Фрагмент документа "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ".
II. Методы и способы защиты информации
от несанкционированного доступа
2.1. Методами и способами защиты информации от
несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей
(обслуживающего персонала) к информационным ресурсам, информационной
системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены
технические средства, позволяющие осуществлять обработку персональных
данных, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к
информационным ресурсам, программным средствам обработки (передачи) и
защиты информации;
регистрация действий пользователей и обслуживающего персонала,
контроль несанкционированного доступа и действий пользователей,
обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение,
исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и
носителей информации;
использование средств защиты информации, прошедших в
установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять
обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических
средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных
программ (программ-вирусов) и программных закладок.
2.2. В системе защиты персональных данных информационной системы
в зависимости от класса информационной системы и исходя из угроз
безопасности персональных данных, структуры информационной системы,
наличия межсетевого взаимодействия и режимов обработки персональных
данных с использованием соответствующих методов и способов защиты
информации от несанкционированного доступа реализуются функции
управления доступом, регистрации и учета, обеспечения целостности,
анализа защищенности, обеспечения безопасного межсетевого
взаимодействия и обнаружения вторжений.
Методы и способы защиты информации от несанкционированного
доступа, обеспечивающие функции управления доступом, регистрации и
учета, обеспечения целостности, анализа защищенности, обеспечения
безопасного межсетевого взаимодействия в зависимости от класса
информационной системы определяются оператором (уполномоченным лицом)
в соответствии с приложением к настоящему Положению.
2.3. В информационных системах, имеющих подключение к
информационно-телекоммуникационным сетям международного
информационного обмена (сетям связи общего пользования), или при
функционировании которых предусмотрено использование съемных носителей
информации, используются средства антивирусной защиты.
2.4. При взаимодействии информационных систем с
информационно-телекоммуникационными сетями международного
информационного обмена (сетями связи общего пользования) наряду с
методами и способами, указанными в пункте 2.1 настоящего Положения,
основными методами и способами защиты информации от
несанкционированного доступа являются:
межсетевое экранирование с целью управления доступом, фильтрации
сетевых пакетов и трансляции сетевых адресов для скрытия структуры
информационной системы;
обнаружение вторжений в информационную систему, нарушающих или
создающих предпосылки к нарушению установленных требований по
обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий
применение специализированных программных средств (сканеров
безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей
информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных
информационной системы.
2.5. Подключение информационных систем, обрабатывающих
государственные информационные ресурсы, к
информационно-телекоммуникационным сетям международного
информационного обмена осуществляется в соответствии с Указом
Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по
обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена" (Собрание законодательства Российской
Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919).
2.6. Для обеспечения безопасности персональных данных при
подключении информационных систем к информационно-телекоммуникационным
сетям международного информационного обмена (сетям связи общего
пользования) с целью получения общедоступной информации помимо методов
и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения,
применяются следующие основные методы и способы защиты информации от
несанкционированного доступа:
фильтрация входящих (исходящих) сетевых пакетов по правилам,
заданным оператором (уполномоченным лицом);
периодический анализ безопасности установленных межсетевых
экранов на основе имитации внешних атак на информационные системы;
активный аудит безопасности информационной системы на предмет
обнаружения в режиме реального времени несанкционированной сетевой
активности;
анализ принимаемой по информационно-телекоммуникационным сетям
международного информационного обмена (сетям связи общего пользования)
информации, в том числе на наличие компьютерных вирусов.
Для реализации указанных методов и способов защиты информации
могут применяться межсетевые экраны, системы обнаружения вторжений,
средства анализа защищенности, специализированные комплексы защиты и
анализа защищенности информации.
2.7. Для обеспечения безопасности персональных данных при
удаленном доступе к информационной системе через
информационно-телекоммуникационную сеть международного информационного
обмена (сеть связи общего пользования) помимо методов и способов,
указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются
следующие основные методы и способы защиты информации от
несанкционированного доступа:
проверка подлинности отправителя (удаленного пользователя) и
целостности передаваемых по информационно-телекоммуникационной сети
международного информационного обмена (сети связи общего пользования)
данных;
управление доступом к защищаемым персональным данным
информационной сети;
использование атрибутов безопасности.
2.8. Для обеспечения безопасности персональных данных при
межсетевом взаимодействии отдельных информационных систем через
информационно-телекоммуникационную сеть международного информационного
обмена (сеть связи общего пользования) помимо методов и способов,
указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются
следующие основные методы и способы защиты информации от
несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой
информации;
осуществление аутентификации взаимодействующих информационных
систем и проверка подлинности пользователей и целостности передаваемых
данных.
2.9. Для обеспечения безопасности персональных данных при
межсетевом взаимодействии отдельных информационных систем разных
операторов через информационно-телекоммуникационную сеть
международного информационного обмена (сеть связи общего пользования)
помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего
Положения, применяются следующие основные методы и способы защиты
информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой
информации;
аутентификация взаимодействующих информационных систем и проверка
подлинности пользователей и целостности передаваемых данных;
обеспечение предотвращения возможности отрицания пользователем
факта отправки персональных данных другому пользователю;
обеспечение предотвращения возможности отрицания пользователем
факта получения персональных данных от другого пользователя.
2.10. Обмен персональными данными при их обработке в
информационных системах осуществляется по каналам связи, защита
которых обеспечивается путем реализации соответствующих
организационных мер и (или) применения технических средств.
2.11. Подключение информационной системы к информационной системе
другого класса или к информационно-телекоммуникационной сети
международного информационного обмена (сети связи общего пользования)
осуществляется с использованием межсетевых экранов.
2.12. Программное обеспечение средств защиты информации,
применяемых в информационных системах 1 класса, проходит контроль
отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных
возможностей программного обеспечения средств защиты информации,
применяемых в информационных системах 2 и 3 классов, определяется
оператором (уполномоченным лицом).
2.13. В зависимости от особенностей обработки персональных данных
и структуры информационных систем могут разрабатываться и применяться
другие методы защиты информации от несанкционированного доступа,
обеспечивающие нейтрализацию угроз безопасности персональных данных.
|
Фрагмент документа "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О МЕТОДАХ И СПОСОБАХ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ".