|  |
www.lawsforall.ru / Закон
<Письмо> Роструда от 15.03.2010 № 1251-ТЗ
<О направлении рекомендаций по защите информации в органах исполнительной власти субъектов Российской Федерации, осуществляющих переданные полномочия в области содействия занятости населения, и государственных учреждениях центрах занятости населения>
Официальная публикация в СМИ:
публикаций не найдено
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ И СОЦИАЛЬНОГО РАЗВИТИЯ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТРУДУ И ЗАНЯТОСТИ
ПИСЬМО
от 15 марта 2010 г. № 1251-ТЗ
В соответствии со статьей 16.1 Закона Российской Федерации от 19 апреля 1991 г. № 1032-1 "О занятости населения в Российской Федерации", Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", требованиями нормативных документов ФСТЭК и ФСБ России, а также во исполнение пункта 4 протокола всероссийского селекторного совещания Федеральной службы по труду и занятости и органов исполнительной власти субъектов Российской Федерации, осуществляющих переданные полномочия в области содействия занятости населения, от 28 января 2010 года направляем рекомендации по защите информации в органах исполнительной власти субъектов Российской Федерации, осуществляющих переданные полномочия в области содействия занятости населения, и государственных учреждениях центрах занятости населения в процессе информационного взаимодействия с автоматизированной информационной системой формирования и ведения регистров получателей государственных услуг в сфере занятости населения.
Контактные лица:
от Роструда: главный специалист-эксперт отдела ведения регистров получателей государственных услуг и статистического учета Андреев Павел Борисович, тел.: (495)698-88-76, e-mail: andreevpb@rostrud.info;
от исполнителя работ ОАО "Инфотекс" по организационным вопросам: Авраменко Юрий Вячеславович, телефон: (495)737-61-92, e-mail: soft@infotecs.ru, Роева Елена Викторовна (495)737-61-92, e-mail: roeva@infotecs.ru;
по техническим вопросам: Набойщиков Сергей Геннадьевич, телефон: (495)737-61-96, e-mail: hotline@infotecs.ru.
Руководитель
Ю.В.ГЕРЦИЙ
Приложение
к письму Роструда
от 15 марта 2010 г. № 1251-ТЗ
РЕКОМЕНДАЦИИ
ПО ЗАЩИТЕ ИНФОРМАЦИИ В ОРГАНАХ ИСПОЛНИТЕЛЬНОЙ
ВЛАСТИ СУБЪЕКТОВ РОССИЙСКОЙ ФЕДЕРАЦИИ, ОСУЩЕСТВЛЯЮЩИХ
ПЕРЕДАННЫЕ ПОЛНОМОЧИЯ В ОБЛАСТИ СОДЕЙСТВИЯ ЗАНЯТОСТИ
НАСЕЛЕНИЯ, И ГОСУДАРСТВЕННЫХ УЧРЕЖДЕНИЯХ
ЦЕНТРАХ ЗАНЯТОСТИ НАСЕЛЕНИЯ
1. Общие положения
В соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных).
Классификация информационных систем персональных данных (далее - ИСПДн) проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе;
присвоение информационной системе соответствующего класса и его документальное оформление.
В соответствии с пунктом 6 Порядка проведения классификации информационных систем персональных данных, утвержденного совместным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 (далее - Порядок), обрабатываемые в информационной системе данные, касающиеся состояния здоровья граждан, относятся к категории 1 персональных данных. В соответствии с таблицей, приведенной в пункте 15 Порядка, типовой информационной системе, в которой обрабатываются персональные данные 1 категории, должен быть присвоен класс К1.
Однако на основании пункта 8 Порядка, информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных, должны быть отнесены к специальным информационным системам, при этом класс специальной информационной системы, в соответствии с пунктом 16 Порядка, должен определяться на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
Необходимо учитывать, что в соответствии с пунктом 19 Порядка, класс информационной системы может быть пересмотрен:
по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных, с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
Объектами защиты в органах исполнительной власти субъектов Российской Федерации, осуществляющих переданные полномочия в области содействия занятости населения (далее - ОИВ СРФ), являются сети, системы и комплексы, задействованные в обработке конфиденциальной информации и персональных данных населения. Типовой сегмент сети в ОИВ СРФ состоит из серверов, на которых ведется обработка персональных данных, и клиентских мест операторов. На серверах рекомендуется устанавливать 32-разрядную ОС Microsoft Windows Server 2003, на клиентских местах - 32-разрядную ОС Microsoft Windows XP Professional. Использование сертифицированных версий ОС не требуется.
Структурная схема предлагаемого решения отражена на рисунке 1 (не приводится).
