Использование информационных систем персональных данных

Статья на тему: "Использование информационных систем персональных данных" с полным описанием тематики и ответами на интересующие вопросы. За консультацией можно обратиться к дежурному консультанту.

Раздел VI. Порядок обработки персональных данных субъектов персональных данных в информационных системах

Раздел VI. Порядок обработки персональных данных субъектов персональных данных в информационных системах

44. Обработка персональных данных в Департаменте осуществляется в следующих информационных системах:

1) ИСПДН учета труда и заработной платы (АРМ-2);

2) 1С предприятие — бухгалтерия государственного учреждения;

4) SAUMI — учет имущественных и земельных отношений.

45. Информационные системы персональных данных учета труда и заработной платы (АРМ-2) и 1С предприятие содержат персональные данные государственных служащих и работников Департамента, работающих на основании служебного контракта (трудового договора), заключаемых Департаментом, и включают:

1) фамилия, имя, отчество;

2) число, месяц, год рождения;

3) место рождения;

5) вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;

6) адрес места жительства (адрес регистрации, фактического проживания);

7) номер контактного телефона или сведения о других способах связи;

8) данные страхового свидетельства государственного пенсионного страхования;

9) идентификационный номер налогоплательщика;

10) данные свидетельства государственной регистрации актов гражданского состояния;

11) семейное положение, состав семьи и сведения о близких родственниках;

12) табельный номер;

14) номера лицевого счета, текущего счета, банковской карты;

15) номер приказа и дату приема на работу (увольнения).

46. Гражданским служащим, имеющим право осуществлять обработку персональных данных в информационных системах Департамента, предоставляется криптографические средства для доступа к соответствующей информационной системе Департамента. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами гражданских служащих и должностными инструкциями работников.

Информация вносится в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

47. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Департамента, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

48. Структурное подразделение Департамента, ответственное за обеспечение информационной безопасности в Департаменте, организует и контролирует ведение учета материальных носителей персональных данных.

49. Структурное подразделение Департамента, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных Департамента, обеспечивает:

1) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Департаменте и директора Департамента;

2) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

3) возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4) постоянный контроль за обеспечением уровня защищенности персональных данных;

5) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

7) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

8) разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

50. Структурное подразделение Департамента, ответственное за обеспечение функционирования информационных систем персональных данных в Департаменте, принимает все необходимые меры по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

51. Доступ гражданских служащих Департамента к персональным данным, находящимся в информационных системах персональных данных Департамента, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

52. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Департамента уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

>
Сроки обработки и хранения персональных данных
Содержание
Постановление Департамента имущественных и земельных отношений Курганской области от 29 апреля 2016 г. N 17 «О реализации.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.


Источник: http://base.garant.ru/18383870/fd60475f90ada2748768d9adac61aafb/

Приложение N 1. Положение об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации

Приложение N 1
к приказу ______________
(название МО)
от _________ N ________

ГАРАНТ:

По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

ГАРАНТ:

По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

Читайте так же:  Нужно ли платить штраф за потерю паспорта
>
N 2. Типовая форма журнала учета установленных средств защиты информации
Содержание
Приказ Министерства здравоохранения Свердловской области от 20 октября 2015 г. N 1622-п «Об организационных мерах защиты.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/20972130/2303325ae84a54ba223840316a0fb8f7/

Техническая защита персональных данных

Технические меры защиты информации предполагают использование программно — аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

Технические средства защиты информации делятся на два основных класса:

· средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);

· средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

· для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;

· требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);

· на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);

· далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);

· аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.

В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных» нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.

Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:

· временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;

· поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;

· выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.

Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.

Тема 1.6. Технология электронного документооборота.

Первые системы электронного документооборота(СЭД) состояли из трех час­тей: системы управления документами, системы массового ввода бумажных документов, системы автоматизации деловых процессов.

Система управления документами обеспечивает интеграцию с приложениями, хранение данных на разных устройствах, распределенную обработку данных, поиск, ин­дексацию электронных документов, коллективную работу с электронными документами.

Разнообразие электронных документов на предприятии порождают используемые приложения: общего назначения (word, excel, access и др.) и предметные (бухгалтерский учет, расчеты с поставщиками, финансовый анализ и др.).Интеграция с ними осуществ­ляется на уровне операций с файлами, то есть операции приложения — открытие, закры­тие, создание, сохранение и другие — замещаются соответствующими операциями систе­мы управления документами. Интеграция выполняется автоматически. Ее достоинство в том, что сохраняются принятые в организации виды документов.

