Организация аналитической работы и контроля.
На основании Федерального закона №152: «Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
) подтверждение факта обработки персональных данных оператором;
) правовые основания и цели обработки персональных данных;
) цели и применяемые оператором способы обработки персональных данных;
) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
) сроки обработки персональных данных, в том числе сроки их хранения;
) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства».
Согласно Федеральному закону №149 доступ к персональным данным: «1. Граждане (физические лица) и организации (юридические лица) (далее - организации) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.
. Гражданин (физическое лицо) имеет право на получение от государственных органов, органов местного самоуправления, их должностных лиц в порядке, установленном законодательством Российской Федерации, информации, непосредственно затрагивающей его права и свободы.
. Организация имеет право на получение от государственных органов, органов местного самоуправления информации, непосредственно касающейся прав и обязанностей этой организации, а также информации, необходимой в связи с взаимодействием с указанными органами при осуществлении этой организацией своей уставной деятельности.
. Не может быть ограничен доступ к:
) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
) информации о состоянии окружающей среды;
) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
) информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.»
Так же к организационным мерам относятся должностные инструкции - документы, регламентирующие производственные полномочия и обязанности работника.
Должностная инструкция
Инженера по безопасности информации
Общие положения
1.1. Инженер по безопасности информации относится к категории специалистов.
.2. Инженер по безопасности информации назначается на должность и освобождается от занимаемой должности в установленном действующим трудовым законодательством порядке приказом директора по представлению начальника Службы безопасности.
.3. Инженер по безопасности информации подчиняется непосредственно начальнику Службы безопасности.
.4. На должность инженера по безопасности информации назначается лицо, имеющее:
.4.1. Требования к квалификации. Высшее профессиональное (техническое) образование без предъявления требований к стажу работы или среднее профессиональное (техническое) образование и стаж работы в должности техника по безопасности информации I категории не менее 3 лет либо других должностях, замещаемых специалистами со средним профессиональным образованием, не менее 5 лет.
.5. Инженер по безопасности информации должен знать:
федеральные законы, законы, постановления, распоряжения, приказы, методические и нормативные материалы по вопросам, связанным с обеспечением технической защиты информации;
методы и средства получения, обработки и передачи информации;
технические средства защиты информации;
программно-математические средства защиты информации;
порядок оформления технической документации по защите информации;
каналы возможной утечки информации;
методы анализа и защиты информации;
организацию работ по защите информации;
режим проведения специальных работ;
отечественный и зарубежный опыт в области технической разведки и защиты информации;
основы экономики, организации производства, труда и управления;
основы трудового законодательства;
правила и нормы охраны труда;
специализацию предприятия и особенности его деятельности;
положение о Службе безопасности предприятия;
правила внутреннего трудового распорядка;
настоящую должностную инструкцию
.6. В период временного отсутствия инженера по безопасности информации его обязанности возлагаются на администратора безопасности информационных систем персональных данных.
