Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

 

Введение.

Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и должна опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.

Результаты моделирования предназначены для выбора адекватных оптимальных методов парирования угроз.

На стадии моделирования проведено изучение и анализ существующей обстановки и выявлены актуальные угрозы безопасности ПДн в составе ИСПДн БУ Республиканский противотуберкулезный диспансер МЗЧР.

 

Модель угроз построена в соответствии с требованиями Федерального Закона от 27.07.2006 г. № 152ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

 

Описание ИСПДн

 

1.1. Описание условий создания и использования ПДн

Должны быть описаны условия создания и использования персональных данных. Для этого определяются характер и структура обрабатываемых персональных данных:

-цель обработки ПДн;

-состав ПДн (фамилия, имя, отчество, дата рождения, паспортные данные, сведения о состоянии здоровья (перечислить) и т.п.);

-действия осуществляемые с данными в ходе их обработки (действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных);

-условия прекращения обработки;

-субъекты, создающие персональные данные (в качестве такого субъекта может выступать лицо или его представитель в виде программного или технического средства);

-субъекты, которым персональные данные предназначены;

-правила доступа к защищаемой информации;

-информационные технологии, базы данных, технические средства, используемые для создания и обработки персональных данных;

-используемые в процессе создания и использования персональных данных объекты, которые могут быть объектами угроз, создающими условия для появления угроз персональным данным. Такого рода объектами могут быть, например, технические и программные средства.

-Определение условий создания и использования ПДн осуществляется на основании Отчета о результатах проведения внутренней проверки.

1.2. Описание форм представления ПДн

    Персональные данные имеют различные формы представления (носители ПДн) с учетом используемых в информационной системе информационных технологий и технических средств.

Носитель ПДн – материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Носители ПДн могут содержать информацию, представленную в следующих видах:

-акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя ИСПДн при осуществлении им функции голосового ввода ПДн в ИСПДн, либо воспроизводимой акустическими средствами ИСПДн (если такие функции предусмотрены технологией обработки ПДн), а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;

-видовая информация, представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, информационновычислительных комплексов, технических средства обработки графической, видео и буквенноцифровой информации, входящих в состав ИСПДн;

-информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов;

-информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IPпротоколов, файлов и других логических структур.

Необходимо дать описание носителей персональных данных.

Основными носителями ПДн в ИСПДн Учреждений являются:

-видовая информация;

-информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IPпротоколов, файлов и других логических структур.

-Остальные типы носителей можно исключить по следующим причинам:

-акустическую (речевую) информацию, если в ИСПДн не производится голосового ввода персональных данных;

-информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов, если все элементы ИСПДн находятся внутри контролируемой зоны.

-Формы представления и носители ПДн определятся на основании Отчета о результатах проведения внутренней проверки.

                                                                                                           

1.3. Описание структуры ИСПДн

На основе анализа условий создания и использования персональных данных должны быть определены элементы и информация, сопутствующая процессам создания и использования персональных данных.

После этого должна быть описана структура и представлена схеме ИСПДн, а так же описаны элементы ИСПДн:

Технические средства ИСПДн, в том числе:

Описание серверов баз данных, где хранятся ПДн. Если сервера БД имеют уникальную программную, техническую или логическую структуру, необходимо описание каждого сервера.

Описание серверов БД, расположенных вне пределов контролируемой зоны или являющихся частью других ИСПДн, с которыми ваша информационная система обменивается данными.

Описание АРМ пользователей. Если в вашей информационной системе АРМ пользователей унифицированы, то достаточно перечислить программное обеспечение используемое, при обработке ПДн и установленные средства безопасности.

Используемые каналы связи, с помощью которых ИСПДн обменивается данными с другими системами. Каналом связи так же является подключение всей ИСПДн или ее элементов к сети международного обмена Интернет, даже если режим работы информационной системы не предполагает служебной необходимости передачи данных по сетям общего пользования и международного обмена.

Описание канала производится в форме:

Характеристика канала (выделенный канал, модемное подключение и т.п.);

Получатели данных (орган исполнительной власти (название), контролирующие органы (название) и т.п.);

Характер и вид пересылаемых данных (консолидированные отчеты, синхронизация данных между БД и т.п.).

Программные средства ИСДН, в их числе:

Используемые операционные системы;

Используемые программноаппаратные комплексы, участвующие в обработке ПДн;

Основное пользовательское программное обеспечение, участвующие в обработке ПДн;

ПО собственной разработки или стандартные программы, специально доработанные под нужды организации;

Антивирусную защиту.

Циркулирующие в ИСПДн информационные потоки, в виде:

отправитель (физическое или юридическое лицо, процесс, программный модуль и т.п.) – получатель (физическое или юридическое лицо, процесс, программный модуль и т.п.): формат обмена данными (ежемесячные (квартальные) отчеты, регистры, реестры, запросы абонентов и т.п.).

Описать используемые технические средства и принципы защиты, отобразить их на общей схеме ИСПДн. Могут включать в себя:

· Межсетевые экраны;

· Граничное телекоммуникационное оборудование;

· Оборудование формирующие виртуальные частные сети (VPN);

· Разделение на виртуальные локальные сети (VLAN, Virtual Local Area Network).

· Структура ИСПДн определяется на основании Отчета о результатах проведения внутренней проверки.

1.4. Описание характеристик безопасности

Так же необходимо определить характеристики безопасности элементов системы и всей ИСПДн в целом.

Основными (классическими) характеристиками безопасности являются конфиденциальность, целостность и доступность.

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Доступность информации – состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.

При обработке персональных данных в ИСПДн учреждений Минздравсоцразвития России необходимо обеспечить следующие характеристики безопасности – конфиденциальность, целостность.

Выбранные характеристики безопасности ПДн отражаются в Акте классификации информационной системы персональных данных.