Меры обеспечения безопасности при работе с персональными данными

Важная и полезная информация в статье: "Меры обеспечения безопасности при работе с персональными данными". В статье рассмотрена тематика с различных точек зрения, что позволяет сделать верные выводы. По всем вопросам вы можете обратиться к нашему дежурному специалисту.

3.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в испд

Для обеспечения безопасности персональных данных оператор ПД или уполномоченное лицо обязаны провести следующие мероприятия:

определить угрозы безопасности персональных данных при их обработке и построить модель угроз;

разработать на основе модели угроз системы защиты персональных данных, обеспечивающих нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установить и ввести в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;

обучить персонал работе со средствами защиты информации;

вести учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

вести учет лиц, допущенных к работе с персональными данными в информационной системе;

контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

разбирать и составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; осуществить разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

составить описание системы защиты персональных данных.

3.5. Основные принципы обеспечения безопасности персональных данных

При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

принцип максимальной дружественности и прозрачности;

принцип оптимальности и разумной разнородности;

принцип адекватности и непрерывности;

принцип доказательности и обязательности контроля;

принцип самозащиты и конфиденциальности самой системы защиты информации;

принцип многоуровневости и равнопрочности;

принцип простоты применения и апробированности защиты;

принцип преемственности и совершенствования;

принцип персональной ответственности и минимизации привилегий для пользователей всех уровней.

Принцип законности. Проведение защитных мероприятий должно быть согласовано с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.

Принцип максимальной дружественности и прозрачности. Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.

Принцип превентивности. Меры по защите информации и внедряемые СЗИ должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления.

Принцип оптимальности и разумной разнородности. Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.

Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Безопасность информации в государственных информационных системах должна обеспечиваться непрерывно в течение всего жизненного цикла систем.

Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации.

Принцип доказательности и обязательности контроля. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

Принцип самозащиты и конфиденциальности самой системы защиты информации.

Принцип многоуровневости и равнопрочности. ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом). Защита должна строиться эшелонировано, и иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы.

Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушениям правил их использования. По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования.

Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования ИС.

Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных. Система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями[13].

Организационные меры защиты персональных данных

Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации.

Организационные меры по защите персональных данных включают в себя:

· разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):

o Положение об обработке персональных данных;

o Положение по защите персональных данных;

o Регламент взаимодействия с субъектами персональных данных;

o Регламент взаимодействия при передаче персональных данных третьим лицам;

o Инструкции администраторов безопасности персональных данных;

o Инструкции пользователей по работе с персональными данными;

· перечень мероприятий по защите персональных данных:

o определение круга лиц, допущенного к обработке персональных данных;

o организация доступа в помещения, где осуществляется обработка ПДн;

o разработка должностных инструкций по работе с персональными данными;

o установление персональной ответственности за нарушения правил обработки ПДн;

o определение продолжительности хранения ПДн и т.д.

Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.

Читайте так же:  Апелляционная жалоба на решение районного суда по гражданскому делу образец

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Учись учиться, не учась! 10200 —

| 7795 — или читать все.

Что такое система защиты персональных данных? Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных.

Это комплекс мероприятий технического, организационного и организационно-технического характера; он предполагает возможность избежать злоупотреблений личными сведениями, предотвратить использование мошеннических схем в Интернете, которые представляют угрозу законным правам и интересам личности.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

    Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

Подписание соглашений с третьими лицами, которые участвуют в обработке информации.

Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

    • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
    • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

    Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

    Пошаговая инструкция по разработке СЗПД

    Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

    Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

    Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

    Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Основные принципы обеспечения безопасности персональных данных

    Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПД

    Для обеспечения безопасности персональных данных оператор ПД или уполномоченное лицо обязаны провести следующие мероприятия:

    При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

    Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями и минимизацию привилегий, позволяя, в случае любого нарушения, определить круг виновных.

    Не нашли то, что искали? Воспользуйтесь поиском:

    Практика. Создание системы защиты персональных данных

    Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

    [2]

    Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

    Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

    Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

    1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
    2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
    3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
    4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
    5. Разработка технического задания на создание системы защиты персональных данных.
    6. Приобретение средств защиты информации.
    7. Внедрение системы защиты персональных данных.
    8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.
    Читайте так же:  Заявление на увольнение с выходом пенсию

    Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

    Обеспечьте защиту персональных данных в вашей компании

    Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

    Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

    В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

    В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

    Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

    Модель угроз безопасности ПДн: пример

    Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

    * Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

    Основными источниками угроз в данном случае будут выступать:

    • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
    • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

    Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

    Определение уровня защищенности ПДн

    В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

    Построение системы защиты персональных данных

    В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

    Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

    Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

    ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

    Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

    Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

    Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

    Рекомендации по защите персональных данных

    Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

    Меры обеспечения безопасности при работе с персональными данными

    Меры по защите персональных данных сотрудников

    Видео удалено.
    Видео (кликните для воспроизведения).