Обязанности
Инженер по безопасности информации:
Участвует в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации;
Выполняет работы по проектированию и внедрению специальных технических и программно-математических средств защиты информации;
Обеспечивает организационно-технических меры защиты информационных систем;
Проводит исследования с целью нахождения и выбора наиболее целесообразных практических решений в пределах поставленной задачи;
Осуществляет подбор, изучение и обобщение научно-технической литературы, нормативных и методических материалов по техническим средствам и способам защиты информации;
Проводит сопоставительный анализ данных исследований и испытаний, изучает возможные источники и каналы утечки информации;
Проводит техническое обслуживание средств защиты информации;
Принимает участие в составлении рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации;
Выполняет оперативные задания, связанные с обеспечением контроля технических средств и механизмов системы защиты информации, участвует в проведении проверок на предприятии по выполнению требований нормативно-технической документации по защите информации, в подготовке отзывов и заключений на нормативно-методические материалы и техническую документацию;
Принимает участие в подготовке предложений по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области защиты информации и персональных данных;
Участвует в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации и персональных данных;
Проводит контрольные проверки работоспособности и эффективности действующих систем и технических средств защиты информации, составляет и оформляет акты контрольных проверок, анализирует результаты проверок и разрабатывает предложения по совершенствованию и повышению эффективности принимаемых мер;
Изучает и обобщает опыт работы других учреждений, организаций и предприятий по использованию технических средств и способов защиты информации с целью повышения эффективности и совершенствования работ по ее защите;
Выполняет работы в установленные сроки, на высоком научно-техническом уровне, соблюдая требования руководящих документов по режиму проведения работ;
Находится в готовности к выполнению работ по защите информации в условиях чрезвычайных ситуаций;
Поддерживает уровень квалификации, достаточный для исполнения своих должностных обязанностей;
Ведет разъяснительную работу по вопросам безопасного использования средств вычислительной техники и применения компьютерных информационных технологий;
Права
Инженер по безопасности информации имеет право:
вносить предложения по развитию и совершенствованию деятельности предприятия по безопасности обработки защищаемой информации в том числе, содержащей персональные данные;
запрашивать у руководства, получать и пользоваться информационными материалами и нормативно-правовыми документами, необходимыми для исполнения своих должностных обязанностей;
требовать от руководства предприятия оказания содействия в исполнении своих должностных обязанностей и прав;
принимать участие в конференциях и совещаниях, на которых рассматриваются вопросы, связанные с его работой;
повышать свою квалификацию;
проверять в составе комиссий, а также лично, исполнения работниками предприятия положений руководящих документов предприятия, касающихся обеспечения безопасности информации и персональных данных.
Инженер по безопасности информации пользуется всеми трудовыми правами в соответствии с Трудовым кодексом Российской Федерации.
Ответственность
Инженер по безопасности информации несет ответственность за:
неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.
несоблюдение правил внутреннего распорядка, санитарно-противоэпидемического режима, противопожарной безопасности и техники безопасности;
неготовность к работе в условиях чрезвычайных ситуаций.
За нарушение законодательных и нормативных актов инженер по безопасности информации может быть привлечен, в соответствии с действующим законодательством, в зависимости от тяжести проступка к дисциплинарной, материальной, административной и уголовной ответственности.
Должностная инструкция
Администратора информационной безопасности информационных
систем персональных данных
Общие положения
Администратор информационной безопасности информационной системы персональных данных (ИСПДн) (ГБПОУ СПО (ССУЗ) «Челябинский радиотехнический техникум») (далее - Предприятия) назначается приказом директора. Он руководствуется требованиями нормативных документов Российской Федерации, нормативных актов Предприятия, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся.
Администратор ИБ ИСПДн в пределах своих функциональных обязанностей обеспечивает работоспособность ИСПДн, безопасность персональных данных, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники (СВТ) в ИСПДн Предприятия.
Должностные лица Предприятия, задействованные в обеспечении функционирования ИСПДн, могут быть ознакомлены с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.
В случае увольнения (снятия обязанностей), администратор ИБ ИСПДн Предприятия, обязан передать начальнику подразделения, в штате которого он состоит все носители защищаемой информации Предприятия (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), которые находились в его распоряжении в связи с выполнением им служебных обязанностей во время работы в Предприятия.
Права
Администратор ИБ ИСПДн имеет право:
отключать любые элементы СЗПДн при изменении конфигурации, регламентном техническом обслуживании или устранении неисправностей в установленном порядке;
в установленном порядке изменять конфигурацию элементов ИСПДн и СЗПДн;
требовать от сотрудников Предприятия соблюдения правил работы в ИСПДн, приведенных в «Инструкции пользователя ИСПДн»;
требовать от пользователей безусловного соблюдения установленной технологии обработки защищаемой информации и выполнения требований внутренних документов Предприятия, регламентирующих вопросы обеспечения безопасности и защиты персональных данных;
обращаться к ответственному за обеспечение безопасности ПДн с требованием прекращении обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации;
вносить свои предложения по совершенствованию функционирования ИСПДн Предприятия;
инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности в ИСПДн Предприятия.
Обязанности
Администратор информационной безопасности ИСПДн обязан:
знать перечень установленных на предприятии средств вычислительной техники
знать обо всех технологических процессах, производимых вычислительной техникой
обеспечивать работоспособность средств вычислительной техники ИСПДн предприятия;
проводить организационно-технические мероприятия по обслуживанию и ремонту СВТ предприятия, как собственными силами, так и с привлечением (на договорной основе) сторонних организаций, имеющих лицензирование на право ремонта и обслуживания;
устанавливать и настраивать элементы ИСПДн и средства защиты информации;
рассматривать возможность применения новых технологий для повышения эффективности функционирования ИСПДн Предприятия;
выполнять своевременное обновление программного обеспечения элементов ИСПДн и средств защиты персональных данных (СЗПДн) по мере появления таких обновлений;
уметь выполнять резервное копирование и восстановление данных;
обеспечивать контроль за выполнением пользователями требований «Инструкции пользователю ИСПДн»;
осуществлять контроль за работой пользователей автоматизированных систем, выявление попыток НСД к защищаемым информационным ресурсам и техническим средствам ИСПДн Предприятия;
осуществлять настройку средств защиты, выполнять другие действия по изменению элементов ИСПДн;
осуществлять текущий и периодический контроль работы средств и систем защиты информации;
осуществлять текущий контроль технологического процесса обработки защищаемой информации;
периодически, при изменении программной среды и смене персонала ИСПДн, осуществлять тестирование всех функций системы защиты с помощью тестовых программ, имитирующих попытки НСД;
в случае возникновения нештатных ситуаций (сбоев в работе СЗПДн) немедленно докладывать ответственному за обеспечение безопасности ПДн;
участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;
участвовать в проведении работ по восстановлению работоспособности средств и систем защиты информации;
вести «Журнал учета нештатных ситуаций». Форма журнала приведена в «Инструкции по действиям персонала в нештатных ситуациях»;
вести учёт фактического вскрытия и опечатывания СВТ;
вести учёт выполнения профилактических работ
вести учёт установки и модификации программного обеспечения средств СВТ;
вести учёт замены аппаратных компонентов СВТ;
проводить инструктаж и обучение работников ГУП (пользователей СВТ) правилам работы с оргтехникой;
проводить инструктаж уполномоченных работников ИСПДн правилам работы со средствами защиты информации с отметкой в карточке инструктажа;
участвовать в разработке нормативных и методических документов, связанных с функционированием ИСПДн и применением средств защиты персональных данных;
регулярно анализировать работу любых элементов ИСПДн, электронных системных журналов средств защиты для выявления и устранения неисправностей, а также для оптимизации ее функционирования.
выполнять иные возложенные на него задачи в соответствии с распорядительными, инструктивными и методическими материалами в части, его касающейся;
Ответственность
Администратор ИБ ИСПДн несет ответственность:
за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, другими инструктивными документами в соответствии с действующим трудовым законодательством Российской Федерации, за полноту и качество проводимых им работ по обеспечению защиты информации;
за правонарушения, совершенные в процессе своей деятельности в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
за разглашение сведений конфиденциального характера и другой защищаемой информации Предприятия в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации;
на администратора ИБ ИСПДн возлагается персональная ответственность за работоспособность и надлежащее функционирование средств обработки ПДн в ИСПДн и средств защиты персональных данных Предприятия.
4. Технические методы защиты информации в выделенном помещении
Задачей технических средств защиты информации является либо ликвидация каналов утечки информации, либо снижение качества получаемой злоумышленником информации. Предупреждение утечки информации по акустическим каналам сводится к пассивным и активным способам защиты. Соответственно, все приспособления защиты информации можно смело разделить на два больших класса - пассивные и активные. Пассивные - измеряют, определяют, локализуют каналы утечки, ничего не внося при этом во внешнюю среду. Активные - «зашумляют», «выжигают», «раскачивают» и уничтожают всевозможные спецсредства негласного получения информации. Основным показателем качества речевой информации считается разборчивость - слоговая, словесная, фразовая и др. Чаще всего используют слоговую разборчивость, измеряемую в процентах. Принято считать, что качество акустической информации достаточное, если обеспечивается около 40% слоговой разборчивости. Если разобрать разговор практически невозможно (даже с использованием современных технических средств повышения разборчивости речи в шумах), то слоговая разборчивость соответствует около 1-2%.
