Защита информационных систем обработки персональных данных

Статья на тему: "Защита информационных систем обработки персональных данных" с полным описанием тематики и ответами на интересующие вопросы. За консультацией можно обратиться к дежурному консультанту.

Содержание

  • Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

    Приказ ФСБ России от 10 июля 2014 г. N 378
    «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

    В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»* приказываю

    утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

    Зарегистрировано в Минюсте РФ 18 августа 2014 г.

    Регистрационный N 33620

    * Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716, N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. 1), ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. 1), ст. 4038.

    Оператор персональных данных при их обработке должен принимать необходимые меры по обеспечению их безопасности. Это касается и обработки данных в информационных системах с использованием средств криптографической защиты информации (СКЗИ).

    КОНСУЛЬТАЦИЯ ЮРИСТА


    УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

    8 800 350 84 37

    Определен комплекс мер по обеспечению безопасности персональных данных при указанной обработке. Он включает набор организационных и технических мероприятий по защите персональных данных для каждого из четырех уровней защищенности.

    Во всех случаях требуется обеспечить сохранность носителей персональных данных; исключить неконтролируемое проникновение или пребывание в помещениях, где размещена информационная система, посторонних лиц. Также следует определить список лиц, которым необходим доступ к персональным данным для выполнения ими служебных (трудовых) обязанностей.

    Для нейтрализации актуальных угроз нужно использовать средства защиты информации, прошедшие процедуру оценки соответствия.

    Для каждого уровня защищенности персональных данных предусмотрено применение СКЗИ соответствующего класса.

    Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

    Зарегистрировано в Минюсте РФ 18 августа 2014 г.

    Регистрационный N 33620

    Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования

    Текст приказа опубликован в «Российской газете» от 17 сентября 2014 г. N 211

    Источник: http://base.garant.ru/70727118/

    Типичные ошибки при построении системы защиты ПДн (СЗПДн)

    Уровень правовой грамотности ИТ-специалистов в области информационной безопасности, в частности защиты персональных данных, с каждым годом растет. Ведь именно на специалиста ИТ-отдела возлагают функции по защите информации. Однако чаще всего специалисты приобретают новые знания самостоятельно из открытых источников. К сожалению, это ведет к однотипным ошибкам при создании системы защиты персональных данных.

    Как рождается ошибка?

    Зачастую к нам приходят запросы на проведение работ по защите персональных данных с конкретной спецификацией работ и средств защиты информации. Казалось бы, идеальный вариант для всех, но по факту оказывается, что указанных работ и средств защиты информации либо слишком много, либо недостаточно для приведения организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона «О персональных данных» от 27.07.2006 № 152. Оба варианта ведут к финансовым потерям.

    Мы выделили основные недочеты в построении систем защиты ПДн и надеемся, что эта «шпаргалка» пригодится и опытным, и начинающим ИТ-специалистам.

    Распространенные ошибки при построении СЗПДн:

    1. Неверно определено число информационных систем, обрабатывающих персональные данные.

    Часто при определении информационных систем, в которых обрабатываются персональные данные, выделяют лишь те, что лежат на виду (например, информационные системы бухгалтерии или кадров). На деле же в организации их может быть куда больше. Зачастую информационной системой, которую забыли упомянуть, оказывается система контроля управления доступом (СКУД), а между тем вероятность обработки биометрических данных в такой информационной системе весьма высока.

    Совет: для того чтобы не упустить из виду информационные системы персональных данных, необходимо провести аудит всех имеющихся информационных систем, а затем установить факт обработки в них персональных данных. Не забывайте про системы видеонаблюдения, так как в отдельных случаях они также являются ИСПДн.

    Экспресс-обследование СЗПДн от проекта Контур.Безопасность

    2. Неверный выбор средств защиты информации.

    Бывают случаи, когда заказчик самостоятельно ставит себе «диагноз» через интернет. Находит в сети пример, где описывается построение технической системы защиты персональных данных информационной системы, схожей с его, и закупает приведенные в списке СЗИ. В результате возможно несколько вариантов развития событий:

    • используемые средства защиты персональных данных будут соответствовать требованиям нормативных документов и закроют все актуальные угрозы безопасности персональных данных;
    • используемых средств защиты информации будет недостаточно для закрытия всех актуальных угроз безопасности персональных данных;
    • перечень используемых средств защиты информации будет избыточным;
    • используемые средства защиты информации не будут соответствовать требованиям нормативных документов.