Следующей задачей является обеспечение хранения электронных документов на разных носителях(серверах, оптических дисках, библиотеках-автоматах и т.д.). К тому же надо обеспечить быстрый поиск и доступ к различным устройствам хранения инфор­мации, чтобы факторы доступности и стоимости хранения всегда были в оптимальном со­отношении в зависимости от важности и актуальности информации. Для этого использу­ют технологии информационных хранилищ HSM и Data Migration — автоматической миграции документов.

Для обеспечения распределенной обработки данныхв режиме реального времени (on-line) можно по сети посредством запросов, объединенных в транзакции, получить данные из информационного хранилища. Можно посредством Web-сервера предприятия подсоединиться к интернет и тем самым получить доступ к удаленным данным. Можно в почтовом режиме (off-line) по электронной почте послать запрос в информационное хра­нилище, задав критерии выбора данных. По этим критериям будет сформирован список документов и переправлен пользователю. Этим способом коммерческая служба может оказывать информационные услуги.

К традиционным функциям систем электронного документооборота относятся:

• библиотечные службы (хранение содержимого и атрибутов документов, регист­рация изменений, обеспечение поиска, средства безопасности);

• управление деловыми процессами (разработка маршрутов движения документов, автоматизация выполнения бизнес-процессов, контроль исполнения документов);

• работа с составными документами (определение структуры, формирование со­держания, опубликование);

• интеграция с внешними приложениями (офисными и предметными приложения­ми, электронной почтой).

К ним добавляются функции управления знаниями:

• автоматизация жизненного цикла документов;

• поддержка принятия решений.

Жизненный циклпредставляет собой описание стадий использования документа в ходе делового процесса (история жизни документа) в целях управления этим процессом. Примерами стадий существования документа являются: создание документа, согласова­ние, использование, редактирование, уничтожение, хранение в архиве и др. Для каждой стадии жизненного цикла указываются бизнес-процессы и критерии перехода документа из одной стадии в другую.

Читайте так же:  Моральный вред возмещается в случаях

Заметим, что жизненный цикл документа и маршрут движения (workflow) — прин­ципиально разные, хотя и тесно связанные между собой понятия. Маршрут движения показывает кто, что, в каком порядке делает в процессе движения документа. Например, на стадии жизненного цикла — согласование документа — могут применяться разные мар­шруты движения. В то же время в ходе исполнения единственного маршрута документ может пройти несколько стадий своего жизненного цикла

Технологии интеллектуального анализа данных обеспечивают:

• извлечение и накопление информации из внешних источников (файл-серверов,

серверов баз данных, почтовых систем, Web-серверов, принадлежащих различным ин­

формационным службам университетов, правительственных органов и даже конкурентов, доступным по интернету);

• анализ собранной информации с целью определения ее надежности и соответст­вия бизнесу на основании собственных внутренних баз данных;

• формирование и предоставление интеллектуального капитала (аналитических
данных) сотрудникам предприятия в нужное время в требуемом формате и в соответствии с их ролями и задачами в контексте бизнеса для принятия решений.

Модуль поддержки принятия решений состоит из графического редактора, систе­мы обеспечения жизненного цикла документов, инструментов извлечения аналитических данных, средств визуального программирования и др.

Для реализации большинства перечисленных функций разработаны специальные серверы, например, EDMS-сервер (Electronic Document Management System).

Использование технологий электронного документооборота и деловых интеллек­туальных технологий выбора данных позволили создать приложения по следующим на­правлениям:

• маркетинг и сбыт продукции;

• управление финансовыми рисками;

• управление проектами и командами разработчиков и др.

Во всех перечисленных направлениях работ требуется сбор и анализ «внешней» информации, чтобы определить спрос, конкурентов, поставщиков, ресурсы, заказчиков, состояние исследований и новых разработок у конкурентов и т.д. Этим занимаются спе­циальные службы организации.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: На стипендию можно купить что-нибудь, но не больше. 9226 —

| 7342 — или читать все.

185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Источник: http://studopedia.ru/7_160258_tehnicheskaya-zashchita-personalnih-dannih.html

Открываем занавес неизвестного – что это такое информационные системы персональных данных и как с ними работать?

Информационными системами персональных данных (ИСПДн) в своей деятельности пользуются многие компании и организации, как государственные, так и муниципальные.

