Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.
Результаты моделирования предназначены для выбора адекватных оптимальных методов парирования угроз.
Как составить частную модель угроз безопасности информационной системы
На стадии моделирования проводится изучение и анализ существующей обстановки и выявляются актуальные угрозы безопасности ПДн в составе ИСПДн. Для каждой выявленной ИСПДн составляется своя модель угроз.
Модель угроз безопасности информационной системы строится в соответствии с требованиями Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Кроме того, могут использоваться методические документы ФСТЭК России: «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн», «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».
Исходными данными для проведения оценки и анализа обычно служат материалы «Акта проверки», результаты анкетирования сотрудников различных подразделений и служб, методические документы ФСТЭК и т.д.
Частная модель угроз безопасности информационной системы должна быть утверждена руководителем организации или комиссией на основании отчета о результатах проведения внутренней проверки.
Модель угроз может разрабатываться ответственными за защиту персональных данных в организации или сторонними экспертами. Разработчики модели угроз должны владеть полной информацией об информационной системе персональных данных, знать нормативную базу по защите информации.
Содержание модели угроз безопасности информационной системе
В модели угроз безопасности ИСПДн отражаются:
- Непосредственно сами угрозы безопасности персональных данных. При обработке персональных данных в ИСПДн можно выделить следующие угрозы: создаваемые нарушителем (физическим лицом), создаваемые аппаратной закладкой, создаваемые вредоносными программами, угрозы специальных воздействий на ИСПДн, угрозы электромагнитного воздействия на ИСПДн, угрозы утечки информации по техническим каналам и т.д.
- Источники угроз к ИСПДн. Возможными источниками угроз к ИСПДн могут быть: внешний нарушитель, внутренний нарушитель, программно-аппаратная закладка либо вредоносная программа.
- Общая характеристика уязвимостей ИСПДн. В ней содержится информация об основных группах уязвимостей ИСПДн и их характеристиках, а также информация о причинах возникновения уязвимостей.
- Используемые средства защиты информации. Для каждой ИСПДн должны быть определены необходимые меры по снижению опасности актуальных угроз.
Чтобы скачать частную модель угроз безопасности информационной системы для конкретного предприятия, ответьте на уточняющие вопросы и внесите данные в шаблон.
Модель угроз информационной безопасности ИСПДн
А также методическими документами ФСТЭК России:
- «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»
- «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»
Исходные данные
Исходными данными для проведения оценки и анализа служат:
Материалы «Акта проверки»;
Результаты анкетирования сотрудников различных подразделений и служб;
Методические документы ФСТЭК;
- требования постановления правительства;
Описание подхода к моделированию угроз безопасности ПДн
2.1.
Модель угроз безопасности разработана на основе методических документов ФСТЭК:
На основе «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн» проведена классификация угроз безопасности и составлен перечень угроз безопасности.
На основе составленного перечня угроз безопасности ПДн в составе ИСПДн с помощью «Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» построена модель угроз безопасности ПДн в составе ИСПДн АСУ и выявлены актуальные угрозы.
2.2.
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
2.3.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
2.4.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
2.5.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Модель угроз
3.1.
Классификация угроз безопасности персональных данных
При обработке персональных данных в ИСПДн можно выделить следующие угрозы:
| № | Наименование угрозы | Описание угрозы | Вероятность наступления | Возможность реализации угрозы |
3.2.
Источники угроз к ИСПДн
Источниками угроз в ИСПДн могут быть:
| № | Наименование источника угроз | Общая характеристика источника угроз |
Как вы, наверное, знаете, недавно в приказ ФСТЭК №17 “Требования о защите информации, не содержащей государственную тайну, содержащуюся в государственных информационных системах” были внесены неоднозначные изменения, по которым есть вопросы и проблемы с их применением. Сегодня давайте обсудим одну из таких проблем:
теперь при моделировании угроз необходимо использовать “новую” БДУ ФСТЭК России, а новой методики моделирования угроз не предвидится. Далее подробно …
В соответствии с пунктом 14 приказа, обаятельным этапом формирования требований к защите информации в ГИС является:
“определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;”
По сути это две отдельных работы, требования к каждой из которых детализируются в пункте 14.3 приказа:
I. Определение угроз
“14.3. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей , анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru ) …”
II. Разработка модели угроз
“Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик , а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации”
Можно ли использовать при этом произвольные методики? Нет…
“Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы , разработанные и утвержденные ФСТЭК России ”
III . Давайте разбираться, какой же методический документ надо использовать? В соответствии с каким документом должен требовать государственный орган проведение работ от подрядчика?
