Обеспечение безопасности информационных систем персональных данных

Статья на тему: "Обеспечение безопасности информационных систем персональных данных" с полным описанием тематики и ответами на интересующие вопросы. За консультацией можно обратиться к дежурному консультанту.

Содержание

  • Порядок организации защиты персональных данных. Организационно-распорядительная документация

    5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

    Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. (Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 настоящее постановление признано утратившим силу.)

    При защите персональных данных должно быть обеспечено:

    1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующих прав;
    2. своевременное обнаружение фактов НСД к ПД;
    3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;
    4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.
    5. постоянный контроль уровня защищенности персональных данных[18].

    Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

    1. оценка обстановки;
    2. обоснование требований безопасности ПД и постановка задач защиты;
    3. разработка замысла обеспечения безопасности;
    4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;
    5. решения вопросов управления защитой;
    6. реализация замысла защиты;
    7. планирование мероприятий по защите;
    8. создание СЗПД;
    9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.

    Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.

    КОНСУЛЬТАЦИЯ ЮРИСТА


    УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

    8 800 350 84 37

    5.2. Оценка обстановки и формирование замысла защиты персональных данных

    Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация , которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

    При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

    1. Анализ информационных ресурсов:
      • Определение состава, содержания и местонахождения ПД, подлежащих защите;
      • Категорирование ПД;
      • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.

    В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

    Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

    • нанесения вреда здоровью субъекта ПД;
    • незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
    • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;
    • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

    Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

    Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных , и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.

    К основным вопросам управления относятся:

    1. распределение функций управления доступом к данным и их обработкой между должностными лицами;
    2. определение порядка изменения правил доступа к защищаемой информации;
    3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
    4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
    5. определение порядка проведения контрольных мероприятий и действий по его результатам.

    Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных .

    Источник: http://www.intuit.ru/studies/courses/697/553/lecture/12448

    Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных

    Статья 19 Федерального Закона «О персональных данных» гласит, что оператор при обработке ПД обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

    Обеспечение безопасности в соответствии ФЗ-№152 не требуется лишь для обезличенных и общедоступных персональных данных.

    Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПД.

    Персональные данные могут быть общедоступными только с письменного согласия субъекта ПД. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПД.

    Читайте так же:  Мировое соглашение во время исполнительного производства

    Автоматизированная обработка ПД осуществляется в соответствии с Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.

    Во второй лекции мы уже рассматривали определение информационной системы персональных данных.

    Информационная система персональных данных (ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

    Безопасность ПД при их обработке в ИСПД обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных – уполномоченное лицо. При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПД при их обработке в ИСПД.

    Обеспечение безопасности ПД при их обработке в ИСПД достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПД при их обработке в ИСПД полностью возлагается на оператора персональных данных.

    В связи с этим оператор обязан:

    • проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПД и (или) передачи их лицам, не имеющим права доступа к такой информации;
    • своевременно обнаруживать факты НСД к персональным данным;
    • не допускать воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;
    • незамедлительно восстанавливать ПД, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
    • осуществлять постоянный контроль за обеспечением уровня защищенности ПД.

    Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных [14].

    Информационные системы персональных данных представляют собой совокупность информационных и программно- аппаратных элементов, основными из которых являются:

    • ПД, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
    • информационные технологии, применяемые при обработке ПД;
    • технические средства, осуществляющие обработку ПД;
    • программные средства, применяемые при обработке.
    • средства защиты информации.

    Не нашли то, что искали? Воспользуйтесь поиском:

    Лучшие изречения: Как то на паре, один преподаватель сказал, когда лекция заканчивалась — это был конец пары: «Что-то тут концом пахнет». 8609 —

    | 8173 — или читать все.

    185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

    Отключите adBlock!
    и обновите страницу (F5)

    очень нужно

    Источник: http://studopedia.ru/2_85686_obespechenie-bezopasnosti-personalnih-dannih-obrabativaemih-v-informatsionnih-sistemah-personalnih-dannih.html

    Инструкция ответственного за обеспечение безопасности персональных данных информационных систем персональных данных

    ____________ (фамилия и инициалы)

    «___» ______________ 201_ г.

