Добавить материал и получить бесплатное свидетельство о публикации в СМИ
Эл. №ФС77-60625 от 20.01.2015
Свидетельство о публикации

Автоматическая выдача свидетельства о публикации в официальном СМИ сразу после добавления материала на сайт - Бесплатно

Добавить свой материал

За каждый опубликованный материал Вы получите бесплатное свидетельство о публикации от проекта «Инфоурок»

(Свидетельство о регистрации СМИ: Эл №ФС77-60625 от 20.01.2015)

Инфоурок / Информатика / Статьи / Общий порядок организации обеспечения безопасности персональных данных
ВНИМАНИЮ ВСЕХ УЧИТЕЛЕЙ: согласно Федеральному закону № 313-ФЗ все педагоги должны пройти обучение навыкам оказания первой помощи.

Дистанционный курс "Оказание первой помощи детям и взрослым" от проекта "Инфоурок" даёт Вам возможность привести свои знания в соответствие с требованиями закона и получить удостоверение о повышении квалификации установленного образца (180 часов). Начало обучения новой группы: 28 июня.

Подать заявку на курс
  • Информатика

Общий порядок организации обеспечения безопасности персональных данных

библиотека
материалов

Общий порядок организации обеспечения безопасности персональных данных

Цели защиты информации:

  • предотвращение утечки информации по ТКУИ;

  • предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в ИС;

  • соблюдение правового режима использования массивов, программ обработки информации;

  • обеспечение полноты, целостности, достоверности информации в системах обработки;

  • сохранение возможности управления процессом обработки и пользования информацией.

Задачи защиты информации:

  • предотвращение перехвата информации передаваемой по каналам связи, техническими средствами;

  • предотвращения утечки обрабатываемой информации за счет ПЭМИН и электроакустических преобразований;

  • исключения НСД к информации;

  • предотвращение специальных программно-технических воздействий, на информацию и СВТ;

  • выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации;

  • предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

Защита конфиденциальной информации - это деятельность собственника информации или уполномоченных им лиц по:

  • обеспечению своих прав на владение, распоряжение и управление защищаемой информацией;

  • предотвращению утечки и/или утраты информации;

  • охранению полноты, достоверности, целостности защищаемой информации;

  • сохранению конфиденциальности информации в соответствии с правилами, установленными законодательными и другими нормативными актами.

Организация защиты конфиденциальной информации

  • процесс и результат взаимного согласования разнородных мероприятий, методов, приемов и средств защиты информации, реализуемых в интересах её безопасности.

ОТВЕТСТВЕННОСТЬ за обеспечение требований по технической защите информации ограниченного доступа возлагается НА РУКОВОДИТЕЛЕЙ ОРГАНИЗАЦИЙ, эксплуатирующих объекты информатизации.

Организация работ по защите информации

  • руководители организаций, руководители подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию.

Методическое руководство и контроль за эффективностью предусмотренных мер защиты информации

  • руководители подразделений по защите информации (служб безопасности)организации.

Научно-техническое руководство и непосредственная организация работ по созданию (модернизации) СЗИ объекта информатизации

  • главный конструктор

  • другое должностное лицо, обеспечивающее научно- техническое руководство созданием ОИ.



Организация обеспечения безопасности ПДн - формирование совокупности осуществляемых на всех стадиях жизненного цикла ИСПДн согласованных по цели, задачам, месту и времени мероприятий, направленных на предотвращение и парирование угроз безопасности ПДн в ИСПДн, на восстановление нормального функционирования ИСПДн после нейтрализации угрозы, с целью минимизации как непосредственного, так и опосредованного ущерба от возможной реализации таких угроз.



Классификация УЩЕРБА в зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн

image2


Связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.



Непосредственный ущерб

  • Связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн.

  • Возникает за счет незаконного использования ПДн или за счет несанкционированной модификации этих данных.

  • Может проявляться в виде:

    • незапланированных и (или) непроизводительных финансовых или материальных затратах субъекта;

    • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;

    • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).

