Файл: Политика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети.doc

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 20.03.2024

Просмотров: 65

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Содержание

Сокращения

Термины и определения

1. Общие положения Политики безопасности

2. Общие требования по защите персональных данных

3. Система защиты персональных данных

4. Требования к подсистемам СЗПДн

5.ЦЕЛИ И ЗАДАЧИ СЗПДн

6.ОБЪЕКТЫ ЗАЩИТЫ

Перечень информационных систем

В Обществе производится обработка персональных данных в информационных

система обработки персональных данных (ИСПДн).

Перечень ИСПДн определяется на основании Отчета по результатам внутренней

Перечень объектов защиты

Объектами защиты являются – информация, обрабатываемая в ИСПДн, и

технические средства ее обработки и защиты. Перечень персональных данных,

подлежащие защите, определен в Перечне персональных данных, подлежащих защите в

1) Обрабатываемая информация.

2) Технологическая информация.

3) Программно-технические средства обработки.

4) Средства защиты ПДн.

5) Каналы информационного обмена и телекоммуникации.

6) Объекты и помещения, в которых размещены компоненты ИСПДн.

7. Реализация установленных требований к СЗИ от НСД

8. Категории Пользователей ИСПДн

9.КЛАССИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ИСПДН

10.ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ

КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

11. Организация парольной защиты при работе на объектах информатизации.

12. Требования к персоналу

13. Технологический процесс обработки персональных данных



Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

- порядок приема, учета и контроля деятельности посетителей;

- пропускной режим организации;

- учет и порядок выдачи удостоверений;

- технические средства охраны, сигнализации;

- порядок охраны территории, зданий, помещений, транспортных средств;

- требования к защите информации при интервьюировании и собеседованиях.

Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

По возможности персональные данные обезличиваются.

Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

Требования настоящего Политики безопасности распространяются на всех сотрудников ООО «Тульские городские электрические сети» (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).


3. Система защиты персональных данных



Система защиты персональных данных (СЗПДн) ООО «Тульские городские электрические сети», строится на основании:

Технического паспорта на ИСПДн;

Перечня персональных данных, подлежащих защите;

Акта классификации информационной системы персональных данных;

Модели угроз безопасности персональных данных;

Руководящих документов ФСТЭК и ФСБ России.
На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн ООО «Организация».

На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз ИСПДн ООО «Организация», делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.

Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн:

ИСПДН пользователей;

Каналов передачи в сети.

В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

антивирусные средства для рабочих станций пользователей и серверов;

средства межсетевого экранирования;

средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:

управление и разграничение доступа пользователей;

регистрацию и учет действий с информацией;

- обеспечивать целостность данных;

Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем ООО «Организация» или лицом, ответственным за обеспечение защиты ПДн.



4. Требования к подсистемам СЗПДн



СЗПДн включает в себя следующие подсистемы:

управления доступом, регистрации и учета;

обеспечения целостности и доступности;

антивирусной защиты;

защиты информационной системы, ее средств, систем связи и передачи данных;

идентификации и аутентификации субъектов доступа и объектов доступа;

контроля защищенности;

защиты технических средств.
Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в Акте классификации информационной системы персональных данных ООО «Тульские городские электрические сети».
4.1 Подсистемы управления доступом, регистрации и учета

Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:

идентификации и проверка подлинности субъектов доступа при входе в ИСПДн;

идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;

идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова.

регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Так же может быть внедрено специальное техническое средство или их комплекс осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

Рекомендуется для выполнения требований по защите от НСД для рабочих станций, подключенных к ЛВС 4 уровня защищённости ПДн использовать систему защиты информации от несанкционированного доступа (СЗИ от НСД) «Dallas Lock 8.0-K» (Сертификат ФСТЭК № 2720 от 25.09.2012г. - по 4 уровню контроля НДВ, по 5 классу СВТ, по 3 классу РД МЭ, Требований к СКСМНИ (ИТ.СКН.П4.ПЗ) по 4 классу защиты, Требования к СОВ уровня узла 4 класса).

Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования.

4.2 Подсистема обеспечения целостности и доступности

Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн ООО «Тульские городские электрические сети», а также средств защиты, при случайной или намеренной модификации.

Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а также резервированием ключевых элементов ИСПДн.
4.3 Подсистема антивирусной защиты

Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и ИСПДН ООО «Тульские городские электрические сети».

Средства антивирусной защиты предназначены для реализации следующих функций:

резидентный антивирусный мониторинг;

антивирусное сканирование;

скрипт-блокирование;

централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;

автоматизированное обновление антивирусных баз;

ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;

автоматический запуск сразу после загрузки операционной системы.

Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн.

В ИСПДн ООО «Тульские городские электрические сети» на рабочих станциях присутствуют средства антивирусной защиты DrWeb.
4.4 Подсистема защиты информационной системы, ее средств, систем связи и передачи данных

Подсистема защиты информационной системы, ее средств, систем связи и передачи данных предназначена для реализации следующих функций:

фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам;

фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;

идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;

регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;

контроля целостности своей программной и информационной части;

фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;


фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

регистрации и учета запрашиваемых сервисов прикладного уровня;

блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

контроля за сетевой активностью приложений и обнаружения сетевых атак.

Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования, классом не ниже 4.

Рекомендуется для выполнения требований по защите от НСД установить межсетевой экран для разграничения доступа ИСПДн от сети общего пользования. Возможно использовать встроенный межсетевой экран системы защиты информации от несанкционированного доступа (СЗИ от НСД) «Dallas Lock 8.0-K» (Сертификат ФСТЭК № 2720 от 25.09.2012г. - по 4 уровню контроля НДВ, по 5 классу СВТ, по 3 классу РД МЭ, Требований к СКСМНИ (ИТ.СКН.П4.ПЗ) по 4 классу защиты, Требования к СОВ уровня узла 4 класса).

Для исключения угрозы чтения, перехвата и раскрытия персональных данных, передаваемых через открытые каналы связи, рекомендуется использовать сертифицированные средства шифрования информации. Рекомендуется применение СКЗИ «КриптоПро CSP», версия 4.0 (Сертификат ФСБ № СФ/124-3010 от 30.12.2016г. - соответствует требованиям  ФСБ России
к шифровальным (криптографическим) средствам класса КС3).

Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования.
4.5. Подсистема идентификации и аутентификации субъектов доступа и объектов доступа

Подсистема идентификации и аутентификации субъектов доступа и объектов доступа предназначена для реализации следующих механизмов:

  • механизм идентификации и аутентификации пользователей, являющихся работниками оператора персональных данных;

  • механизм управления идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;

  • механизм управления средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;

  • механизм защиты обратной связи при вводе аутентификационной информации;

  • механизм идентификации и аутентификации пользователей, не являющихся работниками оператора (внешних пользователей).