Единственный утвержденный и опубликованный методический документ ФСТЭК России в части моделирования угроз - это “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год”. Условно назовем её “старая методика”. (Есть ещё утвержденный, но не опубликованный документ - "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры", утв. ФСТЭК России в 18.05.2007, но его мы не будем рассматривать) .
По неформальной информации, “новой” методики для ГИС ожидать в ближайшее время не стоит. Тогда надо определиться со “старой” методикой. Нужно ли и можно ли её использовать? Есть несколько причин против использования методики:
Первая: “старая” методика предназначена только для определения угроз ПДн и ИСПДн. Мы же рассматриваем Государственные информационные системы, которые не всегда могут являться ПДн. Требования Приказа применяются и для иной информации в ГИС, в том числе для общедоступной информации и информации подлежащей обязательному опубликованию.
Вторая: “старая” методика разработана на основании Постановления правительства №781, которое уже отменено. Вместе с этим в юридической практике применяется следующее общее правило “Признание основного нормативного правового акта утратившим юридическую силу означает утрату юридической силы производных и вспомогательных нормативных правовых актов, если не установлено иное” . То есть – утратила юридическую силу.
Третья: “старая” методика предназначена для определения актуальных угроз – “Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн” , а в соответствии с Приказом от нас требуется определить “угрозы безопасности информации, реализация которых может привести к нарушению безопасности информации” . Согласитесь, что разница есть и понятия эти не тождественные.
Четвертая: Методический документ должен охватывать и вторую часть работ – а именно описывать, как разрабатывается документ под названием Модель угроз. В “ старой” методике об этом ни слова.
Пятая: В соответствии с Приказом угрозы должны определяться в зависимости от одного набора характеристик. Примерно же набор характеристик применяется в БДУ ФСТЭК. А в “старой” методике, определяются в зависимости от другого набора. Подробнее на рисунке.
С одной стороны, все выводы указывают на тот факт, что это не подходящая для ГИС методика. С другой стороны, есть один весомый аргумент за её использование – это единственная утвержденная и опубликованная методика ФСТЭК России в области моделирования угроз.
PS : На самом деле, все указанные аргументы против использования “старой” методики, можно было бы устранить внеся небольшие “косметические” обновления в методику. Поменять термины, ИСПДн на ИС, ПДн на информацию и т.п. + добавить некоторые описательные разделы из проекта “новой” методики + немного актуализировать таблицу для расчета исходной защищенности. А все формулы для расчета актуальности угроз можно было оставлять без изменений – они себя хорошо показали за время, прошедшее с 2008 года.
Думаю, что на такую небольшую актуализацию методики моделирования угроз, месяца было бы вполне достаточно. А вот три года, это уже перебор.
Владивосток, 201_ г.