4.1 Пассивные методы защиты
Устройства, обеспечивающее скрытие объекта защиты от технических способов разведки путем поглощения, отражения или рассеивания его излучений. К пассивным техническим средствам защиты относятся экранирующие устройства и сооружения, маски различного назначения, разделительные устройства в сетях электроснабжения, защитные фильтры и т.д. Цель пассивного способа - максимально ослабить акустический сигнал от источника звука, например, за счет отделки стен звукопоглощающими материалами.
По результатам анализа архитектурно-строительной документации формируется комплекс необходимых мер по пассивной защите тех или иных участков. Перегородки и стены по возможности должны быть слоистыми, материалы слоев - подобраны с резко отличающимися акустическими характеристиками (например, бетон-поролон). Для уменьшения мембранного переноса желательно, чтобы они были массивными. Кроме того, разумнее устанавливать двойные двери с воздушной прослойкой между ними и уплотняющими прокладками по периметру косяка. Для защиты окон от утечки информации их лучше делать с двойным остеклением, применяя звукопоглощающий материал и увеличивая расстояние между стеклами для повышения звукоизоляции, использовать шторы или жалюзи. Желательно оборудовать стекла излучающими вибродатчиками. Различные отверстия во время ведения конфиденциальных разговоров следует перекрывать звукоизолирующими заслонками.
4.2 Активные методы защиты
Устройства, обеспечивающее создание маскирующих активных помех (или имитирующих их) для средств технической разведки или нарушающие нормальное функционирование средств негласного съема информации. Активные способы предупреждения утечки информации можно подразделить на обнаружение и нейтрализацию этих устройств.
К активным техническим средствам защиты относятся также различные имитаторы, средства постановки аэрозольных и дымовых завес, устройства электромагнитного и акустического зашумления и другие средства постановки активных помех. Активный способ предупреждения утечки информации по акустическим каналам сводится к созданию в «опасной» среде сильного помехового сигнала, который сложно отфильтровать от полезного.
Современная техника подслушивания дошла до такого уровня, что становится очень сложно обнаружить приборы считывания и прослушивания. Самыми распространенными методами выявления закладочных устройств являются: визуальный осмотр; металлодетектирование; рентгеновское просвечивание.
Проводить специальные меры по обнаружению каналов утечки информации и дорого, и долго. Поэтому в качестве средств защиты информации часто выгоднее использовать устройства защиты телефонных переговоров, генераторы пространственного зашумления, генераторы акустического и виброакустического зашумления, сетевые фильтры. Для предотвращения несанкционированной записи переговоров используют устройства подавления диктофонов.
Подавители диктофонов (также эффективно воздействующие и на микрофоны) применяют для защиты информации с помощью акустических и электромагнитных помех. Они могут воздействовать на сам носитель информации, на микрофоны в акустическом диапазоне, на электронные цепи звукозаписывающего устройства. Существуют стационарные и носимые варианты исполнения различных подавителей. В условиях шума и помех порог слышимости для приема слабого звука возрастает. Такое повышение порога слышимости называют акустической маскировкой. Для формирования виброакустических помех применяются специальные генераторы на основе электровакуумных, газоразрядных и полупроводниковых радиоэлементов.
На практике наиболее широкое применение нашли генераторы шумовых колебаний. Шумогенераторы первого типа применяются для подавления непосредственно микрофонов как у радиопередающих устройств, так и у диктофонов, т.е. такой прибор банально вырабатывает некий речеподобный сигнал, передаваемый в акустические колонки и вполне эффективно маскирующий человеческую речь. Кроме того, такие устройства применяются для борьбы с лазерными микрофонами и стетоскопическим прослушиванием. Надо отметить, что акустические шумогенераторы - едва ли не единственное средство для борьбы с проводными микрофонами. При организации акустической маскировки следует помнить, что акустический шум создает дополнительный дискомфорт для сотрудников, для участников переговоров (обычная мощность генератора шума составляет 75-90 дБ), однако в этом случае удобство должно быть принесено в жертву безопасности.
