WWW.PDF.KNIGI-X.RU
Ѕ≈—ѕЋј“Ќјя  »Ќ“≈–Ќ≈“  Ѕ»ЅЋ»ќ“≈ ј - –азные материалы
 

Ђ—ќƒ≈–∆јЌ»≈ ќѕ–≈ƒ≈Ћ≈Ќ»я ќЅќ«Ќј„≈Ќ»я » —ќ –јў≈Ќ»я ¬¬≈ƒ≈Ќ»≈ 1. ќЅў»≈ ѕќЋќ∆≈Ќ»я 2. ќЅЋј—“№ ƒ≈…—“¬»я 3. —»—“≈ћј «јў»“џ ѕ≈–—ќЌјЋ№Ќџ’ ƒјЌЌџ’ 4. “–≈Ѕќ¬јЌ»я   ѕќƒ—»—“≈ћјћ —«ѕƒЌ 5. ...ї

—ќƒ≈–∆јЌ»≈

ќѕ–≈ƒ≈Ћ≈Ќ»я

ќЅќ«Ќј„≈Ќ»я » —ќ –јў≈Ќ»я

¬¬≈ƒ≈Ќ»≈

1. ќЅў»≈ ѕќЋќ∆≈Ќ»я

2. ќЅЋј—“№ ƒ≈…—“¬»я

3. —»—“≈ћј «јў»“џ ѕ≈–—ќЌјЋ№Ќџ’ ƒјЌЌџ’

4. “–≈Ѕќ¬јЌ»я   ѕќƒ—»—“≈ћјћ —«ѕƒЌ

5. ѕќЋ№«ќ¬ј“≈Ћ» ј»—

6. “–≈Ѕќ¬јЌ»я   ѕ≈–—ќЌјЋ” ѕќ ќЅ≈—ѕ≈„≈Ќ»ё «јў»“џ ѕƒЌ 18

7. ƒќЋ∆Ќќ—“Ќџ≈ ќЅя«јЌЌќ—“» ѕќЋ№«ќ¬ј“≈Ћ≈… ј»—............... 20

8. ќ“¬≈“—“¬≈ЌЌќ—“№ —ќ“–”ƒЌ» ќ¬ ј»— ‘√Ѕќ” ¬ќ Ђ»√”ї........ 21

9. ќЅ–јЅќ“ ј ѕ≈–—ќЌјЋ№Ќџ’ ƒјЌЌџ’ ѕ≈–≈ƒјЌЌџ’ „≈–≈«

ќ‘»÷»јЋ№Ќџ… ¬≈Ѕ-—ј…“ ‘√Ѕќ” ¬ќ Ђ»√”їќшибка! «акладка не определена.

10. —ѕ»—ќ  »—ѕќЋ№«ќ¬јЌЌџ’ »—“ќ„Ќ» ќ¬

ќѕ–≈ƒ≈Ћ≈Ќ»я

¬ насто€щем документе используютс€ следующие термины и их определени€.

система (ј»—) Цинформационна€ јвтоматизированна€ информационна€ система персональных данных,предназначенна€ дл€ автоматизации де€тельности, св€занной с хранением, передачей и обработкой информации.

јутентификаци€ отправител€ данных Ц подтверждение того, что отправитель полученных данных соответствует за€вленному.

Ѕезопасность персональных данных Ц состо€ние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.



Ѕиометрические персональные данные Ц сведени€, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включа€ фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строени€ тела и другую подобную информацию.

Ѕлокирование персональных данных Ц временное прекращение сбора, систематизации, накоплени€, использовани€, распространени€, персональных данных, в том числе их передачи.

¬ирус (компьютерный, программный) Ц исполн€емый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространени€ и самовоспроизведени€. —озданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохран€ют способность к дальнейшему распространению и самовоспроизведению.

¬редоносна€ программа Ц программа, предназначенна€ дл€ осуществлени€ несанкционированного доступа и (или) воздействи€ на персональные данные или ресурсы информационной системы персональных данных.

¬спомогательные технические средства и системы Ц технические средства и системы, не предназначенные дл€ передачи, обработки и хранени€ персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными дл€ обработки персональных данных или в помещени€х, в которых установлены информационные системы персональных данных.

ƒоступ в операционную среду компьютера (информационной системы персональных данных) Ц получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожени€, копировани€, перемещени€ и т.п.), исполн€емых файлов прикладных программ.

ƒоступ к информации Ц возможность получени€ информации и ее использовани€.

«акладочное устройство Ц элемент средства съема информации, скрытно внедр€емый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

«ащищаема€ информаци€ Ц информаци€, €вл€юща€с€ предметом собственности и подлежаща€ защите в соответствии с требовани€ми правовых документов или требовани€ми, устанавливаемыми собственником информации.