Обозначения и сокращения. 3
Заказчик и исполнитель. 4
1. Общие положения. 5
2. Описание информационной системы.. 7
3. Описание угроз Наим системы 8
3.1. Модель нарушителя. 8
3.2. Обобщённые возможности источников атак Наим системы.. 13
3.3. Актуальность использования возможностей нарушителя и направлений атак. 16
3.4. Описание возможных уязвимостей в НАИМ СИСТЕМЫ 22
3.5. Угрозы безопасности информации НАИМ СИСТЕМЫ 25
3.5.1. Угрозы утечки по техническим каналам.. 26
3.5.2. Угрозы НСД к ПДн в НАИМ СИСТЕМЫ 29
3.6. Определение актуальности угроз безопасности информации НАИМ СИСТЕМЫ 73
3.6.1. Исходный уровень защищённости. 73
3.6.2. Алгоритм определения актуальных УБИ.. 74
3.6.3. Актуальность УБИ.. 75
3.6.4. Перечень актуальных угроз. 83
Источники разработки. 87
Обозначения и сокращения
| АРМ | Автоматизированное рабочее место |
| АС | Аппаратные средства |
| ВТСС | Вспомогательные технические средства и системы |
| ИС | Информационная система |
| КЗ | Контролируемая зона |
| НСД | Несанкционированный доступ |
| ОС | Операционная система |
| ПДн | Персональные данные |
| ПО | Программное обеспечение |
| ПЭМИН | Побочные электромагнитные излучения и наводки |
| СВТ | Средство вычислительной техники |
| СЗИ | Средство защиты информации |
| СКЗИ | Система криптографической защиты информации |
| СФ | Среда функционирования |
| УБИ | Угроза безопасности информации |
| ФСБ | Федеральная служба безопасности |
| ФСТЭК | Федеральная служба по техническому и экспортному контролю |
Заказчик и исполнитель
Адрес: адрес орг.
Исполнителем работ является: Общество с ограниченной ответственностью «Системы информационной безопасности» (сокращенное наименование - ООО «СИБ»).
Адрес: 630009, г. Новосибирск, ул. Добролюбова, 16.
Общие положения
Настоящая модель определяет актуальные угрозы безопасности данных при их обработке в информационной системе Наим орг сокращ и должна использоваться при задании требований к системе защиты информации указанной информационной системы.
Настоящая модель угроз разработана на основании данных Аналитического отчёта по обследованию государственной информационной системы «Наим сист» Департамента образования и науки Приморского края и Банка данных угроз безопасности информации ФСТЭК России.
Для разработки модели угроз ГИС Наим орг сокращ использовались следующие нормативные и методические документы, стандарты:
1. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
3. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну содержащихся в государственных информационных системах»;
4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
5. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.);
6. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности информации персональных данных, актуальные при обработке персональных данных информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утверждены руководством 8 центра ФСБ России 31 марта 2015 года № 149/7/2/6-432;
7. Приказ ФСБ России от 10.07. 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» (зарегистрировано в Минюсте России 18.08.2014 г. № 33620);
8. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.).
Модель угроз формируется и утверждается оператором и может быть пересмотрена:
· по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности данных с учетом особенностей и (или) изменений конкретной информационной системы;
· по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности данных при их обработке в информационной системе.
Принципы формирования модели угроз:
· безопасность защищаемой информации в ИС обеспечивается с помощью системы защиты информации;
· защищаемая информация обрабатывается и хранится в ИС с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые и косвенные угрозы защищаемой информации;
· система защиты данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту полномочий.
В модели угроз представлено описание ИС и её структурно – функциональных характеристик, состава и режима обработки защищаемой информации, определение уровня защищённости ИС, описание угроз безопасности информации.
Описание угроз безопасности информации включает:
· описание возможностей нарушителя (модель нарушителя);
· описание возможных уязвимостей ИС;
· способы реализации угроз;
· оценку вероятности (возможности) реализации угроз;
· оценку степени и вида ущерба от реализации угроз;
· определение актуальности УБИ.
Описание информационной системы
Система представляет собой клиент-серверную информационную систему. В качестве СУБД в НАИМ СИСТЕМЫ используется MSQL-2008. Технически серверная часть данной информационной системы находится на сервере под управлением MSQL в Наим орг сокращ.
Клиентские части расположены на АРМ сотрудников Наим орг сокращ.
Вставить из аналитики
Описание угроз НАИМ СИСТЕМЫ Наим орг сокращ
Модель нарушителя
Источниками угроз НСД в ИС могут быть:
· Нарушитель;
· Носитель вредоносной программы;
· Аппаратная закладка.
Нарушитель безопасности ПДн определяется, как физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах.
В Наим орг сокращ всех нарушителей можно классифицировать следующим образом - по наличию права постоянного или разового доступа в КЗ.