В ОИВ СРФ рекомендуется провести закупку, установку и ввод в эксплуатацию сертифицированного программного комплекса ViPNet Custom в составе:
ViPNet Administrator;
ViPNet Coordinator;
ViPNet Registration Point;
ViPNet Client.
Для управления конфигурацией VPN-сети регионального сегмента в ОИВ СРФ, каждого региона Российской Федерации рекомендуется ввести автоматизированное рабочее место администратора безопасности информации (АРМ АБИ) под управлением ОС Windows XP с установленным ПО ViPNet Administrator и ViPNet Client.
Программа ПО ViPNet Administrator (Ключевой центр) выполняет следующие основные задачи:
создание ключевых дисков для пользователей сети ViPNet;
создание ключевых наборов для сетевых узлов;
создание паролей;
обновление ключевых дисков и ключевых наборов.
Программа ПО ViPNet Administrator (Удостоверяющий центр) реализует следующие функции:
издание сертификатов, отзыв, приостановление и возобновление приостановленного действия сертификатов пользователей, сформированных на сетевых узлах сети ViPNet или в Центре регистрации для внешних пользователей;
отправка запроса и получение сертификата Администратора из внешнего Удостоверяющего центра, а также импорт и рассылка списков корневых (доверенных) сертификатов внешних УЦ;
создание запросов на издание кросс-сертификатов для внешних Удостоверяющих центров; обработка запросов на кросс-сертификаты и издание кросс-сертификатов по запросам Удостоверяющих центров, как ViPNet, так и внешних;
возможность проверки сертификата открытого ключа по заявлению пользователя.
На серверы в ОИВ СРФ рекомендуется устанавливать ПО ViPNet Client, позволяющее обеспечить защищенный обмен с клиентскими местами операторов и выполняющее функции персонального сетевого экрана, и ПО ViPNet SafeDisk, реализующее защищенное хранение персональных данных.
На клиентские места операторов в ОИВ СРФ также рекомендуется установить ПО ViPNet Client и ПО ViPNet SafeDisk.
ПО ViPNet Client (Монитор) выполняет функции:
персонального сетевого экрана (ПСЭ),
шифратора сетевого трафика компьютера,
предоставляет дополнительные сервисные функции для оперативного защищенного обмена циркулярными сообщениями, проведения конференций, файлового обмена и др.
Программа ViPNet Client (Деловая почта) предназначена для организации защищенной передачи электронных документов по открытым каналам связи по всему маршруту следования документа от отправителя к получателю в сети ViPNet. В почтовый защищенный сервис входят следующие услуги, предоставляемые программой:
отправка и получение писем с прикрепленными к ним вложениями;
отправка файлов (в виде вложений) адресатам ViPNet;
получение подтверждений (квитанций) о доставке и использовании документов;
шифрование писем и вложений к ним;
электронная подпись писем и вложений к ним;
электронная подпись (и проверка подписи) отдельных файлов (не вложений);
предоставление информации о документе: дате и времени создания и получения документа, размере документа (в килобайтах), информации о получателях и отправителях;
ведение регистрационной нумерации документов;
экспорт и импорт писем.
В ОИВ СРФ необходимо предусмотреть станцию с установленным ПО ViPNet Registration Point. Программа Registration Point предоставляет следующие основные возможности:
создание запросов на регистрацию пользователей, в том числе и возможность извлечения информации о пользователях из различных существующих источников данных. В источниках данных можно указать серверы с регистрационными данными пользователей ViPNet;
возможность изменения регистрационных данных зарегистрированного пользователя (пользователей);
создание запросов на сертификат;
создание запросов на дистрибутив ключей (в процессе создания запроса на дистрибутив ключей данного пользователя можно зарегистрировать в различных прикладных задачах ViPNet);
создание запросов на обновление ключей пользователей;
удаление пользователей;
создание запросов на приостановление действия сертификата;
создание запросов на возобновление действия приостановленного ранее сертификата;
создание запросов на отзыв сертификата, работа с ключевым контейнером, обработка дистрибутивов ключей, экспорт сертификатов, создание шаблонов и имен пользователей.
В качестве межсетевого экрана, для разделения подсетей открытого и закрытого сегментов, для обеспечения безопасности передачи данных в рамках VPN-сети, а также в качестве сервера защищенной почты рекомендуется использование ПО ViPNet Coordinator производства ОАО "ИнфоТеКС".
