Письмо Роструда от 15.03.2010 N 1251-ТЗ "О направлении рекомендаций по защите информации в органах исполнительной власти субъектов Российской Федерации, осуществляющих переданные полномочия в области содействия занятости населения, и государственных учреждениях центрах занятости населения"

В соответствии со статьей 16.1 Закона Российской Федерации от 19 апреля 1991 г. N 1032-1 "О занятости населения в Российской Федерации", Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", требованиями нормативных документов ФСТЭК и ФСБ России, а также во исполнение пункта 4 протокола всероссийского селекторного совещания Федеральной службы по труду и занятости и органов исполнительной власти субъектов Российской Федерации, осуществляющих переданные полномочия в области содействия занятости населения, от 28 января 2010 года направляем рекомендации по защите информации в органах исполнительной власти субъектов Российской Федерации, осуществляющих переданные полномочия в области содействия занятости населения, и государственных учреждениях центрах занятости населения в процессе информационного взаимодействия с автоматизированной информационной системой формирования и ведения регистров получателей государственных услуг в сфере занятости населения.

Контактные лица:

от Роструда: главный специалист-эксперт отдела ведения регистров получателей государственных услуг и статистического учета Андреев Павел Борисович, тел.: (495)698-88-76, e-mail: andreevpb@rostrud.info;

от исполнителя работ ОАО "Инфотекс" по организационным вопросам: Авраменко Юрий Вячеславович, телефон: (495)737-61-92, e-mail: soft@infotecs.ru, Роева Елена Викторовна (495)737-61-92, e-mail: roeva@infotecs.ru;

по техническим вопросам: Набойщиков Сергей Геннадьевич, телефон: (495)737-61-96, e-mail: hotline@infotecs.ru.

В соответствии с Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (операторами персональных данных).

Классификация информационных систем персональных данных (далее - ИСПДн) проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе;

присвоение информационной системе соответствующего класса и его документальное оформление.

В соответствии с пунктом 6 Порядка проведения классификации информационных систем персональных данных, утвержденного совместным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (далее - Порядок), обрабатываемые в информационной системе данные, касающиеся состояния здоровья граждан, относятся к категории 1 персональных данных. В соответствии с таблицей, приведенной в пункте 15 Порядка, типовой информационной системе, в которой обрабатываются персональные данные 1 категории, должен быть присвоен класс К1.

Однако на основании пункта 8 Порядка, информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных, должны быть отнесены к специальным информационным системам, при этом класс специальной информационной системы, в соответствии с пунктом 16 Порядка, должен определяться на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Необходимо учитывать, что в соответствии с пунктом 19 Порядка, класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных, с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

Объектами защиты в органах исполнительной власти субъектов Российской Федерации, осуществляющих переданные полномочия в области содействия занятости населения (далее - ОИВ СРФ), являются сети, системы и комплексы, задействованные в обработке конфиденциальной информации и персональных данных населения. Типовой сегмент сети в ОИВ СРФ состоит из серверов, на которых ведется обработка персональных данных, и клиентских мест операторов. На серверах рекомендуется устанавливать 32-разрядную ОС Microsoft Windows Server 2003, на клиентских местах - 32-разрядную ОС Microsoft Windows XP Professional. Использование сертифицированных версий ОС не требуется.

Структурная схема предлагаемого решения отражена на рисунке 1 (не приводится).

В ОИВ СРФ рекомендуется провести закупку, установку и ввод в эксплуатацию сертифицированного программного комплекса ViPNet Custom в составе:

ViPNet Administrator;

ViPNet Coordinator;

ViPNet Registration Point;

ViPNet Client.

Для управления конфигурацией VPN-сети регионального сегмента в ОИВ СРФ, каждого региона Российской Федерации рекомендуется ввести автоматизированное рабочее место администратора безопасности информации (АРМ АБИ) под управлением ОС Windows XP с установленным ПО ViPNet Administrator и ViPNet Client.

Программа ПО ViPNet Administrator (Ключевой центр) выполняет следующие основные задачи:

создание ключевых дисков для пользователей сети ViPNet;

создание ключевых наборов для сетевых узлов;

создание паролей;

обновление ключевых дисков и ключевых наборов.