По данной классификации они подразделяются на два типа:
· Нарушители, не имеющие доступа в КЗ, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена – внешние нарушители;
· Нарушители, имеющие доступ в КЗ и (или) данным, хранящимся в ИС - внутренние нарушители;
Внешними нарушителями для реализации угроз безопасности информации в ИС Наим орг сокращ могут быть:
· Криминальные структуры;
· Недобросовестные партнёры;
· Внешние субъекты (физические лица).
Внешний нарушитель имеет следующие возможности:
· Осуществлять НСД к каналам связи, выходящим за пределы служебных помещений;
· Осуществлять НСД через АРМ, подключённые к сетям связи общего пользования и (или) сетям международного информационного обмена;
· Осуществлять НСД к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;
· Осуществлять НСД через элементы информационной инфраструктуры ИС, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами КЗ;
· Осуществлять НСД через ИС взаимодействующих ведомств, организаций и учреждений при их подключении к ИС.
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах КЗ режимных и организационно – технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.
Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.
К первой категории (И1) относятся лица, имеющие санкционированный доступ к ИС, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИС.
· иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИС;
· располагать фрагментами информации о топологии ИС (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
· располагать именами и вести выявление паролей зарегистрированных пользователей;
· изменять конфигурацию технических средств ИС, вносить в нее программно-аппаратные закладки и обеспечивать съём информации, используя непосредственное подключение к техническим средствам ИС.
· обладает всеми возможностями лиц первой категории;
· знает, по меньшей мере, одно легальное имя доступа;
· обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
· располагает конфиденциальными данными, к которым имеет доступ.
· обладает всеми возможностями лиц первой и второй категорий;
· располагает информацией о топологии ИС на базе локальной и распределенной информационных систем, через которую он осуществляет доступ, и составе технических средств ИС;
· имеет возможность прямого (физического) доступа к фрагментам технических средств ИС.
· обладает полной информацией о системном и прикладном программном обеспечении, используемом в - сегменте (фрагменте) ИС;
· обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИС;
· имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИС;
· имеет доступ ко всем техническим средствам сегмента (фрагмента) ИС;
· обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИС.
· обладает всеми возможностями лиц предыдущих категорий;
· обладает полной информацией о системном и прикладном программном обеспечении ИС;
· обладает полной информацией о технических средствах и конфигурации ИС;
· имеет доступ ко всем техническим средствам обработки информации данным ИС;
· обладает правами конфигурирования и административной настройки технических средств ИС.
· обладает всеми возможностями лиц предыдущих категорий;
· обладает полной информацией об ИС;
· имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИС;
· не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
· обладает информацией об алгоритмах и программах обработки информации на ИС;
· обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИС на стадии ее разработки, внедрения и сопровождения;
· может располагать любыми фрагментами информации о топологии ИС и технических средствах обработки и защиты данных, обрабатываемых в ИС.
· обладает возможностями внесения закладок в технические средства ИС на стадии их разработки, внедрения и сопровождения;
· может располагать любыми фрагментами информации о топологии ИС и технических средствах обработки и защиты информации в ИС.
В следующей таблице приведён сводный перечень внутренних потенциальных нарушителей и наличие их в Наим орг сокращ:
Таблица 3.1.1.
Из числа потенциальных нарушителей безопасности информации Наим орг сокращ исключаются нарушители категории И5 и И6. Данные пользователи осуществляют техническое обслуживание, как общесистемных средств ИС, так и специальных средств защиты информации, включая их настройку, конфигурирование, распределение паролей и ключевой документации между пользователями, поэтому они назначаются из числа особо проверенных и доверенных лиц. Они имеют полный доступ ко всем настройкам сети и подсистем защиты информации на случай необходимости их восстановления, обновления систем и т.п. (т.к. должны иметь возможность отключения СЗИ для выполнения определенных мероприятий). Эффективность всей системы безопасность информации зависит от действий этих пользователей, поэтому устанавливать системы защиты от них было бы нецелесообразно, в связи с ее сложностью и низкой эффективностью. Вместе с тем, нельзя не учитывать, что контроль за деятельностью привилегированных пользователей и оценка их эффективности осуществляется в ходе оценки соответствия ИС по требованиям безопасности при проведении аттестации и проверок со стороны регулирующих органов, а также со стороны правоохранительных органов.