»дентификаци€Ц присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъ€вл€емого идентификатора с перечнем присвоенных идентификаторов.

»нформативный сигнал Ц электрические сигналы, акустические, электромагнитные и другие физические пол€, по параметрам которых может быть раскрыта конфиденциальна€ информаци€ (персональные данные) обрабатываема€ в информационной системе персональных данных.

»нформационные технологии Ц процессы, методы поиска, сбора, хранени€, обработки, предоставлени€, распространени€ информации и способы осуществлени€ таких процессов и методов.

»спользование персональных данных Ц действи€ (операции) с персональными данными, совершаемые оператором в цел€х прин€ти€ решений или совершени€ иных действий, порождающих юридические последстви€ в отношении субъекта персональных данных или других лиц либо иным образом, затрагивающих права и свободы субъекта персональных данных или других лиц.

»сточник угрозы безопасности информации Ц субъект доступа, материальный объект или физическое €вление, €вл€ющиес€ причиной возникновени€ угрозы безопасности информации.

 онтролируема€ зона Ц пространство (территори€, здание, часть здани€, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

 онфиденциальность персональных данных Ц об€зательное дл€ соблюдени€ оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласи€ субъекта персональных данных или наличи€ иного законного основани€.

ћежсетевой экран Ц локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выход€щей из информационной системы.

Ќарушитель безопасности персональных данных Ц физическое лицо, случайно или преднамеренно совершающее действи€, следствием которых €вл€етс€ нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Ќеавтоматизированна€ обработка персональных данных Ц обработка персональных данных, содержащихс€ в информационной системе персональных данных либо извлеченных из такой системы, считаетс€ осуществленной без использовани€ средств автоматизации (неавтоматизированной), если такие действи€ с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов, персональных данных, осуществл€ютс€ при непосредственном участии человека.

Ќедекларированные возможности Ц функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Ќесанкционированный доступ (несанкционированные действи€) Ц доступ к информации или действи€ с информацией, нарушающие правила разграничени€ доступа с использованием штатных средств, предоставл€емых информационными системами персональных данных.

Ќоситель информации Ц физическое лицо или материальный объект, в том числе физическое поле, в котором информаци€ находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

ќбезличивание персональных данных Ц действи€, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

ќбработка персональных данных Ц действи€ (операции) с персональными данными, включа€ сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

ќбщедоступные персональные данные Ц персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласи€ субъекта персональных данных или на которые в соответствии с федеральными законами не распростран€етс€ требование соблюдени€ конфиденциальности.

ќператор (персональных данных) Ц государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществл€ющее обработку персональных данных, а также определ€ющие цели и содержание обработки персональных данных.

“ехнические средства информационной системы персональных данных Ц средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ѕƒн (средства и системы звукозаписи, звукоусилени€, звуковоспроизведени€, переговорные и телевизионные устройства, средства изготовлени€, тиражировани€ документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управлени€ базами данных и т.п.), средства защиты информации, примен€емые в информационных системах.





ѕерехват (информации) Ц неправомерное получение информации с использованием технического средства, осуществл€ющего обнаружение, прием и обработку информативных сигналов.

ѕерсональные данные Ц люба€ информаци€, относ€ща€с€ к определенному или определ€емому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамили€, им€, отчество, год, мес€ц, дата и место рождени€, адрес, семейное, социальное, имущественное положение, образование, професси€, доходы, друга€ информаци€.

ѕобочные электромагнитные излучени€ и наводки Ц электромагнитные излучени€ технических средств обработки защищаемой информации, возникающие как побочное €вление и вызванные электрическими сигналами, действующими в их электрических и магнитных цеп€х, а также электромагнитные наводки этих сигналов на токопровод€щие линии, конструкции и цепи питани€.

ѕолитика Ђчистого столаї Ц комплекс организационных меропри€тий, контролирующих отсутствие записывани€ на бумажные носители ключей и атрибутов доступа (паролей) и хранени€ их вблизи объектов доступа.

ѕользователь информационной системы персональных данных Ц лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционировани€.

ѕравила разграничени€ доступа Ц совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

ѕрограммна€ закладка Ц код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

ѕрограммное (программно-математическое) воздействие Ц несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществл€емое с использованием вредоносных программ.

–аскрытие персональных данных Ц умышленное или случайное нарушение конфиденциальности персональных данных.

–аспространение персональных данных Ц действи€, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сет€х или предоставление доступа к персональным данным каким-либо иным способом.