Программа ПО ViPNet Administrator (Удостоверяющий центр) реализует следующие функции:

издание сертификатов, отзыв, приостановление и возобновление приостановленного действия сертификатов пользователей, сформированных на сетевых узлах сети ViPNet или в Центре регистрации для внешних пользователей;

отправка запроса и получение сертификата Администратора из внешнего Удостоверяющего центра, а также импорт и рассылка списков корневых (доверенных) сертификатов внешних УЦ;

создание запросов на издание кросс-сертификатов для внешних Удостоверяющих центров; обработка запросов на кросс-сертификаты и издание кросс-сертификатов по запросам Удостоверяющих центров, как ViPNet, так и внешних;

возможность проверки сертификата открытого ключа по заявлению пользователя.

На серверы в ОИВ СРФ рекомендуется устанавливать ПО ViPNet Client, позволяющее обеспечить защищенный обмен с клиентскими местами операторов и выполняющее функции персонального сетевого экрана, и ПО ViPNet SafeDisk, реализующее защищенное хранение персональных данных.

На клиентские места операторов в ОИВ СРФ также рекомендуется установить ПО ViPNet Client и ПО ViPNet SafeDisk.

ПО ViPNet Client (Монитор) выполняет функции:

персонального сетевого экрана (ПСЭ),

шифратора сетевого трафика компьютера,

предоставляет дополнительные сервисные функции для оперативного защищенного обмена циркулярными сообщениями, проведения конференций, файлового обмена и др.

Программа ViPNet Client (Деловая почта) предназначена для организации защищенной передачи электронных документов по открытым каналам связи по всему маршруту следования документа от отправителя к получателю в сети ViPNet. В почтовый защищенный сервис входят следующие услуги, предоставляемые программой:

отправка и получение писем с прикрепленными к ним вложениями;

отправка файлов (в виде вложений) адресатам ViPNet;

получение подтверждений (квитанций) о доставке и использовании документов;

шифрование писем и вложений к ним;

электронная подпись писем и вложений к ним;

электронная подпись (и проверка подписи) отдельных файлов (не вложений);

предоставление информации о документе: дате и времени создания и получения документа, размере документа (в килобайтах), информации о получателях и отправителях;

ведение регистрационной нумерации документов;

экспорт и импорт писем.

В ОИВ СРФ необходимо предусмотреть станцию с установленным ПО ViPNet Registration Point. Программа Registration Point предоставляет следующие основные возможности:

создание запросов на регистрацию пользователей, в том числе и возможность извлечения информации о пользователях из различных существующих источников данных. В источниках данных можно указать серверы с регистрационными данными пользователей ViPNet;

возможность изменения регистрационных данных зарегистрированного пользователя (пользователей);

создание запросов на сертификат;

создание запросов на дистрибутив ключей (в процессе создания запроса на дистрибутив ключей данного пользователя можно зарегистрировать в различных прикладных задачах ViPNet);

создание запросов на обновление ключей пользователей;

удаление пользователей;

создание запросов на приостановление действия сертификата;

создание запросов на возобновление действия приостановленного ранее сертификата;

создание запросов на отзыв сертификата, работа с ключевым контейнером, обработка дистрибутивов ключей, экспорт сертификатов, создание шаблонов и имен пользователей.

В качестве межсетевого экрана, для разделения подсетей открытого и закрытого сегментов, для обеспечения безопасности передачи данных в рамках VPN-сети, а также в качестве сервера защищенной почты рекомендуется использование ПО ViPNet Coordinator производства ОАО "ИнфоТеКС".

ПО ViPNet Coordinator выполняет следующие функции:

маршрутизация почтовых конвертов и управляющих сообщений при взаимодействии;

регистрация и предоставление информации о текущих IP-адресах и способах подключения объектов корпоративной сети;

обеспечивает работу защищенных компьютеров локальной сети (сегмента сети) в VPN от имени одного адреса;

обеспечивает работу защищенных компьютеров локальной сети через другие межсетевые экраны (или устройства с NAT);

обеспечивает туннелирование пакетов в защищенное соединение от заданных адресов незащищенных компьютеров;

осуществляет фильтрацию открытых пакетов, в том числе и туннелируемых, в соответствии с заданной политикой безопасности (функции межсетевого экрана);

осуществляет динамическую и статическую трансляцию (NAT) открытых сетевых адресов, что позволяет работать и незащищенным компьютерам локальной сети под одним внешним IP-адресом.