    ИНСТРУКЦИЯ № ____

    ответственного за обеспечение безопасности персональных данных информационных систем персональных данных в ____________

    1. Общие положения

    1.1. Настоящая инструкция (далее – Инструкция) определяет общие функции, ответственность, права и обязанности ответственного за обеспечение безопасности персональных данных информационных систем персональных данных (далее – Ответственный) в ______________________________________________________________________________________ (далее –_______________).

    1.2. Настоящая инструкция разработана в соответствии с руководящими и нормативными документами регуляторов Российской Федерации в области защиты персональных данных.

    1.3. Ответственный назначается приказом __________ на основании «Положения о разграничении прав доступа к обрабатываемым персональным данным в _______________ из числа штатных сотрудников _______________» или сторонней организации, осуществляющей сопровождение ИСПДн по договору подряда.

    1.4. Ответственный подчиняется непосредственно Директору _______________.

    1.5. На время отсутствия Ответственного (отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке, которое приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей.

    1.6. Ответственный в своей работе руководствуется настоящей Инструкцией, Концепцией информационной безопасности _______________, Политикой информационной безопасности _______________, другими регламентирующими документами _______________, руководящими и нормативными документами регуляторов Российской Федерации в области обеспечения безопасности персональных данных.

    1.7. Методическое руководство работой Ответственного осуществляется ответственным за организацию обработки персональных данных в _______________.

    1.8. Ответственный является ответственным лицом, уполномоченным на проведение работ по технической защите информации и поддержанию необходимого уровня защищенности ИСПДн _______________ и их ресурсов на этапах промышленной эксплуатации и модернизации.

    1. Организация работы

    2.1. Ответственный должен иметь специальное рабочее место, размещённое на территории контролируемой зоны, установленной приказом директора _______________ от «__» ___ 2013 г. № __ «Об определении границ контролируемой зоны и требований к ее безопасности», таким образом, чтобы исключить несанкционированный доступ к нему посторонних лиц и других сотрудников _______________.

    2.2. Рабочее место Ответственного должно быть оборудовано средствами физической защиты (личный сейф, железный шкаф или другое), подключением к ИСПДн, а так же средствами контроля технических средств защиты информации (далее – СЗИ).

    1. Обязанности

    3.1. Соблюдать требования законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, «Правил обработки персональных данных» и других нормативных документов _______________ в области обработки и защиты персональных данных.

    3.2. Поддерживать необходимый уровень защищенности (режим безопасности) персональных данных при их обработке в ИСПДн согласно «Инструкции по обеспечению безопасности персональных данных».

    3.3. Наделять и изменять права доступа всех групп пользователей ИСПДн к персональным данным и защищаемым программным ресурсам и портам ввода-вывода ИСПДн.

    3.4. Осуществлять установку, настройку и сопровождение программных и технических СЗИ.

    3.5. Осуществлять методическое руководство всех групп пользователей _______________ в вопросах функционирования СЗИ и введенного режима защиты.

    3.6. Участвовать в контрольных и тестовых испытаниях и проверках элементов ИСПДн.

    3.7. Участвовать в приемке новых программных и технических средств, в том числе СЗИ.

    3.8. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений «Правил обработки персональных данных».

    Читайте так же:  Жалоба в прокуратуру о невыплате заработной платы

    3.9. Обеспечить доступ к защищаемой информации всем группам пользователей ИСПДн согласно их правам доступа при получении оформленного соответствующим образом разрешения.

    3.10. Уточнять в установленном порядке обязанности всех групп пользователей ИСПДн по обеспечению безопасности персональных данных.

    3.11. Вести контроль над процессом осуществления резервного копирования баз данных и настроек комплекса средств автоматизации ИСПДн согласно «Инструкции по порядку резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и СЗИ в АИС _______________ СПО».

    3.12. Осуществлять контроль порядка учёта, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

    3.13. Осуществлять контроль выполнения «Плана мероприятий по обеспечению защиты персональных данных в_______________».

    3.14. Анализировать состояние защиты ИСПДн и их отдельных подсистем.

    3.15. Контролировать неизменность состояния СЗИ, их параметров и режимов защиты.

    3.16. Контролировать физическую сохранность СЗИ и оборудования ИСПДн.