    При этом первый вариант развития событий возможен в крайне редких случаях.

    Читайте так же:  Взыскание морального вреда дтп смерть

    Советы:

    • используйте известный алгоритм создания системы защиты персональных данных;
    • проведите обследование информационной системы;
    • определите актуальные угрозы безопасности персональных данных в соответствии с нормативными документами ФСТЭК России;
    • определите требуемый уровень защищенности персональных данных, обрабатываемых в информационной системе;
    • руководствуясь приказом ФСТЭК России № 21, определите организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.

    3. Пренебрежение организационными мерами, концентрация исключительно на технической защите.

    Бывают ситуации, когда заказчик фокусируется исключительно на технической защите информации, закупает качественные и подходящие СЗИ, но при этом забывает об организационной части. Не разработаны необходимые документы, не подписаны соглашения с работниками и т.д. Во всем нужен разумный баланс, кроме того, непонимание персоналом смысла использования СЗИ может нивелировать всю грамотно выстроенную техническую защиту.

    4. Средства защиты информации верно подобраны, но неверно настроены (или не настроены вообще).

    Распространенная ошибка — наделение пользователей правами администраторов. Это удобно для системного администратора, так как настройка системы в таком случае не требует много времени и решение проблем пользователей сводится к минимуму. При таком подходе установка СЗИ на компьютеры пользователей не имеет никакого смысла: сотрудник с правами администратора может отключить что угодно, даже не осознавая этого. Например, межсетевой экран не позволяет пользователю выйти в интернет, он читает выскочившую подсказку и парой нажатий клавиш отключает защиту. Формально СЗИ установлено, угроза закрыта, однако в реальности она остается актуальной.

    Совет: следует тщательно подходить к вопросу установки средств защиты информации и грамотно разделять права и обязанности пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы с учетом производственной необходимости.

    Общий совет: обследование позволяет избежать этих мелких, но неприятных ошибок. Обследование позволяет определить текущую степень соответствия процессов обработки и защиты персональных данных требованиям безопасности информации, а также составить перечень необходимых мероприятий по приведению процессов организации обработки персональных данных в информационных системах заказчика в соответствие требованиям Федерального закона № 152-ФЗ «О персональных данных».

    В ходе обследования собираются данные:

    • об организационно-штатной структуре заказчика;
    • о мерах физической безопасности;
    • о структуре, техническом и программном составе информационных систем;
    • об архитектуре информационных систем;
    • о технологических процессах обработки ПДн;
    • о существующих средствах и механизмах обеспечения безопасности ПДн.

    В большинстве случаев цена такого обследования невысока. Но порой оно помогает существенно сэкономить на приобретении ненужных СЗИ. Причина в том, что после обследования часто сокращается объем парка машин, которые необходимо защитить, а также конкретизируются организационные и технические требования по защите персональных данных в информационной системе, которые необходимо реализовать.

    Источник: http://kontur.ru/articles/1744

    Решает ли покупка сертифицированной программы проблему защиты ПДн?

    Купить сертифицированную ФСТЭК учетную программу и успокоиться — это ли не мечта кадровика, бухгалтера, ИТ-специалиста! К сожалению, работа в прикладной сертифицированной программе не отменяет выполнения комплекса мер по защите персональных данных при их обработке в информационных системах.

    В данном материале разберем теоретическую сторону проблемы. В дальнейшем рассмотрим практические шаги по выполнению требований по защите ПДн без использования сертифицированной программы.

    Разберемся с понятиями

    Обработку и защиту персональных данных в информационных системах регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Конкретные меры защиты описывает Приказ ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Некоторые пользователи ошибочно полагают, что если программа имеет сертификат ФСТЭК, то она позволит решить все технические требования по защите персональных данных. Однако использование сертифицированной программы обработки персональных данных реализует лишь часть из множества требований, описанных в 21-м Приказе ФСТЭК.