–есурс информационной системы Ц именованный элемент системного, прикладного или аппаратного обеспечени€ функционировани€ информационной системы.

—пециальные категории персональных данных Ц персональные данные, касающиес€ расовой, национальной принадлежности, политических взгл€дов, религиозных или философских убеждений, состо€ни€ здоровь€ и интимной жизни субъекта персональных данных.

—редства вычислительной техники Ц совокупность программных и технических элементов систем обработки данных, способных функционировать самосто€тельно или в составе других систем.

—убъект доступа (субъект) Ц лицо или процесс, действи€ которого регламентируютс€ правилами разграничени€ доступа.

“ехнический канал утечки информации Ц совокупность носител€ информации (средства обработки), физической среды распространени€ информативного сигнала и средств, которыми добываетс€ защищаема€ информаци€.

“рансгранична€ передача персональных данных Ц передача персональных данных оператором через √осударственную границу –оссийской ‘едерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

”грозы безопасности персональных данных Ц совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

”ничтожение персональных данных Ц действи€, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаютс€ материальные носители персональных данных.

”течка (защищаемой) информации по техническим каналам Ц неконтролируемое распространение информации от носител€ защищаемой информации через физическую среду до технического средства, осуществл€ющего перехват информации.

”€звимость Ц слабость в средствах защиты, которую можно использовать дл€ нарушени€ системы или содержащейс€ в ней информации.

‘√Ѕќ” ¬ќ Ђ»√”ї Ц федеральное государственное бюджетное образовательное учреждение высшего образовани€ Ђ»ркутский государственный университетї.

÷елостность информации Ц способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в услови€х случайного и/или преднамеренного искажени€ (разрушени€).

ќЅќ«Ќј„≈Ќ»я » —ќ –јў≈Ќ»я

ј¬— Ц антивирусные средства ј–ћ Цавтоматизированное рабочее место ¬“—— Ц вспомогательные технические средства и системы ј»— Ц автоматизированна€ информационна€ система  « Ц контролируема€ зона Ћ¬— Ц локальна€ вычислительна€ сеть ћЁ Ц межсетевой экран Ќ—ƒ Ц несанкционированный доступ ќ— Ц операционна€ система ѕƒн Ц персональные данные ѕћ¬ Ц программно-математическое воздействие ѕќ Ц программное обеспечение —ј« Ц система анализа защищенности —«» Ц средства защиты информации —«ѕƒн Ц система (подсистема) защиты персональных данных —ќ¬ Ц система обнаружени€ вторжений “ ” » Ц технические каналы утечки информации ”Ѕѕƒн Ц угрозы безопасности персональных данных ¬¬≈ƒ≈Ќ»≈ Ќасто€ща€ѕолитика информационной безопасности (далее Ц ѕолитика) федерального государственного бюджетного образовательного учреждени€ высшего образовани€ Ђ»ркутский государственный университетї(далее - ‘√Ѕќ” ¬ќ Ђ»√”ї), разработана в соответствии с цел€ми, задачами и принципами обеспечени€ безопасности персональных данных, изложенными в ѕоложении о защите персональных данных ‘√Ѕќ” ¬ќ Ђ»√”ї.

ѕолитика разработана в соответствии с требовани€ми ‘едерального закона от 27.07.2006 г. є 152-‘« Ђќ персональных данныхї,ѕостановлени€ ѕравительства –оссийской ‘едерации от 01.11.2012 г. є 1119 Ђќб утверждении требований к защите персональных данных при их обработке в информационных системах персональных данныхї и ѕриказа ‘—“Ё  –оссии от 18.02.2013 г.

є21 Ђќб утверждении состава и содержани€ организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данныхї; на основании:

- Ђ“иповых требований по организации и обеспечению функционировани€ шифровальных (криптографических) средств, предназначенных дл€ защиты информации, не содержащей сведений, составл€ющих государственную тайну в случае из использовани€ дл€ обеспечени€ безопасности персональных данных при их обработке в информационных системах персональных данныхї(утв. ‘—Ѕ –оссии 21.02.2008 г. є 149/6/6-662).

¬ ѕолитике определены требовани€ к персоналу информационной системы персональных данных (далее Ц автоматизированна€ информационна€ система (ј»—)), степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные об€занности сотрудников, ответственных за обеспечение безопасности персональных данных в ј»—‘√Ѕќ” ¬ќ Ђ»√”ї.

1. ќЅў»≈ ѕќЋќ∆≈Ќ»я ÷елью насто€щей ѕолитики €вл€етс€ обеспечение безопасности объектов защиты ‘√Ѕќ” ¬ќ Ђ»√”ї от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизаци€ ущерба от возможной реализации угроз безопасности ѕƒн (далее Ц ”Ѕѕƒн).