    3.17. Контролировать исполнение всеми группами пользователей ИСПДн введённого режима защищенности, а так же правильность работы с элементами ИСПДн и СЗИ.

    3.18. Контролировать исполнение всем группами пользователей ИСПДн парольной политики согласно «Инструкции по организации парольной защиты».

    3.19. Организовывать антивирусную защиту всех элементов ИСПДн согласно «Инструкции по организации антивирусной защиты».

    3.20. Контролировать работу пользователей ИСПДн в ЛВС У _______________ и филиалах.

    3.21. Своевременно анализировать журнал учёта событий, регистрируемых СЗИ, с целью выявления возможных нарушений.

    3.22. Недопускать установку, использование, хранение и размножение в ИСПДн ПО, не связанных с выполнением функциональных задач.

    3.23. Не допускать к работе на элементах ИСПДн посторонних лиц.

    3.24. Регистрировать факты выдачи внешних носителей в «Журнале учета мобильных технических средств».

    3.25. Осуществлять периодические контрольные проверки рабочих станций и тестирование правильности функционирования СЗИ ИСПДн.

    3.26. Периодически представлять руководству отчёт о состоянии защиты АИС _______________ СПО и о нештатных ситуациях на объектах ИСПДн и допущенных всеми группами пользователей нарушениях и установленных требований по защите информации.

    3.27. В случае отказа работоспособности СЗИ ИСПДн, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности.

    3.28. Принимать меры по реагированию в случае возникновения нештатных или аварийных ситуаций с целью ликвидации их последствий.

    3.29. Предлагать руководству мероприятия по совершенствованию работы по защите персональных данных.

    Ответственный имеет право

    4.1. Требовать от всех групп пользователей ИСПДн соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, «Правил обработки персональных данных» и других нормативных документов _______________ в области обработки и защиты персональных данных.

    4.2. Запрещать всем группам пользователей ИСПДн доступ к персональным данным при нарушении «Правил обработки персональных данных», при неисправностях в работе СЗИ и с целью предотвращения несанкционированного доступа к охраняемой информации.

    4.3. Участвовать в анализе ситуаций, касающихся функционирования СЗИ, и в расследованиях по случаям несанкционированного доступа к персональным данным и другим случаям нарушения режима обработки персональных данных.

    4.4. Вносить предложения руководству по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями.

    4.5. В пределах своей компетенции сообщать руководству о недостатках, выявленных в процессе исполнения должностных обязанностей, и вносить предложения по их устранению.

    4.6. Требовать от руководства оказания содействия в исполнении своих должностных обязанностей и прав.

    4.7. Привлекать с разрешения руководства сотрудников всех структурных подразделений к решению задач, возложенных на него.

    4.8. Запрашивать лично или через директора _______________ информацию и документы, необходимые для выполнения своих должностных обязанностей.

    1. Ответственность

    Ответственный несет ответственность:

    5.1. За качество проводимых работ по контролю всех групп пользователей ИСПДн в вопросах обеспечения безопасности персональных данных.

    5.2. За обеспечение устойчивой работоспособности СЗИ ИСПДн.

    5.3. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных действующим трудовым законодательством Российской Федерации.

    5.4. За правонарушения, совершенные в процессе осуществления своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.

    Видео удалено.
    Видео (кликните для воспроизведения).

    5.5. За причинение материального ущерба – в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.

    1. Порядок пересмотра инструкции

    6.1. Настоящая Инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в три года.

    6.2. С приказом о внесении изменений (дополнений) в настоящую Инструкцию знакомятся под расписку все сотрудники _______________, на которых распространяется действие этой инструкции.

    Источник: http://itsec2012.ru/instrukciya-otvetstvennogo-za-obespechenie-bezopasnosti-personalnyh-dannyh-informacionnyh-sistem-personalnyh-dannyh

    Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных

    О программе
    Как проходит очно-заочное обучение

    Очно-заочное обучение предполагает подготовку слушателей с частичным отрывом от трудовой деятельности. Занятия проводятся в виде нескольких микросессий в удобное для слушателя время, в зависимости от занятости на основном месте работы.