Порядок организации обеспечения безопасности персональных данных

  1. оценка обстановки

  2. обоснование требований по обеспечению безопасности

  3. формулирование задач защиты

  4. разработка замысла обеспечения безопасности

  5. выбор целесообразных способов (мер и средств) защиты в соответствии с задачами и замыслом защиты

  6. решение вопросов управления обеспечением безопасности и контроля эффективности защиты

  7. обеспечение реализации принятого замысла защиты

  8. планирование мероприятий по защите

  9. организация и проведение работ по созданию системы защиты персональных данных

  10. разработка документов, регламентирующих вопросы организации обеспечения безопасности и эксплуатации системы защиты персональных данных;

  11. развертывание и ввод в опытную эксплуатацию СЗПДн;

  12. доработка СЗПДн по результатам опытной эксплуатации.


Оценка обстановки

Комплексное обследование ИСПДн - основа оценки.

  • определение защищаемой информации

  • её категорирование по важности

Анализ информационных ресурсов

  • состав, содержание и местонахождение

  • категорирование информации

  • оценка выполнения обязанностей по обеспечению безопасности персональных данных оператором

Анализ уязвимых звеньев и возможных угроз безопасности ПДн

  • оценка возможности физического доступа

  • выявление возможных ТКУИ

  • анализ возможностей ПМВ

  • анализ возможностей электромагнитного воздействия



Основные угрозы:

  • уничтожение и хищение аппаратных средств и носителей

  • утечка информации по каналам ПЭМИН;

  • перехват при передаче по проводным линиям связи

  • хищение, модификация, блокирование информации за счет НСД с применением программно-аппаратных

  • электромагнитное воздействие на элементы ИСПДн

  • непреднамеренные действия пользователей

  • сбои в программном обеспечении

  • угрозы неатропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания)

  • угрозы стихийного характера

Оценка ущерба от реализации угроз

  • оценка непосредственного ущерба

  • оценка опосредованного ущерба

Анализ имеющихся в распоряжении мер и СрЗИ

  • от физического доступа

  • от утечки по техническим каналам утечки информации

  • от несанкционированного доступа

  • от программно-математических воздействий

  • от электромагнитных воздействий

Обоснование требований

Проводится в соответствии с:

  • нормативными и методическими документами ФСТЭК и ФСБ

  • и обязательными к применению стандартами

На основании

"Основных мероприятий по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах персональных данных"

Порядок формирования замысла

Определяются основные направления защиты

  • по подразделениям

  • по уязвимым звеньям

  • по категориям персональных данных

Выбираются способы защиты

  • по направления защиты

  • по актуальным угрозам

  • по возможности реализации с учетом затрат

Решаются основные вопросы управления защитой ПДн

  • организация охраны

  • организация служебной связи и сигнализации

  • организация взаимодействия

  • резервирование программного и аппаратного обеспечения

  • организация управления администрированием

Решаются основные вопросы обеспечения защиты ПДн

  • финансового

  • технического и программного

  • информационного

  • кадрового

Выбор способов обеспечения безопасности

  • Организационные меры

  • Технические средства защиты (сертифицированные)

Исполнители

  • подразделения по защите информации

  • отдельные специалисты, назначаемые руководством

  • сторонние организации, имеющие лицензии на право проведения соответствующих работ

Основные вопросы управления

  • распределение функций управления доступом к данным и их обработкой между должностными лицами

  • определение порядка изменения правил доступа к защищаемой информации

  • определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам

  • определение порядка действий должностных лиц в случае возникновения нештатных ситуаций организационные меры

  • определение порядка проведения контрольных мероприятий и действий по их результатам


Основные вопросы обеспечения

  • Подготовка кадров

  • Выделение необходимых материальных и финансовых средств

  • Закупка и разработка необходимого программного и аппаратного обеспечения


Обязательная документация

  • Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн.

  • Требования по обеспечению безопасности ПДн при обработке в ИСПДн.

  • Должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн.

  • Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

Основные мероприятия по организации и техническому обеспечению

  • мероприятия по организации обеспечения безопасности, включая классификацию ИСПДн

  • мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн:

    • размещение

    • специальное оборудование

    • охрана

    • организации режима допуска в помещения

    • закрытие технических каналов утечки информации

    • защита информации от НСД

    • определение порядка выбора средств защиты



Мероприятия по организации обеспечения безопасности персональных данных

Обязанности по реализации необходимых организационных и технических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также иных неправомерных действий, ВОЗЛАГАЮТСЯ НА ОПЕРАТОРА.

Может назначаться структурное подразделение или должностное лицо (работник), ответственный за обеспечение безопасности персональных данных.