Ѕезопасность персональных данных достигаетс€ путем исключени€ несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

»нформаци€ и св€занные с ней ресурсы должны быть доступны дл€ авторизованных пользователей. ƒолжно осуществл€тьс€ своевременное обнаружение и реагирование на ”Ѕѕƒн.

ƒолжно осуществл€тьс€ предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций, или уничтожени€ данных.

—остав объектов защиты представлен в ѕеречне персональных данных, подлежащих защите.

—остав ј»— подлежащих защите, представлен в приказах об организации информационныхсистем персональных данных‘√Ѕќ” ¬ќ Ђ»√”ї.

Ќасто€ща€ ѕолитика информационной безопасности утверждаетс€ и вводитс€ в действие приказом ректора.

2. ќЅЋј—“№ ƒ≈…—“¬»я “ребовани€ насто€щей ѕолитики распростран€ютс€ на всех сотрудников ‘√Ѕќ” ¬ќ Ђ»√”ї (штатных, временных, работающих по гражданско-правовому договоруи т.п.), посетителей официального сайта ‘√Ѕќ” ¬ќ Ђ»√”ї,а также всех иныхлиц (подр€дчики, аудиторы и т.п.).

3. —»—“≈ћј «јў»“џ ѕ≈–—ќЌјЋ№Ќџ’ ƒјЌЌџ’

—истема защиты персональных данных (—«ѕƒн), строитс€ на основании:

- ќтчета о проведении проверки;

- ѕеречн€ персональных данных, подлежащих защите;

- јкта установлени€ уровн€ защищенности информационной системы персональных данных;

- —писка лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим дл€ выполнени€ служебных об€занностей;

- –уковод€щих документов ‘—“Ё  и ‘—Ѕ –оссии.

Ќа основании этих документов определ€етс€ необходимыйуровень защищенности ѕƒнкаждойј»—‘√Ѕќ” ¬ќ Ђ»√”ї.Ќа основании анализа актуальных угроз безопасности ѕƒн и ќтчета о результатах проведени€ внутренней проверки, делаетс€ заключение о необходимости использовани€технических средств и выполнени€ организационных меропри€тий дл€ обеспечени€ безопасности ѕƒн. ¬ыбранные необходимые меропри€ти€ отражаютс€ в ѕлане меропри€тий по обеспечению безопасности персональных данных.

ƒл€ каждой ј»— должен быть составлен список используемых технических средств защиты, а такжепрограммного обеспечени€, участвующего в обработке ѕƒн, на всех элементах ј»—:

- ј–ћ пользователей;

- —ервера приложений;

- —”Ѕƒ;

- √раница Ћ¬—;

-  аналов передачи в сети общего пользовани€ и (или) международного обмена, если по ним передаютс€ ѕƒн.

¬ зависимости от уровн€ защищенности ј»— и актуальных угроз, —«ѕƒн может включать следующие технические средства:

- антивирусные средства дл€ рабочих станций пользователей и серверов;

- средства межсетевого экранировани€;

- средства криптографической защиты информации, при передаче защищаемой информации по каналам св€зи.

“ак же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ѕƒн операционными системами (ќ—), прикладным ѕќ и специальными комплексами, реализующими средства защиты.

—писок функций защиты может включать:

- управление и разграничение доступа пользователей;

- регистрацию и учет действий с информацией;

- обеспечение целостности данных;

- обнаружение вторжений.

—писок используемых технических средств отражаетс€ в Ђѕеречне технических средств и программного обеспечени€ в ј»—. —писок используемых средств должен поддерживатьс€ в актуальном состо€нии. ѕри изменении состава технических средств защиты или элементов ј»—, соответствующие изменени€ должны быть внесены в —писок и утверждены ректором‘√Ѕќ” ¬ќ Ђ»√”ї или лицом, ответственным за обеспечение защиты ѕƒн.

4. “–≈Ѕќ¬јЌ»я   ѕќƒ—»—“≈ћјћ —«ѕƒЌ

—«ѕƒн включает в себ€ следующие подсистемы:

- управлени€ доступом, регистрации и учета;

- обеспечени€ целостности и доступности;

- антивирусной защиты;

- контроль (анализ) защищенности персональных данных;

- межсетевого экранировани€;

- криптографической защиты.

ѕодсистемы —«ѕƒн имеют различный функционал в зависимости от уровн€ защищенности ј»—, определенного в јкте установлени€ защищенности информационной системы персональных данных.

