Концепция
информационной безопасности информационных систем
Министерства социальной политики и труда Удмуртской Республики

I. Общие положения

1. Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных, используемых в информационных системах Министерства социальной политики и труда Удмуртской Республики (далее – Министерство).
   

2. Настоящая Концепция определяет основные требования и базовые подходы к реализации системы защиты персональных данных для достижения требуемого уровня безопасности информации.

3. Настоящая Концепция разработана в соответствии с системным подходом к обеспечению информационной безопасности. Системный подход предполагает проведение комплекса мероприятий, включающих исследование угроз информационной безопасности и разработку системы защиты персональных данных с позиции комплексного применения технических и организационных мер и средств защиты.

4. Под информационной безопасностью персональных данных  понимается защищённость персональных данных и обрабатывающей их инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, её владельцам (субъектам персональных данных) или инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба от возможной реализации угроз безопасности персональных данных, а также к прогнозированию и предотвращению таких воздействий.

5. Настоящая Концепция является методологической основой для:

   формирования и проведения единой политики в области обеспечения безопасности персональных данных в информационных системах Министерства;

   принятия управленческих решений и разработки практических мер для реализации политики безопасности персональных данных и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз персональных данных;

   координации деятельности структурных подразделений Министерства при проведении работ по развитию и эксплуатации информационных систем Министерства с соблюдением требований обеспечения безопасности персональных данных;

   разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности персональных данных в информационных системах Министерства.

II. Построение системы защиты персональных данных в Министерстве

6. Система защиты персональных данных представляет собой совокупность организационных и технических мероприятий для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий с ними.

7. Безопасность персональных данных достигается путём исключения несанкционированного, в том числе случайного, доступа к ним, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

8. Структура, состав и основные функции системы защиты персональных данных определяются исходя из уровня защищённости и класса защищённости информационных систем Министерства. 

9. Система защиты персональных данных включает в себя организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

10. Система защиты персональных данных призвана обеспечить:

    конфиденциальность информации (защита от несанкционированного ознакомления);

    целостность информации (актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения);

    доступность информации (возможность за приемлемое время получить требуемую информационную услугу). 

11. Организационные меры как составная часть системы защиты персональных данных включают в себя создание и поддержание правовой базы безопасности персональных данных и разработку (введение в действие) организационно-распорядительных документов предусмотренных Политикой информационной безопасности информационных систем Министерства.

12. Технические средства защиты информации реализуются при помощи соответствующих программно-технических средств и методов защиты. Перечень необходимых мер и средств защиты информации определяется по результатам внутренней проверки обеспечения защиты персональных данных в информационных системах Министерства.

III. Задачи системы защиты персональных данных в Министерстве

13. Основной целью системы защиты персональных данных в Министерстве является минимизация ущерба от возможной реализации угроз безопасности персональных данных.

14. Для достижения основной цели система защиты персональных данных информационных систем Министерства должна обеспечивать эффективное решение следующих задач:

    1) защита от вмешательства в процесс функционирования информационных систем Министерства посторонних лиц (возможность использования информационных систем Министерства и доступ к её ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);

    2) разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам информационных систем Министерства (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям информационных систем Министерства для выполнения своих должностных обязанностей), то есть защиту от несанкционированного доступа:

    к информации, циркулирующей в информационных системах Министерства;

    средствам вычислительной техники информационных систем Министерства;

    аппаратным, программным и криптографическим средствам защиты, используемым в информационных системах Министерства;

    3) регистрация действий пользователей при использовании защищаемых ресурсов информационных систем Министерства в системных журналах и периодический контроль корректности действий пользователей системы путём анализа содержимого этих журналов;

    4) контроль целостности (обеспечение неизменности) среды исполнения программ и её восстановление в случае нарушения;

    5) защита от несанкционированной модификации и контроль целостности используемых в информационных системах Министерства программных средств, а также защиту системы от внедрения несанкционированных программ;

    6) защита персональных данных от утечки по техническим каналам при их обработке, хранении и передаче по каналам связи;

    7) защита персональных данных, хранимых, обрабатываемых и передаваемых по каналам связи, от несанкционированного разглашения или искажения;

    8) обеспечение «живучести» криптографических средств защиты информации при компрометации части ключевой системы;

    9) своевременное выявление источников угроз безопасности персональных данных, причин и условий, способствующих нанесению ущерба субъектам персональных данных, создание механизма оперативного реагирования на угрозы безопасности персональных данных и негативные тенденции;

    10) создание условий для минимизации и локализации наносимого неправомерными действиями физических и юридических лиц ущерба, ослабления негативного влияния и ликвидации последствий нарушения безопасности персональных данных.