Что такое государственные и частные ИСПДн, особенности частных и государственных ИСПДн, узнаем определения и рассмотрим особенности данных систем, а также основные процессы работы с ними.
Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Что это такое государственные и частные ИСПДн?

Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:

  1. Совокупности сведений, которые хранятся в базе.
  2. Технических средств, применяющихся для работы с данными сведениями.
  3. Средств автоматизации работ, связанных с учетом и обработкой информации, находящейся в ИСПДн (автоматизирующие средства применяются не во всех системах).

К персональной относится информация, касающаяся конкретного лица или субъекта. В это понятие входят такие сведения:
  • Фамилия, имя, отчество.
  • Дата рождения.
  • Адрес прописки и фактического проживания.
  • Материальное, семейное и социальное положение.
  • Размеры доходов.
  • Профессия.
  • Иные данные.

Особенности частных

Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:

  • зарплате сотрудников;
  • пенсионных, страховых налоговых отчислений;
  • социальных пособиях;
  • добровольных взносах (к примеру, негосударственное страхование пенсионеров);
  • принудительных платежах (например, алиментах).
Видео удалено.
Видео (кликните для воспроизведения).

В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:

  1. автоматизированные банковские системы;
  2. биллинговые системы или абонентские базы;
  3. базы страховых компаний;
  4. системы, хранящие данные коллекторских агентств;
  5. бюро кредитных историй с информацией о гражданах;
  6. амбулаторные электронные карты в медицинских организациях и пр.

Все перечисленные системы обслуживают бизнес-процессы.

Государственные

Российское законодательство в области ПДн основано на Конституции РФ и международных договорах России и состоит из действующего ФЗ-152 «О персональных данных» и прочих законов, определяющих случаи и тонкости обработки персональной информации.

Согласно федеральным законам, государственные органы имеют полномочия на принятие нормативных актов по определенным вопросам относительно обработки ПДн.Данные акты не могут нести в себе положения, которые ограничивают права субъектов личных данных. Указанные проекты официально публикуются. Исключение составляют акты или конкретные их положения, содержащие информацию, доступ к которой ограничивается законом.

Обработка ПДн

Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.

Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.

Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.

Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.

Аттестация

Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.

Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

Читайте так же:  Как получить лицензию и разрешение на оружие

Матрица доступа

Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.

Доступы бывают следующие:

  • К чтению.
  • Для записи.
  • На исполнение и другие.

Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.

Действия регламентируются и фиксируются в матрице:
  1. R – чтение.
  2. CR – создание объекта.
  3. W – запись внутри объекта.
  4. D – избавление от объекта.
  5. Знак «+» определяет доступность для конкретного субъекта.
  6. Знак «-» определяет недоступность для субъекта.

На примере предприятия объектами будут:

  • Технические средства, обрабатывающие, принимающие и передающие информацию.
  • Коммерческая тайна.
  • Личные данные клиентов.
  • ПДн работников.
  • Документация.
  • Личные дела сотрудников.
  • Электронные БД персонала и клиентуры.
  • Бумажные и электронные приказы, договора, планы, отчеты, являющиеся коммерческой тайной.
  • Средства защиты данных: антивирусы, сигнализационная система и др.
  • Личные данные бывших сотрудников и клиентов.

В роли субъектов доступа к данным выступают:

Инструкция пользователя

Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:
  1. Обязанности пользователя ИСПДн.
  2. Запрещенные для пользователя ИСПДн действия.
  3. Права оператора ИСПДн.
  4. Ответственность пользователя.
  5. Правила работы в информационно-телекоммуникационных сетях международного обмена информацией.
  6. Перечень документации, использованной при разработке инструкции.
  • Скачать бланк инструкции пользователя информационных систем персональных данных
  • Скачать образец инструкции пользователя информационных систем персональных данных

Как происходит обработка личных сведений?

Процесс обработки ПДн в системе должен соответствовать следующим принципам:

  1. Обработка данных выполняется только на законных основаниях.
  2. Процедура ограничивается достижением заблаговременно утвержденных конкретных целей, не противоречащих закону.
  3. Недопустимо объединение нескольких БД, содержащих информацию, чья обработка осуществляется в несовместимых между собой целях.
  4. Обрабатываются только те ПДн, которые соответствуют целям обработки.
  5. Обеспечение точности информации, ее достаточности и актуальности для конкретных целей.

