________________

^{(Ф.И.О сотрудника) (должность)}

члены комиссии: __________________________ _______________________
^{(Ф.И.О сотрудника) (должность)}

__________________________ _______________________

^{(Ф.И.О сотрудника) (должность)}

провела классификацию информационной системы персональных данных (ИСПДн)

_____________________________________________________________________________.

^{(название ИСПДн)}

В ходе работы комиссия установила:

1) категория персональных данных (ПД) – _________________________________;

2) тип субъектов – _____________________________________________________;

3) объем обрабатываемых персональных данных – __________________________;

4) актуальный тип угроз – __________________;

5) заданные характеристики безопасности персональных данных, обрабатываемые в информационной системе ПДн: __________________________________;

6) структура информационной системы: __________________________________;

7) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: ___;

8) режим обработки персональных данных: ________________________________;

9) режим разграничения прав доступа пользователей информационной системы: ____________________________________________________________________________;

10) местонахождение технических средств: _________________________________;

11) последствия для субъектов ПД при нарушении заданных характеристик безопасности ПД: _______________________________________________________________.

12) Является ли ИСПДн ГИС: _____________________________ .

По результатам анализа исходных данных ИСПДн _____________________________

^{(название ИСПДн)}

присваивается уровень защищенности _________.

Председатель комиссии – __________________________________ _______________

^{Ф.И.О должность}

Члены комиссии: __________________________________ _______________

^{Ф.И.О должность}

__________________________________ _______________

^{Ф.И.О должность}

УТВЕРЖДАЮ

Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных (название ИСПДн)

СОГЛАСОВАНО
_________________________ должность	____________ подпись, дата	______________ Ф.И.О
	г. __________________ 20___г.

Определения

В настоящем документе используются следующие термины и определения:

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Вирус (компьютерный, программный)– исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Доступ к информации - возможность получения информации и ее использования.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Не декларированные возможности– функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия)– доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Побочные электромагнитные излучения и наводки– электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Обозначения и сокращения

АРМ – автоматизированное рабочее место

ИСПДн – информационная система персональных данных

ИС– информационная система

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПО – программное обеспечение

СЗИ – средства защиты информации

СЗПДн– система (подсистема) защиты персональных данных

СФ СЗПДн – среда функционирования системы (подсистемы) защиты персональных данных

УБПДн – угрозы безопасности персональных данных

Введение

Модель угроз безопасности персональных данных (далее – Модель) при их обработке в ИСПДн ЛПУ строится на основании отчета о результатах проведения внутренней проверки.

В модели угроз представлено описание структуры ИСПДн, состава и режима обработки ПДн, классификация потенциальных нарушителей, оценка исходного уровня защищенности, анализ угроз безопасности персональных данных.

Анализ УБПДн включает:

· Описание угроз;

· Оценку вероятности возникновения угроз;

· Оценку реализуемости угроз;

· Оценку опасности угроз;

· Определение актуальности угроз.

Модель угроз разработана на основании следующих документов:

· Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

· Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

· Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

· Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

· Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

· Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15.02.2008 Заместителем директора ФСТЭК России;

· Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 14.02.2008 заместителем директора ФСТЭК России.

· Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждённые ФСБ РФ 21.02.2008 № 149/54-144.

Описание ИСПДн(название ИСПДн)