4.1 ѕодсистемы управлени€ доступом, регистрации и учета ѕодсистема управлени€ доступом, регистрации и учета предназначена дл€ реализации следующих функций:

- идентификации и проверка подлинности субъектов доступа при входе в ј»—;

- идентификации терминалов, узлов сети, каналов св€зи, внешних устройств по логическим именам и (или) IP-адресам;

- идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;

- регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистраци€ загрузки и инициализации операционной системы и ее останова.

- регистрации попыток доступа программных средств к терминалам, каналам св€зи, программам, томам, каталогам, файлам, запис€м, пол€м записей.

ѕодсистема управлени€ доступом может быть реализована с помощью штатных средств обработки ѕƒн (операционных систем, приложений и —”Ѕƒ). “ак же может быть внедрено специальное техническое средство или их комплекс осуществл€ющие дополнительные меры по аутентификации и контролю. Ќапример, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

4.2 ѕодсистема обеспечени€ целостности и доступности ѕодсистема обеспечени€ целостности и доступности предназначена дл€ обеспечени€ целостности и доступности ѕƒн, программных и аппаратных средствј»—‘√Ѕќ” ¬ќ Ђ»√”ї, а также средств защиты, при случайной или намеренной модификации.

ѕодсистема реализуетс€ с помощью организации резервного копировани€ обрабатываемых данных, а также резервированием ключевых элементов ј»—.

4.3 ѕодсистема антивирусной защиты ѕодсистема антивирусной защиты предназначена дл€ обеспечени€ антивирусной защиты серверов и ј–ћ пользователей ј»—‘√Ѕќ” ¬ќ Ђ»√”ї.

—редства антивирусной защиты предназначены дл€ реализации следующих функций:

- резидентный антивирусный мониторинг;

- антивирусное сканирование;

- скрипт-блокирование;

- автоматизированное обновление антивирусных баз;

- ограничение прав пользовател€ на остановку исполн€емых задач и изменени€ настроек антивирусного программного обеспечени€;

- автоматический запуск сразу после загрузки операционной системы.

- администрирование, просмотр отчетов и статистической информации по работе антивирусного продукта;

ѕодсистема реализуетс€ путем внедрени€ специального антивирусного программного обеспечени€ на все элементы ј»—.

4.4 ѕодсистема анализа защищенности ѕодсистема анализа защищенности предназначена дл€ реализации следующих функций:

- контроль установки обновлений программного обеспечени€, включа€ обновление программного обеспечени€ средств защиты информации.

ѕодсистема реализуетс€ путем разработки документов, регламентирующих пор€док обновлени€ программного обеспечени€, в том числе средств защиты информации.

4.5 ѕодсистема межсетевого экранировани€ ѕодсистема межсетевого экранировани€ предназначена дл€ реализации следующих функций:

- фильтрации открытого и зашифрованного (закрытого) IP-трафика;

- фиксации во внутренних журналах информации о проход€щем открытом и закрытом IP-трафике;

- идентификации и аутентификации администратора межсетевого экрана при его локальных запросах на доступ;

- регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;

- фильтрации пакетов служебных протоколов, служащих дл€ диагностики и управлени€ работой сетевых устройств;

- фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

- регистрации и учета запрашиваемых сервисов прикладного уровн€;

- блокировани€ доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

- контрол€ за сетевой активностью приложений и обнаружени€ сетевых атак.

ѕодсистема реализуетс€ внедрением программно-аппаратных или программных комплексов межсетевого экранировани€ на границе Ћ—¬ и (или) на рабочих станци€х.

4.6 ѕодсистема криптографической защиты ѕодсистема криптографической защиты предназначена дл€ исключени€ Ќ—ƒ к защищаемой информации в ј»—‘√Ѕќ” ¬ќ Ђ»√”ї, при ее передаче по каналам св€зи сетей общего пользовани€ и (или) международного обмена.

ѕодсистема реализуетс€ внедрением криптографических программно-аппаратных комплексов.

5. ѕќЋ№«ќ¬ј“≈Ћ» ј»— ¬ ѕоложении о защите персональных данных определены основные категории пользователей. Ќа основании этих категории должна быть произведена типизаци€ пользователей ј»—, определен их уровень доступа и возможности.

¬ ј»—‘√Ѕќ” ¬ќ Ђ»√”ї можно выделить следующие группы пользователей, участвующих в обработке и хранении ѕƒн:

- јдминистраторыј»—;

- јдминистраторы информационной безопасности;

- ќператоры.

ƒанные о группах пользовател€х, уровне их доступа и информированности должны быть отражены в ћатрице разграничени€ доступа к ресурсам информационных систем.