Необходимость обеспечения безопасности ИСПДн актуальна. Конфиденциальность личной информации является обязательным требованием для лиц, имеющих доступ к персональным данным. Важно не допускать их распространения, если субъект ПДн не дал на это своего согласия или если отсутствуют на то законные основания.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (800) 350-22-67 Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/informatsionnaya-sistema.html

Государственные информационные системы (ГИСы): практические вопросы защиты информации

Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем обрабатывает персональные данные.

Защита ГИС — не равно защите персональных данных

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Защитить информацию в ГИС и провести аттестацию помогут специалисты
Контур-Безопасность.

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Читайте так же:  Вгму перевод из другого вуза

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

Источник: http://kontur.ru/articles/1609

Портал службы поддержки

Результаты поиска

Безопасность данных и соглашения

Что такое ИСПДн? Какие классы защищенности ИСПДн существуют?

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Для соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности необходимо:

Объем / Категория

Объем 3
( 100 000,
субъект Федерации)

Источник: http://help.dnevnik.ru/hc/ru/articles/203475238-%D0%A7%D1%82%D0%BE-%D1%82%D0%B0%D0%BA%D0%BE%D0%B5-%D0%98%D0%A1%D0%9F%D0%94%D0%BD-%D0%9A%D0%B0%D0%BA%D0%B8%D0%B5-%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D1%8B-%D0%B7%D0%B0%D1%89%D0%B8%D1%89%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%98%D0%A1%D0%9F%D0%94%D0%BD-%D1%81%D1%83%D1%89%D0%B5%D1%81%D1%82%D0%B2%D1%83%D1%8E%D1%82-?mobile_site=true

Понятие информационной системы персональных данных. Классификация информационных систем персональных данных

В соответствии с Федеральным законом «О персональных данных» под информационной системой персональных данных понимается информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных. В настоящем документе рассматриваются только ИСПДн, в которых обработка данных осуществляется с использованием средств автоматизации.

Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн
с целью установления методов и средств защиты, необходимых для обеспечения безопасности ПДн. Состав и функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения ПДн или от иных неправомерных действий с ними. В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:

нанесения вреда здоровью субъекта ПДн;

незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;

нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.

Классификация ИСПДн проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и(или) осуществляющими обработку ПДн, а также определяющими цели и содержание обработки ПДн (операторами ИСПДн) в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и средств защиты информации, необходимых для обеспечения безопасности персональных данных.

Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе;

присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы учитываются следующие исходные данные:

категория обрабатываемых в информационной системе персональных данных – ХПД;

объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – ХНПД;

заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

режим обработки персональных данных;

режим разграничения прав доступа пользователей информационной системы;

Читайте так же:  Заявление в суд по общему

местонахождение технических средств информационной системы.

Определяются следующие категории обрабатываемых в информационной системе персональных данных (ХПД):

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 – обезличенные и (или) общедоступные персональные данные.

В зависимости от объема обрабатываемых в ИСПДн персональных данных ХНПД может принимать следующие значения:

1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.

По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы – информационные системы,
в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

По структуре информационные системы подразделяются:

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения к сетям международного информационного обмена, и системы, не имеющие таких подключений.

По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

По результатам анализа исходных данных информационной системе присваивается один из следующих классов:

класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;

класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;

класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;

класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Класс информационной системы определяется в соответствии с таблицей.

ХНПД ХПД
категория 4 К4 К4 К4
категория 3 К3 К3 К2
категория 2 К3 К2 К1
категория 1 К1 К1 К1

Применительно к специальным информационным системам после определения класса системы оператором должна быть разработана модель угроз безопасности персональных данных с использованием методических документов, разрабатываемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»[1],
и проведена оценка актуальности угроз. По результатам оценки требования
по защите ИСПДн от различных угроз могут быть скорректированы
по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.

В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Результаты классификации информационных систем оформляются соответствующим актом оператора.

Класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований
к обеспечению безопасности персональных данных при их обработке
в информационной системе.

В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите информации в автоматизированных системах, учитывая при этом, что ПДн, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 «О персональных данных», отнесены к информации ограниченного доступа.

В связи с тем, что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным, так называемым «офисным», информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации в автоматизированных системах.

Не нашли то, что искали? Воспользуйтесь поиском:

Видео удалено.
Видео (кликните для воспроизведения).

Источник: http://studopedia.ru/17_59488_ponyatie-informatsionnoy-sistemi-personalnih-dannih-klassifikatsiya-informatsionnih-sistem-personalnih-dannih.html

Использование информационных систем персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here