    Проблема во многом связана с тем, что пользователи объединяют понятия «программа» и «информационная система», из-за чего складывается мнение, что, защитив «программу», можно выполнить требования Закона № 152-ФЗ.

    Предлагаем разобраться с понятиями, к которым закон предъявляет требования. А также попытаемся найти компромисс между требованиями закона и реалиями жизни. Ведь иногда буквальное выполнение закона может парализовать реальную деятельность организации.

    Чего же хочет закон?

    Для того чтобы выявить различие понятий «информационная система» и «программа», обратимся к нормативной документации.

    Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

    Программа — данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма («Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 19781-90»).

    Таким образом, информационная система включает в себя базы данных, компьютеры, на которых располагаются эти базы данных, а также программы, обрабатывающие эту информацию. Программа — лишь одна из составляющих всей информационной системы.

    Федеральный закон № 152-ФЗ предъявляет требования в первую очередь к защите информационной системы, обрабатывающей персональные данные, а не конкретно к программе.

    Обеспечьте защиту персональных данных в вашей компании

    Что такое сертифицированная программа и какие требования по защите ПДн она выполняет?

    Сертифицированная по требованиям безопасности программа — это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России или ФСБ России, что подтверждается сертификатом соответствия.

    Приказ ФСТЭК № 21 в зависимости от необходимого уровня защищенности персональных данных предъявляет различные требования к сертифицированным программам. Так, например, для обеспечения первого уровня защищенности персональных данных применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей. А для обеспечения третьего уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены исключительно угрозы третьего типа, требований к уровню контроля отсутствия недекларированных возможностей не предъявляется.

    Немаловажным является тот факт, что, согласно 21-му Приказу ФСТЭК России, использование сертифицированных программ является лишь одной из мер по обеспечению безопасности персональных данных и реализуется лишь в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

    На практике сертифицированные программы имеют ряд ограничений:

    • сертифицируются отдельные экземпляры или ограниченная партия программного обеспечения;
    • сертификат выдается только на конкретную версию/платформу программного обеспечения;
    • при переходе на новую версию программного обеспечения сертификат становится недействительным;
    • необходимо устанавливать ТОЛЬКО сертифицированные обновления, полученные из определенного источника;
    • сертификат действует не более трех лет.

    Это означает, что каждое обновление, связанное с улучшением интерфейса или с внесением изменений со стороны законодательства, будет требовать сертификации. Следовательно, установить критически важное обновление будет невозможно, пока новая версия не получит всех разрешительных документов. В ситуации, когда ПФР выпускает новые формы в период текущей отчетности, это может быть весьма неудобно. Кроме того, сертифицированное решение всегда будет стоить дороже несертифицированного, так как в его стоимость включены затраты на сертификацию.

    Читайте так же:  Списание затрат арендатором неотделимых улучшений

    Итак, использование сертифицированных программных продуктов закрывает лишь часть технических требований по защите персональных данных. Для выполнения всех необходимых организационных и технических мер по обеспечению безопасности персональных данных потребуется установка дополнительных средств защиты информации, разработка организационно-распорядительной, проектной и эксплуатационной документации.

    Как выполнить требования и не парализовать работу предприятия

    Оптимальным решением может быть выбор качественного лицензионного программного обеспечения, в котором учтены основные требования к организации обработки персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», в сочетании с применением необходимых организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе.

    Алгоритм действий по приведению информационной системы в соответствие ФЗ № 152

    Для приведения информационных систем в соответствие с требованиями законодательства и нормативных документов регуляторов необходимо:

    1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
    3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных.
    4. Определение требуемого уровня защищенности персональных данных обрабатываемых в информационной системе персональных данных.
    5. Разработка технического проекта на создание системы защиты персональных данных.
    6. Приобретение средств защиты персональных данных.
    7. Внедрение системы защиты персональных данных.
    8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

    Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что реализованные в рамках системы защиты персональных данных меры по обеспечению безопасности персональных данных достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

    Источник: http://kontur.ru/articles/1641

    Защита информационных систем обработки персональных данных

    ООО «КРИПТО-ПРО» оказывает услуги по обеспечению в соответствии с требованиями Законодательства безопасности информационных систем, в которых осуществляется обработка, хранение и передача персональных данных (далее – ИСПДн).

