Дайте определение понятию «контролируемая зона». Что может быть признано за границу КЗ? Чем отличается защищаемое помещение от выделенного помещения? Об обработке персональных данных в лпу Требования предъявляемые к установлению границ контролируемой зоны
Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных, технических и иных материальных средств.
Границей КЗ могут являться:
Периметр охраняемой территории учреждения (предприятия);
Ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.
Таким образом, КЗ может ограничиваться периметром охраняемой территории частично, охраняемой территорией, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия, частью зданий, комнатой, кабинетом, в которых проводятся закрытые мероприятия.
В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры исключающие или существенно затрудняющие возможность ведения перехвата в этой зоне.
Постоянная контролируемая зона - это зона, границы которой устанавливаются на длительный срок.
Временная контролируемая зона - это зона, устанавливаемая для проведения закрытых мероприятий разового характера.
Выделенные помещения – помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для обработки речевой информации (обсуждения, совещания, и т.д.), содержащей сведения, составляющие государственную тайну.
Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий, в ходе которых обрабатывается речевая информация, содержащая сведения конфиденциального характера.
4. Сколько и какие классы защищенности установлены для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, отчего они зависят. Каким документом регламентированы требования к обеспечению ЗИ в данных АИС.
Формирование требований к ЗИ в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583), ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и стандартов организации и в том числе включает: принятие решения о необходимости ЗИ в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям ЗИ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления.
Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс – третий, самый высокий – первый.
Порядок определения класса защищенности АСУ
1. Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ).
2. Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления.
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)],
где степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:
а) высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
б) средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
в) низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности.
В случае, если для информации, обрабатываемой в автоматизированной системе управления, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости (критичности) определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, не применяется)].
Информация, обрабатываемая в автоматизированной системе управления, имеет высокий уровень значимости (критичности) (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба.
Информация, обрабатываемая в автоматизированной системе управления, имеет средний уровень значимости (критичности) (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
Информация, обрабатываемая в автоматизированной системе управления, имеет низкий уровень значимости (критичности) (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.
При обработке в автоматизированной системе управления двух и более видов информации (измерительная информация, информация о состоянии процесса) уровень значимости (критичности) информации (УЗ) определяется отдельно для каждого вида информации.
Итоговый уровень значимости (критичности) устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации. в соответствии с постановлением Правительства РФ от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства РФ, 2007, № 22, ст. 2640; 2011, № 21, ст. 2971).
3. Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:
Уровень значимости (критичности)
информации Класс защищенности автоматизированной системы управления
Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации. Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.
Класс защищенности автоматизированной системы управления (сегмента) подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости (критичности) информации, обрабатываемой в автоматизированной системе управления (сегменте).
Требования к обеспечению ЗИ в данных автоматизированных системах управления регламентируются приказом ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению ЗИ в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Министерства здравоохранения
Свердловской области
от 20 октября 2015 г. N 1622-п Образец НАИМЕНОВАНИЕ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ _________________________________________________________________________ от _____________ N _____________ ПРИКАЗ Об определении границ контролируемой зоны В целях исключения неконтролируемого пребывания посторонних лиц при обработке персональных данных и в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", "Специальными требованиями и рекомендациями по технической защите конфиденциальной информации", утвержденными приказом Гостехкомиссии России от 30.08.2002 за N 282, приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", рекомендациями ФСБ России "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации " (утв. ФСБ РФ 21.02.2008 N 149/54-144) приказываю: 1. Границами контролируемой зоны ___________________________________ (название МО) считать периметр ограждающих конструкций главного лечебного корпуса по адресу _________________________________________________________________. 2. Утвердить порядок доступа работников ____________________________ (название МО) в помещения, в которых ведется обработка персональных данных. 3. Контроль за актуализацией и выполнением настоящего приказа возложить на ___________________________________________________________. (должность, Ф.И.О. сотрудника) Главный врач ______________ (Ф.И.О.)