    Как обучаться очно-заочно:

    • Вы выбираете и записываетесь на программу
    • С Вами связывается наш методист для согласования сроков обучения и расписания занятий
    • Вы присылаете необходимый комплект документов и подписываете договор на обучение
    • Оплачиваете обучение
    • Получаете конспекты лекций, перечень вопросов для самостоятельного изучения, контрольные задания и дополнительные материалы для освоения программы
    • В течение обучения получаете консультации по выполнению контрольных заданий
    • Успешно обучаетесь по программе, готовите итоговую работу
    • Получаете документ о завершении обучения (ДИПЛОМ, УДОСТОВЕРЕНИЕ или СЕРТИФИКАТ)
    Нормативно-методические документы в области дополнительного образования
    Документы, необходимые для поступления

    Чтобы начать обучение Вам необходимо предоставить следующие документы:

    • Личное заявление физического лица с согласием на обработку персональных данных или заявку от юридического лица о зачислении на обучение по программе
    • Копию паспорта (1-2 страница и страница с регистрацией по месту жительства)
    • Копию документа об образовании — диплома о среднем профессиональном и (или) высшем образовании (за исключением лиц, получающих профессиональное образование в СГТУ имени Гагарина Ю.А.)
    • Справку из деканата об обучении (для студентов)
    • Копию документа, подтверждающего изменение персональных данных личности в случае их расхождения с документом об образовании (свидетельство о заключении брака, свидетельство об изменении имени и т.д.)
    • Две цветные фотографии размером 3х4 см (только при приеме на программы профессиональной переподготовки)
    Читайте так же:  Причины отзыва искового заявления
    Получите в результате

    В результате успешного обучения по программе Вы получите удостоверение о повышении квалификации (образец удостоверения)

    Источник: http://sstu.ru/do/programmy/113786/

    Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

    Информация об изменениях:

    Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 19 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

    Статья 19 . Меры по обеспечению безопасности персональных данных при их обработке

    ГАРАНТ:

    См. комментарии к статье 19 настоящего Федерального закона

    1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    ГАРАНТ:

    Об утверждении требований по обеспечению безопасности персональных данных в таможенных органах РФ, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов РФ см. приказ ФТС России от 11 августа 2015 г. N 1611

    Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Росреестре см. приказ Росреестра от 29 января 2013 г. N П/31

    Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов см. приказ ФНС России от 21 декабря 2011 г. N ММВ-7-4/[email protected]

    2. Обеспечение безопасности персональных данных достигается, в частности:

    1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

    2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

    3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

    4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

    5) учетом машинных носителей персональных данных;

    6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

    7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

    8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

    9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

    3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

    1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

    2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

    ГАРАНТ:

    См. Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел РФ, утвержденную приказом МВД РФ от 6 июля 2012 г. N 678

    3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

    4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

    5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

    6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

    7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

    8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

    Читайте так же:  Правовые основы персональных данных

    9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

    10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

    11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

    Источник: http://base.garant.ru/12148567/95ef042b11da42ac166eeedeb998f688/

    Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных

    В курсе рассматриваются основные требования законодательства Российской Федерации по защите персональных данных.

    Оказывается помощь по разъяснению и выполнению данных требований в организациях.

    Особое внимание уделяется практическим вопросам защиты персональных данных — разработке внутренних нормативных документов, классификации информационных систем, созданию модели угроз, подготовке уведомлений в уполномоченный орган по защите прав субъектов персональных данных, освоению правовых и организационных вопросов технической защиты информации ограниченного доступа.

    Занятия включают лекционную и практическую работу.

    • Руководители
    • Специалисты по защите информации
    • ИТ-специалисты
    • Сотрудники кадровой службы и управления персоналом
    • Специалисты, ответственные за защиту персональных данных в организациях.