    В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты персональных данных (далее – СЗПДн), в том числе включающие:

    1. Проведение обследования ИСПДн и определение необходимого уровня защищенности;
    2. Разработка частной модели актуальных угроз нарушения безопасности ПДн;
    3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности ПДн;
    4. Разработка технического задания и проектирование СЗПДн;
    5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок обеспечения безопасности ПДн и эксплуатации СЗПДн;
    6. Поставка и внедрение сертифицированных технических средств защиты информации;
    7. Инструктаж и обучение персонала в авторизованных учебных центрах;
    8. Оценка соответствия выполнения требований безопасности ПДн в форме аттестации ИСПДн;
    9. Техническое сопровождение и сервисное обслуживание СЗПДн.

    При выборе и реализации организационно-технических мер обеспечения безопасности ПДн специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ИСПДн и спецификой деятельности Заказчика.

    Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки и широкой номенклатурой партнерских решений, в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.

    Основные положения законодательства в области защиты персональных данных

    На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению безопасности персональных данных (ПДн).Основой регулирования правоотношений в сфере персональных данных являются положения Конституции РФ. Правоотношения, касающиеся обращения с ПДн регулируются Федеральным Законодательством РФ, в т.ч. Трудовым кодексом РФ (глава 14).

    Необходимость обеспечения безопасности ПДн устанавливает Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных», который обязывает оператора (любое физическое или юридическое лицо, осуществляющее обработку ПДн), получающими доступ к персональным данным, обеспечивать конфиденциальность таких данных (ст.7) и принимать необходимые организационные и технические, меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст.19).

    В соответствии с 152-ФЗ обеспечение безопасности персональных данных достигается, в частности:

    1. определением угроз безопасности персональных данных;
    2. применением организационных и технических мер, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
    3. применением средств защиты информации;
    4. оценкой эффективности принимаемых мер по обеспечению безопасности;
    5. учетом машинных носителей персональных данных;
    6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
    7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    8. установлением правил доступа к персональным данным, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;
    9. контролем за принимаемыми мерами по обеспечению безопасности.

    Требования к обеспечению безопасности, типы угроз безопасности и уровни защищенности ПДн установлены Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    В соответствии с Постановлением, безопасность ПДн обеспечивается с помощью системы защиты персональных данных (СЗПДн), нейтрализующей актуальные угрозы безопасности ПДн.

    СЗПДн включает организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн.

    Актуальные угрозы безопасности ПДн — совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может являться нарушение их безопасности (уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия).

    Определение актуальных угроз осуществляется в соответствии с Методическими документами ФСТЭК России в составе:

    • Базовая модель угроз;
    • Методика определения актуальных угроз безопасности ПДн;

    Определение типа угроз безопасности ПДн, актуальных для ИС, производится с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения их безопасности.

    Уровень защищенности ПДн — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн.

    Уровень защищенности для конкретной информационной системы устанавливается в зависимости от определенного для этой системы типа актуальных угроз, обрабатываемых в ней категорий и количества субъектов ПДн.

    В зависимости от установленного уровня защищенности необходимо выполнение следующих требований:

    1. организация режима обеспечения безопасности помещений;
    2. обеспечение сохранности носителей персональных данных;
    3. утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных обязанностей;
    4. использование сертифицированных средств защиты информации в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн.
    5. назначение должностного лица, ответственного за обеспечение безопасности ПДн.
    6. обеспечение возможности доступа к содержанию электронного журнала сообщений исключительно для должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.
    7. автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн;
    8. создание структурного подразделения, ответственного за обеспечение безопасности ПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
    Читайте так же:  Сколько действительно психиатрическое освидетельствование

    Блокирование (нейтрализация) актуальных угроз безопасности ПДн обеспечивается посредством выбора и реализации в СЗПДн мер по обеспечению безопасности ПДн в соответствии с приказами ФСТЭК и ФСБ России.