Порядок доступа работников (название МО) в помещения, в которых ведется обработка персональных данных (утв. приказом _____________________ от ______ N ____) (название МО) 1. Настоящий Порядок доступа работников _________________ (название МО) в помещения, в которых ведется обработка персональных данных (далее - Порядок) разработан в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных". 2. Персональные данные относятся к конфиденциальной информации. Должностные лица, уполномоченные на обработку персональных данных, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 3. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях, исключая возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. 4. При хранении носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. 5. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только должностные лица, уполномоченные на обработку персональных данных приказом ___________________ (название МО). 6. Ответственными за организацию доступа в помещения, в которых ведется обработка персональных данных, являются руководители структурных подразделений ____________________________________________ (название МО). 7. Нахождение лиц, в помещениях (название МО), предназначенных для обработки персональных данных, не являющихся уполномоченными на обработку персональных данных, возможно только в сопровождении сотрудника, уполномоченного на обработку персональных данных на время, обусловленное производственной необходимостью. 8. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется ответственным за организацию обработки персональных данных и ответственным за безопасность персональных данных.
|
<< Приложение. |
Приказ Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры
№
169 от
28.05.2015
Вложения:
Скачать документ (формат.pdf) (0.09 MB)
Скачать документ (формат.doc) (1.39 MB)
Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники»
г. Ханты-Мансийск
Во исполнение требований Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановления Правительства Российской федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказа ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
ПРИКАЗЫВАЮ:
1. Установить границы контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию и средства защиты информации, а также средства обеспечения функционирования информационной системы персональных данных «Сотрудники» по внешним ограждающим конструкциям помещений № 303, № 307, 312 согласно приложению 1 к настоящему приказу.
2. Нахождение сотрудников Департамента общественных и внешних связей Ханты-Мансийского автономного округа – Югры и посетителей в пределах контролируемой зоны, установленной данным приказом, определяется «Инструкцией по обеспечению безопасности бюджетного учреждения ХМАО-Югры «Дирекция по эксплуатации служебных зданий».
3. Контроль за исполнением «Инструкции по обеспечению безопасности бюджетного учреждения ХМАО-Югры «Дирекция по эксплуатации служебных зданий» возлагается на ответственного за обеспечение мер по защите сведений, обрабатываемых в информационной системе персональных данных «Сотрудники» (администратора информационной безопасности) инженера организационного отдела Административного управления Шевцова Юрия Владимировича.
4. Организационному отделу Административного управления ознакомить под роспись заинтересованных сотрудников Департамента общественных и внешних связей Ханты-Мансийского автономного округа-Югры согласно приложению 2 к настоящему приказу.
5. Контроль исполнения настоящего приказа оставляю за собой.
|
Директор Департамента И.А. Верховский
Приложение № 1
и внешних связей Югры
Границы контролируемой зоны информационной системы персональных данных «Сотрудники»
Рисунок 1 – Граница контролируемой зоны, кабинет № 312
Рисунок 2 – Граница контролируемой зоны, кабинет № 303
Рисунок 3 – Граница контролируемой зоны, кабинет № 307
Приложение № 2
к приказу Департамента общественных
и внешних связей Югры
ознакомления сотрудников
с приказом «Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники»
С приказом «Об установлении границ контролируемой зоны информационной системы персональных данных «Сотрудники» от «___»________ 2015г. № __________ ознакомлены следующие сотрудники:
Начальник Административного управления ____________ Петрова Е.В. ________
(подпись) (дата) Начальник отдела
Административного управления ____________ Захарова Т.А.____________
(подпись) (дата)
финансово-экономического обеспечения
Административного управления ____________ Тихонова С.А.___________
(подпись) (дата)
Консультант отдела
финансово-экономического обеспечения
Административного управления ____________ Гейзлер И.В.___________
(подпись) (дата)
Главный специалист отдела
финансово-экономического обеспечения
Административного управления ____________ Шишелякина Г.Н._______
(подпись) (дата)
Консультант отдела
правовой и кадровой работы
Административного управления ____________ Кольцова Е.Г.___________
(подпись) (дата)
Главный специалист-эксперт отдела
правовой и кадровой работы
Административного управления ____________ Пластинина Ю.С.________ (подпись) (дата)
Главный специалист-эксперт отдела
правовой и кадровой работы
Административного управления ____________ Киреева И.А.____________ (подпись) (дата)
организационного отдела
Административного управления ____________ Шевцов Ю.В.____________
(подпись) (дата)
Подготовлен:
Начальник организационного отдела
Административного управления И.В. Соколова
Согласовано:
Заместитель директора Департамента О.И. Бурычкин
Зам. начальника
Административного Управления