5.1 јдминистратор ј»— јдминистратор ј»— Цработник‘√Ѕќ” ¬ќ Ђ»√”ї, ответственный за настройку, внедрение и сопровождение ј»—. ќбеспечивает функционирование подсистемы управлени€ доступом ј»— и уполномочен осуществл€ть предоставление и разграничение доступа конечного пользовател€ (ќператора ј–ћ) к элементам, хран€щим персональные данные.

јдминистратор ј»— обладает следующим уровнем доступа и знаний:

- обладает полной информацией о системном и прикладном программном обеспечении ј»—;

- обладает полной информацией о технических средствах и конфигурации ј»—;

- имеет доступ ко всем техническим средствам обработки информации и данным ј»—;

- обладает правами конфигурировани€ и административной настройки технических средств ј»—.

5.2 јдминистратор безопасности јдминистратор безопасности Ц работник‘√Ѕќ” ¬ќ Ђ»√”ї, ответственный за функционирование—«ѕƒн, включа€ обслуживание и настройку административной, серверной части и контроль за обслуживанием и настройкойклиентских компонент.

јдминистратор безопасности обладает следующим уровнем доступа и знаний:

- обладает правами јдминистратора ј»—;

- обладает полной информацией об ј»—;

- имеет доступ к средствам защиты информации и протоколировани€ и к части ключевых элементов ј»—;

- не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

јдминистратор безопасности уполномочен:

- реализовывать политики безопасности в части настройки —«», межсетевых экранов и систем обнаружени€ атак, в соответствии с которыми пользователь (ќператор ј–ћ) получает возможность работать с элементамиј»—;

- осуществл€ть аудит средств защиты;

- устанавливать доверительные отношени€ своей защищенной сети с другими сет€ми.

5.3 ќператор ј–ћ ќператор ј–ћ Ц работник‘√Ѕќ” ¬ќ Ђ»√”ї, осуществл€ющий обработку ѕƒн.

ќбработка ѕƒн включает: возможность просмотра ѕƒн, ручной ввод ѕƒн в систему ј»—, формирование справок и отчетов по информации, полученной из ј»—. ќператор не имеет полномочий дл€ управлени€ подсистемами обработки данных и—«ѕƒн.

ќператор ј»— обладает следующим уровнем доступа и знаний:

- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ѕƒн;

- располагает конфиденциальными данными, к которым имеет доступ.

6. “–≈Ѕќ¬јЌ»я   ѕ≈–—ќЌјЋ” ѕќ ќЅ≈—ѕ≈„≈Ќ»ё «јў»“џ ѕƒЌ

¬се работники‘√Ѕќ” ¬ќ Ђ»√”ї, €вл€ющиес€ пользовател€ми ј»—, должны четко знать и строго выполн€ть установленные правила и об€занности по доступу к защищаемым объектам и соблюдению прин€того режима безопасности ѕƒн.

ѕри вступлении в должность нового работниканепосредственный начальник подразделени€, в которое он поступает, об€зан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требовани€ по защите ѕƒн, а также обучение навыкам выполнени€ процедур, необходимых дл€ санкционированного использовани€ ј»—.

–аботникдолжен быть ознакомлен со сведени€ми насто€щейѕолитики, прин€тых процедур работы с элементамиј»— и —«ѕƒн.

–аботники‘√Ѕќ” ¬ќ Ђ»√”ї, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать Ќ—ƒ к ним, а такжевозможность их утери или использовани€ третьими лицами. ѕользователи несут персональную ответственность за сохранность идентификаторов.

–аботники‘√Ѕќ” ¬ќ Ђ»√”ї должны следовать установленным процедурам поддержани€ режима безопасности ѕƒн при выборе и использовании паролей (если не используютс€ технические средства аутентификации).

–аботники‘√Ѕќ” ¬ќ Ђ»√”їдолжны обеспечивать надлежащую защиту оборудовани€, оставл€емого без присмотра, особенно в тех случа€х, когда в помещение имеют доступ посторонние лица. ¬се пользователи должны знать требовани€ по безопасности ѕƒн и процедуры защиты оборудовани€, оставленного без присмотра, а также свои об€занности по обеспечению такой защиты.

–аботникам запрещаетс€ устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.

–аботникам запрещаетс€ разглашать защищаемую информацию, котора€ стала им известна при работе с информационными системами ‘√Ѕќ” ¬ќ Ђ»√”ї, третьим лицам.

ѕри работе с ѕƒн в ј»—работники‘√Ѕќ” ¬ќ Ђ»√”ї об€заны обеспечить отсутствие возможности просмотра ѕƒн третьими лицами с мониторов ј–ћ или терминалов.