    В зависимости от актуальных угроз безопасности ПДн Приказом ФСТЭК России от 18.02.2013 № 21 определен следующий состав и содержание организационных и технических мер по обеспечению безопасности ПДн:

    1. обеспечение доверенной загрузки;
    2. идентификация и аутентификация субъектов доступа и объектов доступа;
    3. управление доступом субъектов доступа к объектам доступа;
    4. ограничение программной среды;
    5. защита машинных носителей информации;
    6. регистрация событий безопасности;
    7. обеспечение целостности информационной системы и информации;
    8. защита среды виртуализации;
    9. защита технических средств;
    10. защита информационной системы, ее средств и систем связи и передачи данных.

    Выбор мер по обеспечению безопасности ПДн включает:

    1. выбор базового набора мер;
    2. адаптацию выбранного базового набора мер;
    3. дополнение адаптированного базового набора мер;
    4. обоснование применения компенсирующие мер взамен выбранных мер.

    Меры по обеспечению безопасности персональных данных в государственных информационных системах (ГИС) принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС, устанавливаемыми ФСТЭК России.

    Использование СКЗИ для обеспечения безопасности ПДн осуществляется в соответствии с Методическими рекомендациями и требованиями, утвержденными Приказами ФСБ России от 21.02.2008г.

    Нарушение требований закона при обработке персональных данных влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц, административную ответственность юридических лиц.

    Цель создания системы защиты персональных данных и решаемые задачи

    Целью создания СЗПДн является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности ПДн в соответствии с ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами.

    Для создания СЗПДн предлагается решение следующих задач:

    1. Проведение обследования ИСПДн и определение требуемого уровня защищенности ПДн;
    2. Разработка частной модели актуальных угроз нарушения безопасности ПДн ;
    3. Выбор и обоснование организационных и технических мер, необходимых для защиты ПДн;
    4. Разработка организационно-распорядительной документации, регламентирующей реализацию и обеспечение режима защиты ПДн в соответствии с принятыми организационными мерами.
    5. Разработка технического задания на создание СЗПДн;
    6. Проектирование СЗПДн в составе следующих решений в зависимости от выбранных технических мер:
      • управления доступом к информационным ресурсам;
      • сетевой безопасности;
      • антивирусной защиты;
      • криптографической защиты информации;
      • анализа уязвимости;
      • мониторинга событий безопасности;
      • защиты виртуальной инфраструктуры;
      • предотвращения утечки данных;
      • защиты мобильных устройств;
      • прочие решения, необходимые для нейтрализации актуальных угроз.
    7. Поставка, внедрение и сервисное обслуживание технических решений;
    8. Инструктаж и обучение персонала на авторизованных курсах в учебном центре;
    9. Проведение оценки выполнения требований безопасности ПДн в форме аттестационных испытаний объекта информатизации.

    При выполнении работ в первую очередь предполагается руководствоваться экономической целесообразностью и эффективностью проводимых мероприятий по защите ИСПДн.

    Результаты создания системы защиты персональных данных

    В результате создания СЗПДн Заказчик получает следующие отчетные документы:

    Видео удалено.
    Видео (кликните для воспроизведения).

    Источник: http://www.cryptopro.ru/service/zashchita-is-pd

    Приложение N 1. Положение об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации

    Приложение N 1
    к приказу ______________
    (название МО)
    от _________ N ________

    ГАРАНТ:

    По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

    ГАРАНТ:

    По-видимому, в тексте документа допущена ошибка: п.п. 3.7., 3.8. в настоящем Положении отсутствуют

    >
    N 2. Типовая форма журнала учета установленных средств защиты информации
    Содержание
    Приказ Министерства здравоохранения Свердловской области от 20 октября 2015 г. N 1622-п «Об организационных мерах защиты.

    Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

    Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

    © ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

    Источник: http://base.garant.ru/20972130/2303325ae84a54ba223840316a0fb8f7/

    Понятие персональных данных и требования к их обработке и защите, установленные Правительством РФ

    Персональные данные (ПДн) – особенная категория информации, к которой предъявляются повышенные требования в процессе обработки и хранения.

    Субъектами сведений персонального характера выступают физические лица, несанкционированное распространение таких данных может привести к негативным последствиям. Поэтому профильным законом в России установлены нормативные положения, призванные защитить ПДн.

