Иван Трещев - Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

– воспрепятствования функционированию ИСПДн путем преднамеренного электромагнитного воздействия на ее элементы;

– непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за

ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.

При оценке обстановки учитывается степень ущерба, который может быть причинен в случае неправомерного использования соответствующих ПДн.

8.3.2. Обоснование требований по обеспечению безопасности ПДн и формулирование задач защиты ПДн проводится в соответствии с действующим законодательством.

8.3.3. Разработку замысла обеспечения безопасности ПДн (осуществляется выбор основных способов защиты ПДн).

8.3.4. Выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты.

При выборе целесообразных способов обеспечения безопасности ПДн, обрабатываемых в ИСПДн, определяются организационные меры и технические (аппаратные, программные и программно-аппаратные) сертифицированные средства защиты.

В соответствии с выявленными сектором защиты информации угрозами безопасности ПДн осуществляется планирование и проведение мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн Организации.

Модель угроз применительно к конкретной ИСПДн разрабатывается отделом безопасности в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 14.02.2008, на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России от 15.02.2008, по представленным необходимым техническим данным об ИСПДн.

8.3.5. Решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты. Предусматривает подготовку кадров, выделение необходимых финансовых и материальных средств, закупку и разработку программного и аппаратного обеспечения.

Контроль осуществляется отделом безопасности по выполнению требований нормативных документов по защите ПДн, а также в оценке обоснованности и эффективности принятых мер.

8.3.6. Обеспечение реализации принятого замысла защиты ПДн.

8.3.7. Планирование мероприятий по защите ПДн.

8.3.8. Организацию и проведение работ по созданию СЗПДн в рамках разработки (модернизации) ИСПДн, в том числе с привлечением специализированных сторонних лицензированных организаций, решение основных задач взаимодействия.

8.3.9. Разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.

8.3.10. Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.

8.3.11. Доработку СЗПДн по результатам опытной эксплуатации.

8.4. Комплексная защита информации на объекте информатизации проводится по следующим основным направлениям работы:

– охрана помещений объекта;

– определение перечня информации, подлежащей защите;

– классификация ИСПДн;

– создание системы защиты информации при разработке и модернизации объекта;

– составление организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

– защита речевой информации при осуществлении конфиденциальных переговоров;

– защита информации, содержащей ПДн, при ее автоматизированной обработке, передаче с использованием технических средств, а также на бумажных или иных носителях;

– защита информации при взаимодействии абонентов с информационными сетями связи общего пользования.

8.5. Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом (негативным последствиям для субъектов ПДн) от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности и работоспособности технических средств, обрабатывающих эту информацию, а также с учетом реальных возможностей ее перехвата и раскрываемости.

Основное внимание должно быть уделено защите информации, содержащей ПДн, в отношении которой угрозы реальны и сравнительно просто реализуемы без применения сложных технических средств перехвата информации.