IV. Объекты защиты персональных данных в Министерстве

15. Объектами защиты персональных данных в Министерстве являются информация, обрабатываемая в информационных системах Министерства, и технические средства её обработки и защиты. 

16. Перечень персональных данных, подлежащих защите, определяется в Перечне персональных данных и иных объектов, подлежащих защите в информационных системах Министерства, утверждаемый приказом Министерства. 

17. Объекты защиты персональных данных в Министерстве включают в себя:

    обрабатываемую информацию;

    технологическую информацию;

    программно-технические средства обработки;

    каналы информационного обмена;

    помещения, в которых размещены компоненты информационных систем Министерства.

V. Классификация пользователей информационных систем Министерства

18. Пользователем информационных систем Министерства является лицо, участвующее в функционировании информационной системы Министерства или использующее результаты её функционирования.

19. Пользователи информационных систем Министерства делятся на три основные категории:

    1) администратор информационной системы Министерства;

    2) пользователь информационной системы Министерства;

    3) программист-разработчик информационной системы Министерства.

20. Категории пользователей определяются для каждой информационной системы Министерства. 

VI. Основные принципы построения системы защиты персональных данных в Министерстве

21. Построение системы защиты персональных данных в Министерстве и её функционирование должны осуществляться в соответствии со следующими основными принципами:

    законность;

    системность;

    комплексность;

    непрерывность;

    своевременность;

    преемственность и непрерывность совершенствования;

    персональная ответственность;

    минимизация полномочий;

    взаимодействие и сотрудничество;

    гибкость системы защиты;

    открытость алгоритмов и механизмов защиты;

    простота применения средств защиты;

    научная обоснованность и техническая реализуемость;

    специализация и профессионализм;

    обязательность контроля.

22. Принцип законности предполагает осуществление защитных мероприятий и разработку системы защиты персональных данных в Министерстве в соответствии с требованиями законодательства в области защиты персональных данных и других нормативных актов по безопасности информации, утверждённых органами государственной власти в пределах их компетенции.

    Пользователи информационных систем Министерства должны быть осведомлены о порядке работы с защищаемой информацией и об ответственности за нарушение режима защиты персональных данных, установленного в Министерстве.

23. Системный подход к построению системы защиты персональных данных в Министерстве предполагает учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности персональных данных.

    При создании системы защиты персональных данных в Министерстве должны учитываться все слабые и наиболее уязвимые места системы обработки персональных данных, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределённые системы и несанкционированный доступ к информации.

    Система защиты персональных данных в Министерстве должна строиться с учётом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учётом возможности появления принципиально новых путей реализации угроз безопасности.

24. Комплексное использование методов и средств защиты персональных данных предполагает согласованное применение разнородных средств при построении целостной системы защиты персональных данных, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов.

    Защита персональных данных должна строиться эшелонировано. Для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учётом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.

    Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укреплённых рубежей призваны быть средства криптографической защиты, реализованные с использованием технологии VPN. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

25. Принцип непрерывности подразумевает непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационных систем Министерства.

    Информационные системы должны находиться в защищённом состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом должны приниматься меры по недопущению перехода информационной системы в незащищённое состояние.

    Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная техническая и организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имён, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления её функционирования.

26. Принцип своевременности предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите информационных систем Министерства и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационной системы в целом и её системы защиты информации, в частности.

    Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счёте, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищённые системы. 

27. Принципы преемственности и непрерывности совершенствования мер и средств защиты информации обеспечиваются на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационной системы и её системы защиты с учётом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

28. Принцип персональной ответственности предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого сотрудника Министерства в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей специалистов строится таким образом, чтобы в случае любого нарушения круг виновников был чётко известен или сведён к минимуму.

29. Принцип минимизации полномочий означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью, на основе принципа «всё, что не разрешено, запрещено».