ѕри завершении работы с ј»—работникиоб€заны защитить ј–ћ или терминалы с помощью блокировки ключом или эквивалентного средства контрол€, например, доступом по паролю, если не используютс€ более сильные средства защиты.

–аботники‘√Ѕќ” ¬ќ Ђ»√”ї должны быть проинформированы об угрозах нарушени€ режима безопасности ѕƒн и ответственности за его нарушение. ќни должны быть ознакомлены с утвержденной формальной процедурой наложени€ дисциплинарных взысканий на работников, которые нарушили прин€тые политику и процедуры безопасности ѕƒн.

–аботникиоб€заны без промедлени€ сообщать обо всех наблюдаемых или подозрительных случа€х работы ј»—, способныхповлечь за собой угрозы безопасности ѕƒн, а также о вы€вленных ими событи€х, затрагивающих безопасность ѕƒн, руководству подразделени€ и лицу, отвечающему за немедленное реагирование на угрозы безопасности ѕƒн.

7. ƒќЋ∆Ќќ—“Ќџ≈ ќЅя«јЌЌќ—“» ѕќЋ№«ќ¬ј“≈Ћ≈… ј»—

ƒолжностные об€занности пользователей ј»— описаны в следующих документах:

- »нструкци€ администратора ј»—;

- »нструкци€ администратора безопасности ј»—;

- »нструкци€ пользовател€ ј»—.

8. ќ“¬≈“—“¬≈ЌЌќ—“№ –јЅќ“Ќ» ќ¬‘√Ѕќ” ¬ќ Ђ»√”ї

¬ соответствии со ст. 24 ‘едерального закона –оссийской ‘едерации от 27.07.2006 г. є 152-‘« Ђќ персональных данныхї лица, виновные в нарушении требований данного ‘едерального закона, несут гражданско-правовую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством –оссийской ‘едерации ответственность.

ƒействующее законодательство –оссийской ‘едерации позвол€ет предъ€вл€ть требовани€ по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации Ё¬ћ и систем, неправомерный доступ к информации, если эти действи€ привели к уничтожению, блокированию, модификации информации или нарушению работы Ё¬ћ или сетей (статьи 272,273 и 274 ”  –‘).

јдминистратор ј»— и администратор безопасности несут ответственность за все действи€, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использовани€ учетных записей.

ѕри нарушени€х работниками‘√Ѕќ” ¬ќ Ђ»√”ї Ц пользователей ј»— правил, св€занных с безопасностью ѕƒн, они несут ответственность, установленную действующим законодательством –оссийской ‘едерации.

ѕриведенные выше требовани€ нормативных документов по защите информации должны быть отражены в ѕоложени€х о подразделени€х ‘√Ѕќ” ¬ќ Ђ»√”ї, осуществл€ющих обработку ѕƒн в ј»— и должностных инструкци€х сотрудников ‘√Ѕќ” ¬ќ Ђ»√”ї.

¬ѕоложени€ о подразделени€х ‘√Ѕќ” ¬ќ Ђ»√”ї, осуществл€ющих обработку ѕƒн в ј»—, должны быть внесены сведени€ об ответственности их руководителей и сотрудников за разглашение и несанкционированную модификацию (искажение, фальсификацию) ѕƒн, а также за неправомерное вмешательство в процессы их автоматизированной обработки.

9. —ѕ»—ќ  »—ѕќЋ№«ќ¬јЌЌџ’ »—“ќ„Ќ» ќ¬

ќсновными нормативно-правовыми и методическими документами, на которых базируетс€ насто€щее ѕоложение €вл€ютс€:

1 ‘едеральный «акон от 27.07.2006 г. є 152-‘« Ђќ персональных данныхї (далее

Ц ‘« Ђќ персональных данныхї), устанавливающий основные принципы и услови€ обработки ѕƒн, права, об€занности и ответственность участников отношений, св€занных с обработкой ѕƒн.

2 ѕостановление ѕравительства –оссийской ‘едерации от 01.11.2012 г.є 1119 Ђќб утверждении требований к защите персональных данных при их обработке в информационных системах персональных данныхї.

3 ѕриказ ‘—“Ё  –оссии от 18.02.2013 г. є21 Ђќб утверждении состава и содержани€ организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данныхї;

4 Ђѕоложение об особенност€х обработки персональных данных, осуществл€емой без использовани€ средств автоматизацииї, утвержденное ѕостановлением ѕравительства –оссийской ‘едерацииот 15.09.2008 г. є 687.

5 Ќормативно-методические документы ‘едеральной службы по техническому и экспертному контролю –оссийской ‘едерации по обеспечению безопасности ѕƒн при их обработке в ј»—.