В ОИВ СРФ на серверы и рабочие места пользователей, которые принимают участие в работе с персональными данными, устанавливается ПО ViPNet Client. На серверах и рабочих местах пользователей, осуществляющих хранение (в том числе временное) персональных данных дополнительно рекомендуется устанавливать ПО ViPNet SafeDisk (сертификат ФСТЭК).

В государственных учреждениях центрах занятости населения (далее - ГУ ЦЗН) на серверы и рабочие места пользователей, которые принимают участие в работе с персональными данными, устанавливается ПО ViPNet Client. На серверах и рабочих местах пользователей, осуществляющих хранение (в том числе временное) персональных данных, дополнительно рекомендуется устанавливать ПО ViPNet SafeDisk (сертификат ФСТЭК). При наличии в ГУ ЦЗН локальной вычислительной сети с числом пользователей более 10 (десяти), работающих с персональными данными, дополнительно рекомендуется устанавливать сервер с ПО ViPNet Coordinator.

В ОИВ СРФ рекомендуется назначить не менее 2-х сотрудников, ответственных за обеспечение информационной безопасности персональных данных, и провести их подготовку (обучение) по курсу "Администрирование системы защиты информации ViPNet" с получением соответствующих свидетельств и сертификатов. В ГУ ЦЗН рекомендуется провести подготовку (обучение) не менее одного сотрудника по курсу "Пользователь системы защиты информации ViPNet" с получением соответствующих свидетельств и сертификатов.

Ответственные сотрудники, назначенные руководителем учреждения и прошедшие обучение по курсу "Администрирование системы защиты информации ViPNet", должны произвести инструктаж пользователей ИСПДн по вопросам защиты информации и правилам обработки персональных данных.

В ОИВ СРФ для исключения бесконтрольного доступа к открытым информационным ресурсам сети Интернет и для подключения рабочих мест пользователей к сети Интернет рекомендуется использование технологии "ViPNet-сервер Открытого Интернета" (Координатор ОИ на рисунке 1), основанной на применении ПО ViPNet Coordinator производства ОАО "ИнфоТеКС". Технология "ViPNet-сервер Открытого Интернета" реализует возможность организации подключения части компьютеров VPN-сети (в том числе рабочих мест пользователей в ГУ ЦЗН) к сети Интернет без их физического отключения от локальной сети организации.

В ОИВ СРФ и ГУ ЦЗН для обеспечения режима конфиденциальности информации, в том числе персональных данных населения, при обработке в автоматизированной (информационной) системе организации необходимо разработать и использовать в повседневной деятельности следующие организационно-распорядительные документы:

Положение о персональных данных;

Положение о разрешительной системе допуска пользователей к конфиденциальной информации и персональным данным;

Положение о постоянно действующей комиссии по защите конфиденциальной информации и персональных данных в ОИФ СРФ;

Перечень сведений конфиденциального характера и персональных данных;

Положение о порядке организации и проведения работ по защите конфиденциальной информации;

План мероприятий по защите конфиденциальной информации и защите персональных данных;

Акт классификации информационных систем персональных данных;

Инструкция по обеспечению информационной безопасности при подключении и использовании информационно-вычислительной сети общего пользования;

Политика информационной безопасности;

Положение о подразделении по защите информации;

Модель угроз и нарушителя безопасности персональных данных для каждой ИСПДн;

Инструкция пользователя ИСПДн;

Должностная инструкция администратора информационной безопасности;

Журнал учета обращений субъектов ПДн о выполнении их законных прав;

Техническое задание на создание системы информационной безопасности ИСПДн;

Документ об ответственности сотрудников за разглашение и несанкционированный доступ к защищаемой информации в автоматизированной информационной системе, а также за неправомерное вмешательство в процессы ее автоматизированной обработки с применением средств вычислительной техники и информационных технологий;

Инструкция по организации антивирусной защиты;

Инструкция администратора информационной безопасности;

Инструкция по организации парольной защиты;

Инструкция администратора баз данных;

Инструкция по действиям при компрометации ключей шифрования и ЭЦП;

Инструкция по действиям персонала во внештатных ситуациях при обработке конфиденциальной информации и персональных данных.