ПО ViPNet Coordinator выполняет следующие функции:
маршрутизация почтовых конвертов и управляющих сообщений при взаимодействии;
регистрация и предоставление информации о текущих IP-адресах и способах подключения объектов корпоративной сети;
обеспечивает работу защищенных компьютеров локальной сети (сегмента сети) в VP№ от имени одного адреса;
обеспечивает работу защищенных компьютеров локальной сети через другие межсетевые экраны (или устройства с NAT);
обеспечивает туннелирование пакетов в защищенное соединение от заданных адресов незащищенных компьютеров;
осуществляет фильтрацию открытых пакетов, в том числе и туннелируемых, в соответствии с заданной политикой безопасности (функции межсетевого экрана);
осуществляет динамическую и статическую трансляцию (NAT) открытых сетевых адресов, что позволяет работать и незащищенным компьютерам локальной сети под одним внешним IP-адресом.
В ОИВ СРФ на серверы и рабочие места пользователей, которые принимают участие в работе с персональными данными, устанавливается ПО ViPNet Client. На серверах и рабочих местах пользователей, осуществляющих хранение (в том числе временное) персональных данных дополнительно рекомендуется устанавливать ПО ViPNet SafeDisk (сертификат ФСТЭК).
В государственных учреждениях центрах занятости населения (далее - ГУ ЦЗН) на серверы и рабочие места пользователей, которые принимают участие в работе с персональными данными, устанавливается ПО ViPNet Client. На серверах и рабочих местах пользователей, осуществляющих хранение (в том числе временное) персональных данных, дополнительно рекомендуется устанавливать ПО ViPNet SafeDisk (сертификат ФСТЭК). При наличии в ГУ ЦЗН локальной вычислительной сети с числом пользователей более 10 (десяти), работающих с персональными данными, дополнительно рекомендуется устанавливать сервер с ПО ViPNet Coordinator.
2. Обучение специалистов
В ОИВ СРФ рекомендуется назначить не менее 2-х сотрудников, ответственных за обеспечение информационной безопасности персональных данных, и провести их подготовку (обучение) по курсу "Администрирование системы защиты информации ViPNet" с получением соответствующих свидетельств и сертификатов. В ГУ ЦЗН рекомендуется провести подготовку (обучение) не менее одного сотрудника по курсу "Пользователь системы защиты информации ViPNet" с получением соответствующих свидетельств и сертификатов.
Ответственные сотрудники, назначенные руководителем учреждения и прошедшие обучение по курсу "Администрирование системы защиты информации ViPNet", должны произвести инструктаж пользователей ИСПДн по вопросам защиты информации и правилам обработки персональных данных.
3. Подключение к сети Интернет
В ОИВ СРФ для исключения бесконтрольного доступа к открытым информационным ресурсам сети Интернет и для подключения рабочих мест пользователей к сети Интернет рекомендуется использование технологии "ViPNet-сервер Открытого Интернета" (Координатор ОИ на рисунке 1), основанной на применении ПО ViPNet Coordinator производства ОАО "ИнфоТеКС". Технология "ViPNet-сервер Открытого Интернета" реализует возможность организации подключения части компьютеров VPN-сети (в том числе рабочих мест пользователей в ГУ ЦЗН) к сети Интернет без их физического отключения от локальной сети организации.
4. Разработка организационно-распорядительной документации
по защите конфиденциальной информации и персональных данных
В ОИВ СРФ и ГУ ЦЗН для обеспечения режима конфиденциальности информации, в том числе персональных данных населения, при обработке в автоматизированной (информационной) системе организации необходимо разработать и использовать в повседневной деятельности следующие организационно-распорядительные документы:
Положение о персональных данных;
Положение о разрешительной системе допуска пользователей к конфиденциальной информации и персональным данным;
Положение о постоянно действующей комиссии по защите конфиденциальной информации и персональных данных в ОИФ СРФ;
Перечень сведений конфиденциального характера и персональных данных;
Положение о порядке организации и проведения работ по защите конфиденциальной информации;
План мероприятий по защите конфиденциальной информации и защите персональных данных;
Акт классификации информационных систем персональных данных;
Инструкция по обеспечению информационной безопасности при подключении и использовании информационно-вычислительной сети общего пользования;
Политика информационной безопасности;
Положение о подразделении по защите информации;
Модель угроз и нарушителя безопасности персональных данных для каждой ИСПДн;
Инструкция пользователя ИСПДн;
Должностная инструкция администратора информационной безопасности;
Журнал учета обращений субъектов ПДн о выполнении их законных прав;
Техническое задание на создание системы информационной безопасности ИСПДн;
Документ об ответственности сотрудников за разглашение и несанкционированный доступ к защищаемой информации в автоматизированной информационной системе, а также за неправомерное вмешательство в процессы ее автоматизированной обработки с применением средств вычислительной техники и информационных технологий;
Инструкция по организации антивирусной защиты;
Инструкция администратора информационной безопасности;
Инструкция по организации парольной защиты;
Инструкция администратора баз данных;
Инструкция по действиям при компрометации ключей шифрования и ЭЦП;
Инструкция по действиям персонала во внештатных ситуациях при обработке конфиденциальной информации и персональных данных.
