Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

• Обозначения и сокращения

• Определения

• Введение

• 1. Основные обязанности учреждений здравоохранения, эксплуатирующих ИСПДн

• 2. Основные мероприятия по приведению ИСПДн Учреждений в соответствие с ФЗ-152 "О персональных данных"

• 3. Рекомендации по инвентаризации и категорированию персональных данных, обрабатываемых в ИСПДн Учреждений

• 4. Рекомендации по классификации ИСПДн Учреждений, выбору модели угроз и нарушителя

• 5. Рекомендации по выполнению организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений

  • 5.1. Рекомендации по разработке Положения о защите персональных данных

  • 5.2. Рекомендации по разработке Положения о подразделении по защите информации

  • 5.3. Рекомендации по разработке Приказ о назначении ответственных лиц за обработку ПДн

  • 5.4. Рекомендации по разработке Концепции информационной безопасности

  • 5.5. Рекомендации по разработке Политики информационной безопасности

  • 5.6. Рекомендации по разработке Перечня персональных данных, подлежащих защите

  • 5.7. Рекомендации по разработке Приказа о проведении внутренней проверки

  • 5.8. Рекомендации по разработке Отчета о результатах проведения внутренней проверки

    • Таблица 1 - Пример матрицы доступа

    • Таблица 2 - Пример описания технических средств защиты

  • 5.9. Рекомендации по разработке Акта классификации информационной системы персональных данных

  • 5.10. Рекомендации по разработке Положения о разграничении прав доступа к обрабатываемым персональным данным

  • 5.11. Рекомендации по разработке Модели угроз безопасности персональных данных

  • 5.12. Рекомендации по разработке Плана мероприятий по обеспечению защиты ПДн

  • 5.13. Рекомендации по разработке Порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ

  • 5.14. Рекомендации по разработке Плана внутренних проверок

  • 5.15. Рекомендации по разработке Журнала по учету мероприятий по контролю состояния защиты ПДн

  • 5.16. Рекомендации по разработке Журнала учета обращений субъектов ПДн о выполнении их законных прав

  • 5.17. Рекомендации по разработке Инструкции администратора ИСПДн

  • 5.18. Рекомендации по разработке Инструкции пользователя ИСПДн

  • 5.19. Рекомендации по разработке Инструкции администратора безопасности ИСПДн

  • 5.20. Рекомендации по разработке Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций

  • 5.21. Рекомендации по разработке Перечня по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним

  • 5.22. Рекомендации по разработке Технического задания на разработку системы обеспечения безопасности информации объекта вычислительной техники учреждения

  • 5.23. Рекомендации по разработке Эскизного проекта на создание системы обеспечения безопасности информации объекта

  • 5.24. Рекомендации по разработке Положения об Электронном журнале обращений пользователей информационной системы к ПДн

  • 5.25. Рекомендации по разработке уведомления в территориальный орган Россвязькомнадзора

• 6. Рекомендации по выполнению технических мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений

  • 6.1. Обязательные технические мероприятия

  • 6.2. Технические мероприятия, выполняемые при выделении дополнительного финансирования

    • Таблица 3 - Требования к системе защиты персональных данных

• 7. Рекомендации по применению программно-аппаратных средств защиты персональных данных в ИСПДн Учреждений

  • 7.1. Рекомендации по применению программно-аппаратных средств для подсистемы управления доступом

  • 7.2. Рекомендации по применению программно-аппаратных средств для подсистемы защиты от программно математических воздействий (ПМВ)

  • 7.3. Рекомендации по применению программно-аппаратных средств для подсистемы регистрации и учета

  • 7.4. Рекомендации по применению программно-аппаратных средств для подсистемы обеспечения целостности

  • 7.5. Рекомендации по применению программно-аппаратных средств для подсистемы контроля отсутствия недекларированных возможностей (НДВ)

  • 7.6. Рекомендации по применению программно-аппаратных средств для подсистемы антивирусной защиты

  • 7.7. Рекомендации по применению программно-аппаратных средств для подсистемы обеспечения безопасного межсетевого взаимодействия ИСПДн

  • 7.8. Рекомендации по применению программно-аппаратных средств для подсистемы анализа защищенности

  • 7.9. Рекомендации по применению программно-аппаратных средств для подсистемы обнаружения вторжений

• 8. Рекомендации по проведению аттестационных испытаний и по декларированию соответствия для ИСПДн Учреждений

• Заключение

• 9. Список использованных источников

• Приложение 1. Шаблоны документов и инструкции по их заполнению

Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости

• Обозначения и сокращения

• Введение

• Определения

• 1. Общие положения

• 2. Методология формирования модели угроз

• 3. Описание ИСПДн

  • 3.1. Определение условий создания и использования персональных данных

  • 3.2. Описание форм представления персональных данных

  • 3.3. Описание структуры ИСПДн

  • 3.4. Определение характеристик безопасности

• 4. Пользователи ИСПДн

  • Таблица 1.