    Вот как может выглядеть их список: • утверждение требований к помещению, где хранятся персональные данные. Передача персональных данных третьим лицам Какие контрольные органы вправе затребовать персональные данные Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях. До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.

    Камнем преткновения является формулировка «адекватная защита», так как критерии адекватности нигде не определяются, при этом здравый смысл подсказывает, что адекватной можно считать защиту, которая соответствует российскому законодательству.

    Организация защиты персональный данных в организации по ФЗ № 152-ФЗ — О персональных данных

    наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных.

    Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.

    Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».

    New Media Edu

    12. Приказ о вводе в эксплуатацию информационной системы персональных данных, заключение о вводе в эксплуатацию информационной системы персональных данных. Пример. 13. Журнал учета носителей информации информационной системы персональных данных.

    14. Журнал учета мероприятий по контролю обеспечения защиты персональных данных. Журнал можно сделать в виде таблицы и записывать туда проводимые мероприятия.

    Пример. 15. План проведения внутренних проверок состояния защиты ПД.

    Читайте так же:  Как подать жалобу на сервис в билайн

    Меры обеспечения безопасности при работе с персональными данными

    Эти средства применяются для решения следующих задач: охрана территории учреждения и наблюдение за ней; охрана зданий, внутренних помещений и контроль за ними; осуществление контролируемого доступа в здания и помещения, в которых осуществляется обработка персональных данных.

    Меры по обеспечению безопасности персональных данных при их обработке

    Например, должностная инструкция педагога-психолога в образовательном учреждении и психологана предприятии. Психолог также должен руководствоваться документами, регламентирующими его рабочее время, которое может приобретать некоторые особенности в зависимости от сферы деятельности, например, в образовательных учреждениях.

    Защита персональных данных

    Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК). В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме.

    Меры по защите персональных даных сотрудников

    № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности? Данный вопрос не раскрыт ни в ФЗ-152, ни в постановлении Правительства РФ № 1119.

    Работа с персональными данными

    Меры обеспечения безопасности при работе с персональными данными

    По результатам проверок Роскомнадзора видно, что численность правонарушений в сфере защиты личных данных возрастает, и, следовательно, увеличивается количество штрафов предписанных операторам.

    Ниже перечислены самые распространенные нарушения операторов по отношению к персональным данным (ПДн).

    1. Сведения, которые указаны в документах об обработке ПДн не соответствуют.
    2. Не дано согласия субъекта ПД на обработку ПДн.

    Рассмотрим новые пункты, внесенные в закон о защите персональных данных.

    1. Обработка должна осуществляться по закону и справедливой основе.
    2. Обрабатываемые ПДн должны быть конкретны.
    3. Обрабатываемые ПДн должны быть краткими.
    4. Оператор должен удалять или уточнять неполные или неточные данные.

    Ниже перечислены пункты, в которых рассматривается передача ПДн оператора другому лицу.

    Заниматься разработкой обязательных мер для гос.

    Меры обеспечения безопасности при работе с персональными данными

    Меры обеспечения безопасности при работе с персональными данными

    Меры по защите персональных данных сотрудников

    Вот как может выглядеть их список: • утверждение требований к помещению, где хранятся персональные данные. Передача персональных данных третьим лицам Какие контрольные органы вправе затребовать персональные данные Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях. До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.

    Меры обеспечения безопасности при работе с персональными данными

    Можно выделить следующие главные составные части доступа этого вида: · доступ к персональному компьютеру, серверу или рабочей станции; · доступ к машинным носителям информации, хранящимся вне ПК; · непосредственный доступ к базам данных и файлам. Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает: · определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи; · организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них; · организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений; · организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

    Список мер по обеспечению безопасности персональных данных

    Федеральный закон «О персональных данных» от 26 января 2007г., № 152-ФЗ. 2. Федеральный закон

    «Об информации, информационных технологиях и о защите информации»

    от 27 июля 2006 г. № 149-ФЗ. 3.Конституция Российской Федерации.

    4.Федеральный закон от 19.12.2005 №160-ФЗ

    «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

    7.Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных

    Работа с персональными данными

    Защита персональных данных работника работодателем за свой счет.

    Для этого следует заглянуть в соответствующие статьи Трудового кодекса и учесть при этом профессию работника и вид деятельности работодателя.

    Примечание. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Специальные персональные данные — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

    Меры по защите персональных даных сотрудников

    Вот как может выглядеть их список: • утверждение требований к помещению, где хранятся персональные данные.

    Если ваша компания осуществляет передачу персональных данных в другую страну, то возникает проблема защиты персональных данных при их трансграничных перемещениях.