Обеспечение безопасности реализуется в рамках СЗПДн



Состав системы защиты персональных данных

Структура, состав и основные функции системы защиты определяются исходя из класса ИСПДн

  • организационные меры;

  • технические средства защиты информации:

    • шифровальные (криптографические) средства;

    • средства предотвращения НСД;

    • средства предотвращения утечки информации по ТКУИ;

    • средства предотвращения программно-технических воздействий;

  • используемые в ИС информационные технологии.

Рекомендуемые стадии создания СЗПДн

Предпроектная стадия:

  • предпроектное обследование ИСПДн

  • разработка технического задания (ЧТЗ) на её создание

Стадия проектирования и реализации ИСПДн разработка СЗПДн в составе ИСПДн

Стадия ввода в действие СЗПДн:

  • опытная эксплуатация

  • приемо-сдаточные испытания средств защиты информации

  • оценка соответствия требованиям безопасности

  • устанавливается необходимость обработки информации

  • определяется перечень ПДн, подлежащих защите от НСД

  • определяются условия расположения ИСПДн относительно границ контролируемой зоны

  • определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент

  • функциональные и технологические связи внутри системы

Предпроектное обследование

  • определяются ТСС, предполагаемые к использованию

  • условия их расположения

  • определяются режимы обработки информации

  • определяется класс ИСПДн

  • уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой

  • определяются (уточняются) угрозы безопасности ПДн к конкретным условиям функционирования

  • разрабатывается частная модель угроз задаются

  • конкретные требования по обеспечению безопасности ПДн, включаемые в техническое задание (ЧТЗ) на разработку СЗПДн



По результатам предпроектного обследования на основе методического документа "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн" с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое задание (ЧТЗ) на разработку СЗПДн


Техническое задания на разработку СЗПДн

  • обоснование разработки СЗПДн

  • исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах

  • класс ИСПДн

  • ссылка на нормативные документы

  • конкретизация мероприятий и требований к СЗПДн

  • перечень предполагаемых к использованию сертифицированных средств защиты информации

  • обоснование проведения разработок собственных СрЗИ

  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн

Проектирование и создания ИСПДн

  • разработка задания и проекта на строительные, строительно-монтажные работы

  • разработка раздела технического проекта на ИСПДн в части защиты информации

  • строительно-монтажные работы в соответствии с проектной документацией;

  • использование серийно выпускаемых ТСПИ

  • разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями

  • использование сертифицированных технических, программных и программно-технических СрЗИ

  • разработка и реализация разрешительной системы доступа к информации

  • определение подразделений и назначение лиц, ответственных за эксплуатацию СрЗИ

  • разработка эксплуатационной документации


Ввод в действие ИСПДн

  • выполнение генерации пакета прикладных программ в комплексе с программными СрЗИ

  • опытная эксплуатация средств защиты информации

  • приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации

  • организация охраны и физической защиты помещений

  • оценка соответствия ИСПДн требованиям безопасности

Оценка соответствия

  • для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации;

  • для ИСПДн 3 класса - декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);

  • для ИСПДн 4 класса оценка соответствия проводится по решению оператора.


Условие доработки функционирующих ИСПДн

  • изменился состав или структура самой ИСПДн или технические особенности ее построения

  • изменился состав угроз безопасности ПДн в ИСПДн

  • изменился класс ИСПДн


Необходимость лицензирования

Операторы при проведении мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн 1, 2 КЛАССОВ и РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ 3 КЛАССА должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.


Подайте заявку сейчас на любой интересующий Вас курс переподготовки, чтобы получить диплом со скидкой 50% уже осенью 2017 года.


Выберите специальность, которую Вы хотите получить:

Обучение проходит дистанционно на сайте проекта "Инфоурок".
По итогам обучения слушателям выдаются печатные дипломы установленного образца.

ПЕРЕЙТИ В КАТАЛОГ КУРСОВ

Автор
Дата добавления 17.03.2016
Раздел Информатика
Подраздел Статьи
Просмотров225
Номер материала ДВ-534225
Получить свидетельство о публикации
Похожие материалы

Включите уведомления прямо сейчас и мы сразу сообщим Вам о важных новостях. Не волнуйтесь, мы будем отправлять только самое главное.
Специальное предложение
Вверх