6 Ѕазова€ модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ‘—“Ё  –оссии 15.02.2008 г.

(ƒ—ѕ).

7 ћетодика определени€ актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ‘—“Ё 



ѕохожие работы:

Ђhttp://farhang.al-shia.ru Ќизами √€нджеви —окровищница тайн ѕеревод с фарси  .ј.Ћипскерова и —.¬. Ўервинского ¬—“”ѕЋ≈Ќ»≈ Ђ¬ прославленье јллаха, что благом и милостью щедр 1 ї Ч ¬от к премудрости ключ, к тайнику сокровеннейших недр. –азмышлень€ начало и речи любой завершенье Ч »м€ божье, и им ты закончи сво...ї

Ђ1 √лава II. —оциальные эстафеты и куматоиды ¬ этой главе мы изложим основные представлени€ теории социальных эстафет, которые, как нам представл€етс€, позвол€ют решить проблему способа быти€ семиотических объектов и преодолеть как парадокс „еширского  ота, так и морфологический парадокс. ¬ последующих...ї

Ђ¬естник  рас√ј”. 20 12. є5 3. »спользование поликомпозитов позвол€ет упростить аппаратурно-технологическую схему, снизить материальные и энергетических затраты за счет упрощени€ операций сбора, исключени€ сортиров...ї

ЂBackBeat SENSE –уководство пользовател€  омплект поставки ќбзор 3 ќбщие сведени€ о гарнитуре 3 Ѕудьте осторожны! 3  омплект поставки 4 Cопр€жение 5 —ќѕ–я∆≈Ќ»≈ — ”—“–ќ…—“¬ќћ 5 ѕодключение второго устройства 5 —опр€же...ї

ЂISSN 2074-9414. “ехника и технологи€ пищевых производств. 2012. є 2 ”ƒ  547.281.2:541.183 ».¬. “имощук, Ќ.ј. ≈рмолаева, ».¬. ѕроскунов јƒ—ќ–Ѕ÷»я ј÷≈“јЋ№ƒ≈√»ƒј »« ¬ќƒЌџ’ –ј—“¬ќ–ќ¬ ”√Ћ≈–ќƒЌџћ» —ќ–Ѕ≈Ќ“јћ» ѕроведено комплексное исследование процесса адсорбции ацетальдегида (равновесие, кинетика, динамика) из воды активным...ї

Ђ„асто задаваемые вопросы по работе в ј»— Ђћосдеклараци€ї ¬опрос: как зайти в систему ј»— Ђћосдеклараци€ї? ƒл€ запуска ј»— Ђћосдеклараци€ї откройте браузер и в адресной строке введите следующий адрес: http://declarant.mos.ru ¬ результате выполненных действий в окне браузера бу...ї

Ђ ќЌ“»Ќ≈Ќ“ ЋC&QCI  ќЌ“»Ќ≈Ќ“ KONTINENS KONTYNENT CONTINENT KONTINENT IЁЁЁ  јЌ“џЌ≈Ќ“ KONTINENTAS KONTINENTS MANDER  ќЌ“»Ќ≈Ќ“ „то, что? не пон€л €. ”били? јкопа? јкопа убили? јкопа ƒжагуб€на? Ќо зачем?»менно это € хотел бы узнать у ¬ас. » тут до мен€ дошло всЄ, что он сказал. ёрий ћалецкий ѕризнаюсь, что в своей...ї

ЂE-MANUAL Ѕлагодарим за приобретение данного устройства Samsung. ƒл€ наилучшего обслуживани€ зарегистрируйте свое устройство по адресу: www.samsung.com/register ћодель_ —ерийный номер_ —одержание »спользование периферийных и удаленных устройств ѕод...ї

Ђ–. ¬. Ћ≈Ќ№ ќ¬ Ђ—оциальное предвидение в управлении: феномены, формы, проблемыї1.  ак справедливо отметил основатель московской школы социального прогнозировани€ ».¬. Ѕестужев-Ћада, будущее в социальной практике можно предсказать, предвосхитить, предугадать. ¬месте с тем, его можно также п...ї

Ђ1 сент€бр€ јндрей ѕлатонович ѕлатонов, писатель 115 лет со дн€ рождени€ (1899-1951) –одилс€ в ¬оронеже в многодетной семье машиниста паровоза, начал работать с 13 лет. ”чбу в ¬оронежском железнодорожно...ї








 
2017 www.pdf.knigi-x.ru - ЂЅесплатна€ электронна€ библиотека - разные матриалыї

ћатериалы этого сайта размещены дл€ ознакомлени€, все права принадлежат их авторам.
≈сли ¬ы не согласны с тем, что ¬аш материал размещЄн на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.