    РАЗДЕЛ № 1. Общие вопросы технической защиты информации

    Тема № 1. Правовые и организационные основы технической защиты информации ограниченного доступа

    • Понятия «безопасности информации», «угрозы безопасности информации», «уязвимости», «источника угрозы». Целостность, конфиденциальность и доступность информации. Классификационная схема угроз безопасности информации и их общая характеристика. Особенности проведения комплексного исследования объектов информатизации на наличие угроз безопасности информации. Методы оценки опасности угроз.
    • Классификация объектов информатизации. Методические рекомендации по классификации и категорированию объектов информатизации. Характеристика основных угроз несанкционированного доступа и моделей нарушителя безопасности информации, а также способов реализации этих угроз. Характеристика основных классов атак, реализуемых в сетях общего пользования, функционирующих с использованием стека протоколов TCP/IP. Понятие программно-математического воздействия и вредоносной программы. Классификация вредоносных программ, основных деструктивных функций вредоносных программ и способов их реализации. Особенности программно-математического воздействия в сетях общего пользования. Методы и средства выявления угроз несанкционированного доступа к информации и специальных воздействий на нее. Порядок обеспечения защиты информации при эксплуатации автоматизированных систем. Защита информации на автоматизированных рабочих местах на базе автономных ПЭВМ. Защита информации в локальных вычислительных сетях. Защита информации при межсетевом взаимодействии. Защита информации при работе с системами управления базами данных. Порядок обеспечения защиты информации при взаимодействии с информационными сетями общего пользования.
    • Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники.
    • Содержание и порядок проведения аттестации объектов информатизации по требованиям безопасности информации. Структура, содержание и порядок подготовки документов при аттестации объектов информатизации по требованиям безопасности информации.

    РАЗДЕЛ № 2. Организация обеспечения безопасности персональных данных в информационных системах персональных данных

    Тема № 3. Угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, организационные и технические меры защиты информации в информационных системах персональных данных

    Тема № 5. Практические реализации типовых моделей защищенных информационных систем обработки персональных данных

    • Комплекс организационных и технических мероприятий (применения технических средств) в рамках подсистемы защиты персональных данных, развертываемой в информационной системе персональных данных в процессе ее создания или модернизации. Основное содержание этапов организации обеспечения безопасности персональных данных.
    • Варианты реализации мероприятий по защите персональных данных и типовые модели защищенных информационных систем персональных данных с использованием существующих сертифицированных средств защиты информации.
    • Виды, формы и способы контроля защиты персональных данных в информационных системах персональных данных. Планирование работ по контролю состояния защиты персональных данных в информационных систем персональных данных. Основные вопросы, подлежащие проверке (анализу) при контроле состояния организации защиты персональных данных.

    Продолжительность: 72 ак.ч.

    Документ о прохождении обучения: ­ Удостоверение о повышении квалификации установленного образца (при условии 100% посещаемости, успешно пройденного теста по итогам обучения и предоставлении документа об образовании).

    Источник: http://edu.usk.ru/services/uchebnyy-tsentr/programmy-zashchita-informatsii/obespechenie-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-person/

    Приложение N 1. Положение об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации

    Приложение N 1
    к приказу ______________
    (название МО)
    от _________ N ________

    ГАРАНТ:

    По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

    ГАРАНТ:

    По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

    >
    N 2. Типовая форма журнала учета установленных средств защиты информации
    Содержание
    Приказ Министерства здравоохранения Свердловской области от 20 октября 2015 г. N 1622-п «Об организационных мерах защиты.

    Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

    Читайте так же:  Сайт проверки патента на работу

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    © ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

    Источник: http://base.garant.ru/20972130/2303325ae84a54ba223840316a0fb8f7/

    Практика. Создание системы защиты персональных данных

    Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

    Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

    Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

    Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

    1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
    2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
    3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
    4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
    5. Разработка технического задания на создание системы защиты персональных данных.
    6. Приобретение средств защиты информации.
    7. Внедрение системы защиты персональных данных.
    8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

    Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

    Обеспечьте защиту персональных данных в вашей компании

    Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

    Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

    В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

    В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

    Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

    Модель угроз безопасности ПДн: пример

    Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

    * Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

    Основными источниками угроз в данном случае будут выступать:

    • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
    • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

    Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

    Определение уровня защищенности ПДн

    В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

    Построение системы защиты персональных данных

    В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

    Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

    Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

    ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

    Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

    Выводы

    Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

    Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

    Рекомендации по защите персональных данных

    Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

    Видео удалено.
    Видео (кликните для воспроизведения).

    Источник: http://kontur.ru/articles/1723

    Обеспечение безопасности информационных систем персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here