    Доступ к персональным данным должен предоставляться только в том случае и объёме, если это необходимо специалисту для выполнения его должностных обязанностей.

30. Принцип взаимодействия и сотрудничества предполагает создание благоприятной атмосферы в коллективах структурных подразделений, обеспечивающих деятельность информационных систем Министерства, для снижения вероятности возникновения негативных действий, связанных с человеческим фактором. 

31. Принцип гибкости системы защиты подразумевает возможность расширения, исключения или замены мер защиты информации на работающей информационной системе без нарушения процесса её нормального функционирования.

32. Принцип открытости алгоритмов и механизмов состоит в том, что защита не должна обеспечиваться только за счёт секретности структурной организации и алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.

33. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных в установленном порядке пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

34. Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности персональных данных.

    Система защиты персональных данных должна быть ориентирована на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.
    

35. Принцип специализации и профессионализма предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности персональных данных, имеющих опыт практической работы и лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Министерства.

36. Принцип обязательности контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности персональных данных на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

    Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты персональных данных в Министерстве должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

VII. Меры и средства обеспечения требуемого уровня защищённости информационных систем Министерства

37. Обеспечение требуемого уровня защищённости должности достигаться с использованием мер, методов и средств безопасности. 

38. Все меры обеспечения безопасности информационных систем подразделяются на:

    законодательные (правовые);

    морально-этические;

    организационные (административные);

    физические;

    технические (аппаратно-программные). 

39. К законодательным (правовым) мерам обеспечения безопасности информационных систем относятся действующие в Российской Федерации нормативные акты, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений в процессе её обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию персональных данных и являющиеся сдерживающим фактором для потенциальных нарушителей. Законодательные (правовые) меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями информационных систем.

40. К морально-этическим мерам обеспечения безопасности информационных систем относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в Министерстве и снижают вероятность возникновения негативных действий, связанных с человеческим фактором.

41. Организационные (административные) меры обеспечения безопасности информационных систем – это меры организационного характера, регламентирующие процессы функционирования информационных систем, использование ресурсов информационных систем, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

42. Организационные меры обеспечения безопасности должны предусматривать регламент информационных отношений, исключающих возможность несанкционированных действий в отношении объектов защиты; определять коалиционные и иерархические принципы и методы разграничения доступа к персональным данным; определять порядок работы с программно-математическими и техническими (аппаратными) средствами защиты и криптозащиты и других защитных механизмов; организовать меры противодействия несанкционированного доступа на этапах аутентификации, авторизации, идентификации, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

43. Организационные меры должны состоять из регламента доступа в контролируемую зону; порядка допуска сотрудников Министерства к использованию ресурсов информационных систем Министерства; инструкций (пользователя информационной системы, администратора информационной системы, администратора безопасности) и других документов, регламентирующих порядок функционирования информационных систем в Министерстве.

44. Физические меры обеспечения безопасности информационных систем основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации. 

45. Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путём установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

46. Технические (аппаратно-программные) меры обеспечения безопасности информационных систем основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

47. В состав системы защиты персональных данных в Министерстве должны быть включены следующие средства:

    защита от несанкционированного доступа;

    идентификация (опознавания) и аутентификация (подтверждения подлинности) пользователей информационных систем;

    разграничение доступа зарегистрированных пользователей системы к ресурсам информационных систем Министерства;

    обеспечение и контроль целостности программных и информационных ресурсов;

    оперативный контроль и регистрация событий безопасности;

    защита от утечки информации по техническим каналам связи и по каналам побочных электромагнитных излучений и наводок;

    криптографические и антивирусные средства защиты персональных данных;

    программно-аппаратные средства защиты информации.