На практике одну и ту же поверхность приходится зашумлять несколькими виброизлучателями, работающими от разных, источников помеховых сигналов, что явно не способствует снижению уровня шумов в помещении. Это связано с возможностью использования метода компенсации помех при подслушивании помещения. Данный способ заключается в установке нескольких микрофонов и двух- или трехканальном съеме смеси скрываемого сигнала с помехой в пространственно разнесенных точках с последующим вычитанием помех.
Оптимальным методом защиты подконтрольной зонысчитается комбинация пассивной и активной защиты от утечек по акустическому и виброакустическому каналу. Его главным достоинством считается возможность использования достоинств двух основных методов с лучшими показателями цена-качество.
5. Применяемое инженерное и техническое оборудование
Пассивная защита.
Установкашумоизолированной двери:
Необходимо установить специальнуюзвукопоглощающую дверь. Звукопоглощение - процесс преобразования акустической энергии волны в тепловую энергию.
Рисунок 4 - Шумоизолированная дверь
Ликвидациянесоответствующих инженерных конструкций:
Инженерная конструкция с техническим отверстием, находящаяся на стыке контролируемой зоны, и смежного помещения 1 не отвечает должным требованиям по звукоизоляции, необходимо заменить на сэндвич-панель конструкциюиз двух плит перекрытия и установленного между ними слоя войлочных блоков.
Устранение возможной утечки по оптическому каналу:
Для предотвращения съёма информации по оптическому каналу из вне, предлагается затруднить или перекрыть вовсе обзор злоумышленнику на контролируемую зону.
Виды защиты:
.Жалюзи - светозащитные устройства, состоящие из вертикальных или горизонтальных пластин, так называемых ламелей. Ламели могут быть неподвижными, либо поворачиваться вокруг своей оси для регулирования световых и воздушных потоков.
.Шторы - оконная занавесь из плотной ткани, раздвигаемая в стороны или поднимаемая вверх.
.Тонированное стекло-стекло с нанесением тонкого слоя металла или полимера.
.Отражающая «зеркальная» пленка - усложняют либо делают невозможным снятие информации оптическим методом.
Решено установить отражающую плёнку, она отвечает необходимым параметрам для защиты по оптическому каналу и имеет низкую стоимость.
Активная защита.
Рекомендуемые активные средства защиты выделенного помещения:
Для предотвращения съёма информации по виброакустическому каналу с инженерных конструкций необходимо установить систему «Соната-АВ» модель 1М.
Генераторный блок модели 1М разработан для использования в качестве ядра развитых системвиброакустической защиты.
Основными особенностями этого устройства являются:
·два выхода с независимым выбором вида нагрузки (вибро- или аудиоизлучатели) и установкой уровня ее возбуждения;
·высокая нагрузочная способность каждого канала
Рисунок 9 - Технические характеристики модели 1М
Конструктивное исполнение: моноблок 230 х 193 х 65 мм
Рисунок 10 - ПИ - 45 и АИ - 65
Установка системы видеонаблюдения:
Для защиты оборудования от кражи и несанкционированного доступа, требуется установить систему видеонаблюдения. Был выбран аналоговый комплект для внутреннего видеонаблюдения «Дом-2». В комплект входит 2 внутренние видеокамеры с разрешением 700 Твл, 4-канальный цифровой видеорегистратор, блок питания 1 А, кабель ШВЭВ 3х0,12 (30 метров), коннекторы BNC под винт (4 штуки), коннектор питания с клеммной колодкой «мама», коннектор с клеммной колодкой «папа» (2 штуки). Возможно подключение 1 микрофона. Комплект позволяет вести видеонаблюдение через Интернет с помощью мобильного телефона, планшета или любого компьютера.
Предполагается установить одну камеру в к.з., а вторую в смежном помещении 1.
Рисунок 10 - Комплект видеонаблюдения «Дом-2»