Приведенные организационно-распорядительные документы должны быть согласованы с "Постоянно действующей комиссией по вопросам защиты конфиденциальной информации и персональных данных ОИВ СРФ". Документы, разработанные в ОИВ СРФ, должны быть утверждены руководителем ОИВ СРФ документы, разработанные в ГУ ЦЗН, должны быть утверждены руководителем учреждения.
5. Размещение и эксплуатация технических средств
5.1. В ОИВ СРФ и ГУ ЦЗН следует руководствоваться следующими рекомендациями при размещении технических средств (далее - ТС):
5.1.1. Размещение, охрана и специальное оборудование помещений, в которых установлены ТС, ведется работа с носителями персональной ключевой информации, должны исключать возможность бесконтрольного проникновения в них посторонних лиц, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами, а также гарантировать сохранность находящихся в этих помещениях конфиденциальных документов.
5.1.2. Порядок охраны и организации режима помещений, в которых установлены ТС, регламентируется разделом IV "Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденной Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152.
5.1.3. Порядок организации и обеспечения функционирования шифровальных (криптографических) средств определен в "Типовых требованиях по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденных ФСБ России 21 февраля 2008 года.
5.1.4. На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения.
5.1.5. Технические средства могут подключаться к общегородской сети электроснабжения с учетом требований инструкций по эксплуатации вычислительных средств и правил техники безопасности.
5.1.6. Оборудование помещений средствами вентиляции и кондиционирования воздуха должно соответствовать санитарно-гигиеническими нормам, устанавливаемым законодательством Российской Федерации.
5.1.7. Доступ в помещение, где расположены технические средства, должен предоставляться сотрудникам учреждения, представителям разработчиков (поставщиков) ПО, лицам, обеспечивающим техническое сопровождение и ремонт технических средств в ИСПДн, для выполнения своих должностных обязанностей по списку, утвержденному руководителем учреждения.
5.2. Размещение ViPNet Администратор, ViPNet Registration Point
5.2.1. Помещения, в которых устанавливаются компоненты ViPNet Администратор, ViPNet Registration Point, относятся к защищаемым помещениям, обеспечивающим конфиденциальность проводимых работ и исключающим возможность бесконтрольного нахождения в них посторонних лиц.
5.2.2. Входные двери помещений должны быть оборудованы внутренними замками, гарантирующими надежное закрытие дверей при выходе из помещения и в нерабочее время. Окна (при необходимости) и двери должны быть оборудованы охранной сигнализацией, связанной с центральным пультом наблюдения за сигнализацией поста охраны.
5.2.3. Служебные помещения Удостоверяющего Центра и Registration Point, используемые для архивного хранения документов на бумажных, магнитных и оптических носителях, оборудуются средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха.
5.2.4. В помещение допускаются только сотрудники, имеющие непосредственное отношение к организации эксплуатации ViPNet Администратор, ViPNet Registration Point (сотрудники учреждения, представители разработчиков (поставщиков) ПО, лица, обеспечивающие техническое сопровождение и ремонт технических средств в ИСПДн, для выполнения своих должностных обязанностей по списку, утвержденному руководителем учреждения).
5.2.5. Уборка помещения, обслуживание оборудования систем жизнеобеспечения осуществляется назначенным персоналом при выключенных мониторах в присутствии администратора.
5.2.6. Должны быть приняты меры по надежному сохранению в тайне паролей доступа, ключевых дистрибутивов и другой ключевой информации, размещенной на съемных носителях. Для хранения съемных носителей помещение должно быть оборудовано сейфом.
5.2.7. По окончании рабочего дня помещения закрываются, опечатываются и сдаются под охрану. Порядок сдачи помещений определяется эксплуатирующей организацией.
5.3. Размещение ViPNet Координатор
5.3.1. ViPNet Координаторы рекомендуется устанавливать в выделенных помещениях серверных узлов.
5.3.2. Доступ в помещение серверных узлов должен быть ограничен.
5.3.3. Дополнительных специальных требований к помещениям, где установлено ПО ViPNet Координатор, не предъявляется.
5.4. Размещение ViPNet Клиент
ViPNet Клиент является персональным средством защиты пользователя ViPNet и размещается на рабочем месте сотрудника эксплуатирующей организации - пользователя ViPNet. Дополнительных специальных требований к помещениям, где установлено ПО ViPNet Клиент, не предъявляется.
------------------------------------------------------------------
--------------------
| | |
|