Приведенные организационно-распорядительные документы должны быть согласованы с "Постоянно действующей комиссией по вопросам защиты конфиденциальной информации и персональных данных ОИВ СРФ". Документы, разработанные в ОИВ СРФ, должны быть утверждены руководителем ОИВ СРФ документы, разработанные в ГУ ЦЗН, должны быть утверждены руководителем учреждения.

5.1. В ОИВ СРФ и ГУ ЦЗН следует руководствоваться следующими рекомендациями при размещении технических средств (далее - ТС):

5.1.1. Размещение, охрана и специальное оборудование помещений, в которых установлены ТС, ведется работа с носителями персональной ключевой информации, должны исключать возможность бесконтрольного проникновения в них посторонних лиц, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами, а также гарантировать сохранность находящихся в этих помещениях конфиденциальных документов.

5.1.2. Порядок охраны и организации режима помещений, в которых установлены ТС, регламентируется разделом IV "Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну", утвержденной Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. N 152.

5.1.3. Порядок организации и обеспечения функционирования шифровальных (криптографических) средств определен в "Типовых требованиях по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденных ФСБ России 21 февраля 2008 года.

5.1.4. На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения.

5.1.5. Технические средства могут подключаться к общегородской сети электроснабжения с учетом требований инструкций по эксплуатации вычислительных средств и правил техники безопасности.

5.1.6. Оборудование помещений средствами вентиляции и кондиционирования воздуха должно соответствовать санитарно-гигиеническими нормам, устанавливаемым законодательством Российской Федерации.

5.1.7. Доступ в помещение, где расположены технические средства, должен предоставляться сотрудникам учреждения, представителям разработчиков (поставщиков) ПО, лицам, обеспечивающим техническое сопровождение и ремонт технических средств в ИСПДн, для выполнения своих должностных обязанностей по списку, утвержденному руководителем учреждения.

5.2. Размещение ViPNet Администратор, ViPNet Registration Point

5.2.1. Помещения, в которых устанавливаются компоненты ViPNet Администратор, ViPNet Registration Point, относятся к защищаемым помещениям, обеспечивающим конфиденциальность проводимых работ и исключающим возможность бесконтрольного нахождения в них посторонних лиц.

5.2.2. Входные двери помещений должны быть оборудованы внутренними замками, гарантирующими надежное закрытие дверей при выходе из помещения и в нерабочее время. Окна (при необходимости) и двери должны быть оборудованы охранной сигнализацией, связанной с центральным пультом наблюдения за сигнализацией поста охраны.

5.2.3. Служебные помещения Удостоверяющего Центра и Registration Point, используемые для архивного хранения документов на бумажных, магнитных и оптических носителях, оборудуются средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха.

5.2.4. В помещение допускаются только сотрудники, имеющие непосредственное отношение к организации эксплуатации ViPNet Администратор, ViPNet Registration Point (сотрудники учреждения, представители разработчиков (поставщиков) ПО, лица, обеспечивающие техническое сопровождение и ремонт технических средств в ИСПДн, для выполнения своих должностных обязанностей по списку, утвержденному руководителем учреждения).

5.2.5. Уборка помещения, обслуживание оборудования систем жизнеобеспечения осуществляется назначенным персоналом при выключенных мониторах в присутствии администратора.

5.2.6. Должны быть приняты меры по надежному сохранению в тайне паролей доступа, ключевых дистрибутивов и другой ключевой информации, размещенной на съемных носителях. Для хранения съемных носителей помещение должно быть оборудовано сейфом.

5.2.7. По окончании рабочего дня помещения закрываются, опечатываются и сдаются под охрану. Порядок сдачи помещений определяется эксплуатирующей организацией.

5.3. Размещение ViPNet Координатор

5.3.1. ViPNet Координаторы рекомендуется устанавливать в выделенных помещениях серверных узлов.

5.3.2. Доступ в помещение серверных узлов должен быть ограничен.

5.3.3. Дополнительных специальных требований к помещениям, где установлено ПО ViPNet Координатор, не предъявляется.

5.4. Размещение ViPNet Клиент

ViPNet Клиент является персональным средством защиты пользователя ViPNet и размещается на рабочем месте сотрудника эксплуатирующей организации - пользователя ViPNet. Дополнительных специальных требований к помещениям, где установлено ПО ViPNet Клиент, не предъявляется.