    О том, как по закону операторы должны обращаться с конфиденциальной информацией граждан Российской Федерации на всех этапах обработки мы подробно расскажем в материале.

    Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

    Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

    Законодательные основы

    С момента принятия законодательно акта Государственной Думой, в него вносились многочисленные дополнения и изменения. Одним из последних стало требования – разместить сервисы с информацией, входящей в перечень ПДн, на территории Российской Федерации.

    В этом документе очерчены принципы обработки данных, указаны обязанности операторов, а также степень ответственности за несоблюдение закона.

    Характер предписаний

    К защите

    Сведения о требованиях, реализуемых в отношении защиты информации конфиденциального характера, утверждены Правительством РФ в Постановлении кабинета министров РФ от 1 ноября 2012 года N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Все обязанности по защите ПД ложатся на оператора, осуществляющего их сбор и обработку.
    1. Любая система, работающая с персональной информацией, пользуется средствами защиты от актуальных угроз и соответствующими информационными технологиями.
    2. Оператор определяет актуальные угрозы, а также оценивает их потенциальный вред по алгоритму пункта 5 части 1 статьи 18 Федерального закона «О персональных данных». Разработать соответствующую модель угроз и применять ее на практике для защиты информации.
    3. Оператор устанавливает для ПДн уровень защищенности.
    • 1 уровень устанавливается для систем, обрабатывающих специальные категории персональных данных, либо биометрические сведения, а также операторов, работающих с более чем ста тысячам субъектов ПДН (если они не являются сотрудниками).
    • 2 уровень присваивается операторам, обрабатывающим информацию более ста тысяч субъектов (если они являются сотрудниками), общедоступные данные более чем ста тысяч субъектов, биометрические данные менее ста тысяч субъектов.
    • 3 уровень присваивается системам, работающим с информацией, принадлежащей 10 тысячам субъектов, не являющихся сотрудниками оператора.
    • 4 уровень получают системы, работающие с общедоступной информацией ПДн, которая считается обезличенной и не дает возможности идентифицировать человека.
    Читайте так же:  Права полиции по охране общественного порядка

    Четвертый уровень безопасности обеспечивается следующими позициями:

    • организация режима доступа к помещениям, в которых размещена информационная система (без возможности случайного проникновения);
    • обеспечение сохранности физических платформ ПДн;
    • утверждение документа с перечнем лиц, которым доступна система.

    Третий уровень обусловлен одним дополнительным, по сравнению с 4 уровнем, требованием – назначить должностное лицо, ответственное за безопасность. На втором уровне добавляется обязательное ограничение доступа к каталогу ПДн только для должностных лиц оператора.

    А операторы с первым уровнем защищенности должны автоматически вносить в средство электронного учета изменения полномочий сотрудников, имеющих доступ к ПДн, а также создать структурное подразделение (или возложить на существующее), в обязанности которого входит обеспечение безопасности персональных сведений.

    Посмотреть видео о том, как необходимо осуществлять защиту персональных данных:

    К обработке в информационных системах

    • Оператор информационных систем работает с данными на основе законодательных актов.
    • В системе обработка ограничивается действиями, необходимыми для реализации конкретных целей, определенных заранее. Несовместимая с целями сбора обработка является нарушением.
    • Объединение баз, которые содержат ПДн, собранные с разными целями, не допускается.
    • Обрабатываются только данные, отвечающие целям обработки.
    • Не допускается избыточности по отношению к заявленным целям обработки.

    Примечательно, что к обработке предъявляется обязательное требование – наличие согласия субъекта на обработку персональных данных с информированием о целях такой процедуры.

    Для хранения оператор должен утвердить два нормативных документа:

    1. Политика в отношении обработки ПДн.
    2. Соглашение об обработке персональной информации.

    Субъект имеет право ознакомиться с уставными бумагами и только после этого давать или не давать согласие на обработку его личной информации.

    К хранению

    Хранение ПДн осуществляется в форме, дающей возможность вычислить субъекта только в рамках установленных сроков. Кроме того, хранение сведений (в том числе сроки) могут устанавливаться нормативными актами разного уровня.