48. Успешное применение технических мер обеспечения безопасности информационных систем на основании основных принципов построения системы комплексной защиты информации предполагает, что выполнение перечисленных ниже требований обеспечено организационными (административными) мерами и используемыми физическими средствами защиты:

    обеспечена физическая целостность всех компонентов информационных систем;

    обеспечен учёт и хранение съёмных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

    обеспечено резервирование технических средств, дублирование носителей информации;

    обеспечена электромагнитная развязка между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы контролируемой зоны, и информационными цепями;

    обеспечено использование антивирусных средств защиты от вредоносного программного обеспечения и криптографических средств защиты информации;

    обеспечено использование средств защиты информации, позволяющих вести собственные журналы регистрации событий параллельно со встроенными в информационными системами;

    обеспечено использование межсетевого экранирования как при использовании программных, так и при использовании аппаратных межсетевых экранов;

    каждый пользователь информационных систем имеет уникальное системное имя и минимально необходимые для выполнения ими своих функциональных обязанностей полномочия по доступу к ресурсам информационной системы;

    разработка и отладка программ осуществляется за пределами информационных систем на выделенных персональных компьютерах;

    все изменения конфигурации технических и программных средств информационных систем производятся в строго установленном порядке (регистрируются и контролируются) только на основании распоряжений руководства Министерства;

    сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (специальных помещениях, шкафах, и т.п.);

    пользователями информационных систем осуществляется непрерывное управление и административная поддержка функционирования средств защиты. 

VIII. Модель угроз безопасности персональных данных при их обработке в информационных системах Министерства

49. Для информационных систем Министерства выделяются следующие основные категории угроз безопасности персональных данных:

    угроза от утечки по техническим каналам;

    угроза несанкционированного доступа к информации:

    угроза уничтожения, хищения аппаратных средств информационных систем, носителей информации путём физического доступа к элементам информационных систем;

    угроза хищения, несанкционированной модификации или блокирования информации путём несанкционированного доступа с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);

    угроза непреднамеренных действий пользователей и нарушений безопасности функционирования информационных систем и средств защиты персональных данных в её составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадёжности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера;

    угроза преднамеренных действий внутренних нарушителей;

    угроза несанкционированного доступа по каналам связи.

50. Модель нарушителя безопасности персональных данных при их обработке в информационных системах Министерства определяется общими положениями моделей угроз безопасности персональных данных при их обработке в информационных системах Министерства, утверждёнными приказом Министерства.

IX. Контроль эффективности системы защиты персональных данных в Министерстве

51. Контроль эффективности системы защиты персональных данных должен осуществляться на периодической основе. В Министерстве целью контроля эффективности является своевременное выявление ненадлежащих режимов работы системы защиты персональных данных (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а так же прогнозирование и превентивное реагирование на новые угрозы безопасности персональных данных.

52. Контроль эффективности системы защиты персональных данных может проводиться как администратором безопасности информационных систем Министерства, так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также Федеральной службой по техническому и экспортному контролю Российской Федерации и Федеральной службой безопасности Российской Федерации в пределах их компетенции.

53. Контроль может осуществляться администратором безопасности информационных систем Министерства как с помощью штатных средств системы защиты персональных данных, так и с помощью специальных программных средств контроля.

54. Оценка эффективности системы защиты персональных данных проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

X. Ответственность

55. Ответственным за разработку мер защиты персональных данных и контроль за обеспечением безопасности персональных данных является министр социальной политики и труда Удмуртской Республики (далее – министр). 

56. Министр может делегировать часть полномочий по обеспечению безопасности персональных данных одному из своих заместителей.

57. При взаимодействии со сторонними организациями в случаях, когда сотрудникам этих организаций предоставляется доступ к персональным данным, обрабатываемым в Министерстве, с этими организациями заключается соглашение о конфиденциальности либо соглашение о соблюдении режима безопасности персональных данных. Подготовка типовых вариантов указанных соглашений осуществляется управлением информационных ресурсов Министерства.

XI. Ожидаемый эффект от реализации настоящей Концепции

58. Реализация настоящей Концепции позволит:

    оценить состояние безопасности информации информационных систем  Министерства, выявить источники внутренних и внешних угроз информационной безопасности, определить приоритетные направления предотвращения, отражения и нейтрализации этих угроз;

    разработать организационно-распорядительные документы применительно к информационным системам Министерства;

    провести классификацию информационных систем Министерства;

    провести организационно-режимные и технические мероприятия по обеспечению безопасности персональных данных в Министерстве;

    обеспечить необходимый уровень безопасности объектов защиты персональных данных в Министерстве.

59. Осуществление этих мероприятий обеспечит создание единой и целостной системы информационной безопасности информационных систем персональных данных и создаст условия для её дальнейшего совершенствования.⁠