Таким образом, потенциальными нарушителями безопасности информации в Наим орг сокращ принимаются:
1. Внешние нарушители;
Актуальность УБИ
Для каждой угрозы рассчитан коэффициент реализуемости угрозы и определён показатель опасности угрозы.
Для чего она нужна и как ее разработать?! Ответы на эти вопросы Вы найдете в этой статье.
Модель угроз – это перечень возможных угроз.
Все просто и ясно. Хотя в ГОСТ Р 50922-2006 – «Защита информации. Основные термины и определения» дано более емкое определение:
Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
Итак, модель угроз – это документ, тем или иным способом описывающий возможные угрозы безопасности персональных данных.
Теперь разберемся что такое угроза безопасности информации (персональных данных) .
«Базовая модель» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Многие эксперты по защите информации весьма скептически относятся к этому документу. Угрозы, приведенные в базовой модели, устарели и далеко не всеобъемлющи. Однако за неимением лучшего приходится довольствоваться текущей редакцией документа.
Документ «Методика определения актуальных угроз» содержит алгоритм оценки угрозы. Путем несложных расчетов определяется статус каждой вероятной угрозы.
Если Вы решили разрабатывать модель угроз самостоятельно, мы рекомендуем Вам воспользоваться нашим онлайн сервисом для подготовки пакета документов по защите персональных данных . Это позволит избежать ошибок и сократить время подготовки документов.
Наш сервис уже содержит все угрозы безопасности из "Базовой модели". Вам достаточно просто проставить их характеристики и общие характеристики Вашей ИСПДн. Алгоритм расчета актуальности угроз полностью автоматизирован. В результате Вы получите готовый документ в формате RTF
Они, в свою очередь, могут подразделяться на санкционированные и случайные. Внешнюю опасность могут оказывать террористы, зарубежные спецслужбы, криминальные группировки, конкуренты и т.д., которые могут блокировать, копировать, и даже уничтожать информацию, имеющую ценность для обеих сторон.
Базовая модель угроз
Внутренняя угроза «утечки» информации – это такая угроза, которую создают сотрудники определенного предприятия. Они могут санкционировано взломать и использовать ее в личных интересах. Такое возможно, если в компании не налажена техническая мера и контроля доступа к .
Право на защиту личной информации, гарантированное Конституцией РФ каждому гражданину.
Уровни защиты
Сама система защиты информации может иметь четыре . Отметим, что выбор средств определяет оператор на основании нормативных актов (часть 4 статьи 19 ФЗ «О персональных данных»).
- организация должна создать режим, препятствующий проникновению в помещения лиц, не имеющих к ним доступ;
- необходимо позаботиться о сохранности персональных файлов;
- руководитель должен утвердить оператора, а также документы, в которых заключался бы перечень лиц, которым разрешено в силу служебных обязанностей обращаться к конфиденциальной информации других сотрудников;
- использование средств защиты информации, прошедших процедуру оценки в области обеспечения безопасности информации.
Для обеспечения третьего уровня защищенности необходимо соблюдения всех требований четвертого уровня и добавляется еще один – обязательно назначается должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в .
Для второго уровня защищенности характерно положение о том, что к может иметь доступ сам оператор или сотрудник, которому это позволяют его служебные обязанности. А также к нему относятся все требования третьего уровня безопасности.
И, наконец, для обеспечения первого уровня безопасности необходимо соблюсти все вышеперечисленные требования и обеспечить соблюдение следующих пунктов:
- установка в электронном журнале безопасности такой системы, которая могла бы автоматически заменять доступа сотрудника к в связи смены его полномочий;
- назначение ответственного человека (сотрудника) за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Контроль безопасности оператор должен производить более одного раза в три года.
Он имеет право поручить это дело юридическому лицу или лицам, у которых на это есть лицензия, заключив с ними договор («Требования к защите персональных данных при их обработке в информационных системах персональных данных от» 1 ноября 2012 г. №1119).
Обеспечение высокого уровня защиты
Законом дано право юридическим лицам самим определять меру защиты своей конфиденциальной информации. Не будьте же уязвимыми – примите необходимые меры.