    Персональные данные, согласно новым требованиям Роскомнадзора, предъявляемым к их защите, необходимо хранить только на территории Российской Федерации (физически сервера или ЦОДы должны находиться внутри государства).

    К обеспечению безопасности

    В статье 19 Федерального закона «О персональных данных» прописаны требования к обеспечению безопасности со стороны оператора. Они включают в себя следующие мероприятия:

    1. Реализовывать меры широкого спектра, в том числе технического и организационного.
    2. Организовывать процедуру оценки соответствия средств защиты.
    3. Оценивать эффективность мер по обеспечению безопасности.
    4. Вести учет машинных носителей конфиденциальных сведений.
    5. Обнаруживать факты несанкционированного доступа , восстанавливать, сведения, если в процессе несанкционированного доступа они были удалены или изменены.
    6. Устанавливать правила доступа к системам с конфиденциальной информацией.

    Как видите, законодательство Российской Федерации предъявляет к операциям с ПДн массу требований. Это связано с особенностями сведений и тем фактом, что они должны сохраняться в условиях конфиденциальности.

    Среди систем различают системы с разным уровнем защищенности в зависимости от особенностей самых данных.

    Неконтролируемое распространение ПДн считается нарушением и может повлечь за собой ущерб для субъекта сведений, которые должны быть конфиденциальными. Требование не учитывается только для обезличенных сведений.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/trebovniya-k-p-d.html

    Защита персональных данных. Соответствие СЭД 152-ФЗ

    Периодически из уст заказчиков слышен вопрос: «Удовлетворяет ли ваша система требованиям закона о персональных данных и в тендерных документациях мелькают требования реализации проекта по защите данных. Но для чего реально необходима эта магическая аббревиатура ИСПДн заказчику, он не всегда в состоянии корректно объяснить. Углубимся в вопрос.

    1. Требования к системе СЭД по защите ПДн

    1.1. Немного законодательства

    Итак, начнем с самого начала. Попробуем понять откуда «растут ноги»?

    26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который определил необходимость защиты персональных данных субъектов (далее ПДн) в целях зашиты прав и свобод человека и гражданина. За невыполнение требований данного закона предусмотрена административная и уголовная ответственность как для юридических, так и физических лиц (сотрудников и руководителей организаций), а деятельность самой организации может быть приостановлена по требованию Роскомнадзора. Таким образом, операторы информационных систем персональных данных (далее ИСПДн) обязаны защищать переданные им ПДн от угроз, реализация которых может повлечь за собой ущерб владельцам этих данных.

    Напомним, что такое персональные данные. В соответствии с законом, определение звучит так: «Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». То есть, если идти от обратного, то только та совокупность данных, которая позволяет определить конкретный субъект, является персональной.

    1.2. СЭД и ПДн: есть ли взаимосвязь?

    Имеет СЭД отношение к проблеме обеспечения защиты ПДн?

    Ответ – да. Если СЭД содержит в своем составе справочники сотрудников предприятия и контрагентов, и эти данные хранятся в системе таким образом, что может быть определен конкретный субъект, это означает, что она содержит ПДн. Плюс в СЭД также могут храниться и обрабатываться различные анкеты, характеристики, персональные дела, истории болезней и т.д. – а эти документы в том числе относятся к определенной категории ПДн. Ситуация «усугубляется», если компания ориентирована на работу с физическими лицами и СЭД вовлечена в сферу их обслуживания. Это касается органов государственной власти, где ведется непосредственная работа с населением; медицинские и образовательные учреждения; телекоммуникационные компании; кредитные организации и т.д. – операторы ПДн.

    Статья 19 152 ФЗ «О персональных данных» устанавливает, что: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

    Отметим, что в законе прямо не указываются какими конкретными средствами и методами обеспечения безопасности ПДн должен пользоваться оператор. До 1 июля 2011 года мы руководствовались постановлениями правительства РФ за номерами 781, 512 и 687, так называемых «приказом Трех» и приказом ФСТЭК № 58. После чего был принят 261-ФЗ и «Старая» часть 3 ст. 19 «растеклась» по нескольким частям нового закона, изменившись до неузнаваемости.