• 5. Типы ИСПДн

  • 5.1. Характеристики ИСПДн

  • 5.2. Типизация ИСПДн

• 6. Уровень исходной защищенности

  • Таблица 2.

  • Таблица 3.

• 7. Вероятность реализации угроз безопасности

  • 7.1. Классификация угроз безопасности

  • 7.2. Классификация нарушителей

    • 7.2.1. Внешний нарушитель

    • 7.2.2. Внутренний нарушитель

    • 7.2.3. Предположения об имеющейся у нарушителя информации об объектах реализации угроз

    • 7.2.4. Предположения об имеющихся у нарушителя средствах реализации угроз

  • 7.3. Классификация уязвимостей ИСПДн

  • 7.4. Перечень возможных УБПДн

  • 7.5. Определение вероятности реализации УБПДн

    • 7.5.1. Угрозы утечки информации по техническим каналам

    • 7.5.1.1. Угрозы утечки акустической (речевой) информации

    • 7.5.1.2. Угрозы утечки видовой информации

    • 7.5.1.3. Угрозы утечки информации по каналам ПЭМИН

    • 7.5.2. Угрозы несанкционированного доступа к информации

    • 7.5.2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

    • 7.5.2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий)

    • Таблица 4.

    • 7.5.2.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, ...

    • 7.5.2.4. Угрозы преднамеренных действий внутренних нарушителей

    • 7.5.2.5. Угрозы несанкционированного доступа по каналам связи

    • Таблица 5.

    • Таблица 6.

    • Таблица 7.

    • Таблица 8.

    • Таблица 9.

    • Таблица 10.

    • Таблица 11.

    • Таблица 12.

    • Таблица 13.

• 8. Реализуемость угроз

  • Таблица 14 - Автономная ИС I типа

  • Таблица 15 - Автономная ИС II типа

  • Таблица 16 - Автономная ИС III типа

  • Таблица 17 - Автономная ИС IV типа

  • Таблица 18 - Автономная ИС V типа

  • Таблица 19 - Автономная ИС VI типа

  • Таблица 20 - ЛИС I типа

  • Таблица 21 - ЛИС II типа

  • Таблица 22 - Распределенная ИС I типа

  • Таблица 23 - Распределенная ИС II типа

• 9. Оценка опасности угроз

  • Таблица 24 - Автономная ИС I типа

  • Таблица 25 - Автономная ИС II типа

  • Таблица 26 - Автономная ИС III типа

  • Таблица 27 - Автономная ИС IV типа

  • Таблица 28 - Автономная ИС V типа

  • Таблица 29 - Автономная ИС VI типа

  • Таблица 30 - ЛИС I типа

  • Таблица 31 - ЛИС II типа

  • Таблица 32 - Распределенная ИС I типа

  • Таблица 33 - Распределенная ИС II типа

• 10. Определение актуальности угроз в ИСПДн

  • Таблица 34.

  • Таблица 35 - Автономная ИС I типа

  • Таблица 36 - Автономная ИС II типа

  • Таблица 37 - Автономная ИС III типа

  • Таблица 38 - Автономная ИС IV типа

  • Таблица 39 - Автономная ИС V типа

  • Таблица 40 - Автономная ИС VI типа

  • Таблица 41 - ЛИС I типа

  • Таблица 42 - ЛИС II типа

  • Таблица 43 - Распределенная ИС I типа

  • Таблица 44 - Распределенная ИС II типа

• Приложение 1. Обобщенная модель угроз для Автономной ИС I типа

  • Таблица 45.

• Приложение 2. Обобщенная модель угроз для Автономной ИС II типа

  • Таблица 46.

• Приложение 3. Обобщенная модель угроз для Автономной ИС III типа

  • Таблица 47.

• Приложение 4. Обобщенная модель угроз для Автономной ИС IV типа

  • Таблица 48.

• Приложение 5. Обобщенная модель угроз для Автономной ИС V типа

  • Таблица 49.

• Приложение 6. Обобщенная модель угроз для Автономной ИС VI типа

  • Таблица 50.

• Приложение 7. Обобщенная модель угроз для ЛИС I типа

  • Таблица 51.

• Приложение 8. Обобщенная модель угроз для ЛИС II типа

  • Таблица 52.

• Приложение 9. Обобщенная модель угроз для Распределенной ИС I типа

  • Таблица 53.

• Приложение 10. Обобщенная модель угроз для Распределенной ИС II типа

  • Таблица 54.