    Читайте так же:  Моральный вред возмещается в случаях

    Ч. 3 ст. 19: «Правительство Российской Федерации, с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных, устанавливает:

    уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

    требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

    требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

    Вот мы с вами впервые столкнулись с термином «Уровень защищенности ПДн». Что это и с чем его «едят»?

    1.3. Определение уровня защищенности ПДн

    Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

    Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

    ● 1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

    ● 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

    ● 3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

    ● 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

    По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

    ● обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);

    ● обработка персональных данных субъектов, не являющихся работниками вашей организации.

    По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

    ● менее 100 000 субъектов;

    ● более 100 000 субъектов;

    И наконец, типы актуальных угроз:

    ● угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;

    ● угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;

    ● угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

    Как установить тип актуальных угроз не регламентировано, поэтому предприятие может как провести работы по определению уровня защищенности самостоятельно (за исключением аттестации, для которой требуется специальная лицензия), так и привлечь внешних консультантов.

    Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности ПДн в соответствии со следующей таблицей:

    Таблица 1. Определение уровня защищенности ПДн

    1.4. Сертифицированный продукт: нужен или нет.

    Подведем итоги в рамках первой части нашего исследования.

    Если в СЭД будут храниться ПДн, значит необходима сертификация данной системы. Как правило, в сертификации продукта заинтересован сам разработчик данного софта, а заказчику остается только приобрести сертифицированный экземпляр продукта. Сертификат на конкретную версию или поколение выдает ФСТЭК России на строго определенный срок. Фактически данный сертификат удостоверяет, что система СЭД соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации». Кстати, чтобы Заказчику провести аттестацию СЭД, помимо приобретения сертифицированного экземпляра продукта, может также потребоваться сертификат на встроенные в него средства защиты информации. На что именно и какого уровня, зависит от необходимого уровня защищенности ИСПДн, к которой отнесена СЭД.

    Отмечу один существенный недостаток во всем этом: процедура сертификации продукта процесс длительный. Т.е. к моменту, когда будет сертифицирована одна версия системы, она уже успеет морально устареть. Хотя этот вопрос все же разрешим: разработчик СЭД может сертифицировать сразу целое поколение. Это будет означать, что реальную сертификацию в ФСТЭК проходит первая версия системы из всего поколения, но, если заказчику потребуется поставка более свежей версии, то после ее установки и настройки достаточно будет всего лишь дополнительно провести процедуру инспекционного контроля.

    Инспекционный контроль осуществляется с целью установления того, продолжает ли ИСПДн соответствовать требованиям, на соответствие которым она была сертифицирована. Как правило, если настройка не затронула механизм разграничений прав доступа, шифрования, ведения логов и прочее в сравнении с ранее сертифицированной версией продукта, то сертификация системы заказчика пройдет без всяких проблем и в кратчайшие сроки.

    2. Виды работ. Перечень ИСПДн

    Напоминаю, что в первой части нашего исследования мы разбирались с сертификацией СЭД-системы. В результате мы с вами подходим к очень важному для нас выводу: сама СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в 152 ФЗ, на который ссылается большинство Заказчиков. На самом деле СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем. Поэтому просто приобретение сертифицированной версии продукта СЭД для заказчика будет недостаточно. Дополнительно потребуется проведение ряда работ, которых мы рассмотрим во второй части нашего исследования.

    СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем.

    2.1. Перечень требований к ИСПДн

    Прежде всего давайте разберемся, какие требования должны соблюдаться?

    Перечень требований, предъявляемый к используемым техническим средствам и программном продукту СЭД на предприятие, выполнение которых необходимо для нейтрализации угроз безопасности ПДн, определяется в зависимости от уровня защищенности ПДн. Данный перечень требований можно представить в следующей таблице:

    Таблица 2. Перечень требований, предъявляемый к ИСПДн

    Регулярный контроль за выполнением требований

    Контроль за выполнением требований организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые сами оператором или его уполномоченным лицом.

    Физ.безопасность и контроль доступа

    Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих в них права доступа

    Обеспечение сохранности носителей персональных данных

    Видео удалено.
    Видео (кликните для воспроизведения).

    Источник: http://ecm-journal.ru/card.aspx?ContentID=90145048

    Защита информационных систем обработки персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here