    До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов персональных данных.

    New Media Edu

    Приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных (для организаций).

    4. Перечень персональных данных, подлежащих защите в информационных системах. Пример. Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» 5.

    Приказ об утверждении мест хранения персональных данных. Если вы храните персональные данные на материальных носителях, необходимо утвердить места хранения.

    Пример. 6. Перечень помещений, в которых ведется обработка персональных данных.

    Меры обеспечения безопасности при работе с персональными данными

    Меры по обеспечению безопасности персональных данных при их обработке” Статья 19.

    Физические средства — различные инженерные сооружения, препятствующие проникновению злоумышленников на объекты защиты. Эти средства применяются для решения следующих задач: охрана территории учреждения и наблюдение за ней; охрана зданий, внутренних помещений и контроль за ними; осуществление контролируемого доступа в здания и помещения, в которых осуществляется обработка персональных данных.

    Меры обеспечения безопасности при работе с персональными данными

    Наименование оператора / Фамилия, имя, отчество оператора: Публичное акционерное общество «Челябэнергосбыт» (сокращенное — ПАО «Челябэнергосбыт»); Российская Федерация, 454091, г.

    Челябинск, ул. Российская, д. 260. ИНН 7451213318; ОГРН 1057423505732, 21.10.2005; ОКВЭД .

    ; ОКПО 74225849; ОКФС 41; ОКОГУ 41002; ОКОПФ 47. Если есть филиалы (в другом регионе), то указать — Новосибирский ф-л ПАО «Челябэнергосбыт», Российская Федерация, 630014, г. Новосибирск, ул. Кирова, 10, Ф.И.О.

    руководителя, тлф., ИНН, ОГРН, дата присвоения ОГРН, ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ. 6. Описание мер, по обеспечению безопасности персональных данных, которые оператор обязуется осуществлять при их обработке: Организационные меры : разграничение прав доступа сотрудников к базе персональных данных; наличие положения и инструкций об обработке персональных данных.

    Читайте так же:  Как расставить смеситель в торговом зале

    Защита персональных данных

    Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК).

    В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме.

    19. Основные методы и способы защиты информации в испДн для различных классов этих систем.

    ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

    от 18 февраля 2013 г. N 21

    ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

    В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818), ПРИКАЗЫВАЮ:

    1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

    2. Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).

    II Состав и содержание мер по обеспечению безопасности персональных данных

    8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

    идентификация и аутентификация субъектов доступа и объектов доступа;

    управление доступом субъектов доступа к объектам доступа;

    ограничение программной среды;

    защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);

    регистрация событий безопасности;

    обнаружение (предотвращение) вторжений;

    контроль (анализ) защищенности персональных данных;

    обеспечение целостности информационной системы и персональных данных;

    обеспечение доступности персональных данных;

    защита среды виртуализации;

    защита технических средств;

    защита информационной системы, ее средств, систем связи и передачи данных;

    выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;

    управление конфигурацией информационной системы и системы защиты персональных данных.

    Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.

    8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

    8.2. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

    8.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

    8.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.

    8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

    [1]

    8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

    8.7. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

    8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

    8.9. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

    8.10. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

    8.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

    8.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее — средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

    Читайте так же:  Может ли проводник поезда воспользоваться паспортными данными

    8.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

    8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

    8.15. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

    9. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:

    определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;

    адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно­-функциональными характеристиками, не свойственными информационной системе);

    уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;

    дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.

    10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

    В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

    11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:

    проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;

    тестирование информационной системы на проникновения;

    использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

    12. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

    а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:

    средства вычислительной техники не ниже 5 класса;

    системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;

    межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-­телекоммуникационными сетями международного информационного обмена;

    б) для обеспечения 3 уровня защищенности персональных данных применяются:

    средства вычислительной техники не ниже 5 класса;

    системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

    межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно­-телекоммуникационными сетями международного информационного обмена;

    в) для обеспечения 4 уровня защищенности персональных данных применяются: .

    [3]

    средства вычислительной техники не ниже 6 класса;

    системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

    межсетевые экраны 5 класса.

    Видео удалено.
    Видео (кликните для воспроизведения).

    Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых кактуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

    13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа.

    Источники


    1. Терехова, Ю. К. Корпоративный юрист. Правовое сопровождение предприятия. Практическое пособие / Ю.К. Терехова. — М.: Дашков и Ко, Вест Кей, 2015. — 222 c.

    2. Общая теория государства и права. Учебник. В 3 томах. Том 3. — М.: Зерцало-М, 2002. — 528 c.

    3. Профессиональная этика сотрудников правоохранительных органов; Щит-М — М., 2011. — 384 c.
    4. Наумов, С.Г. Доверенность: часто задаваемые вопросы, образцы документов; М.: Юрайт, 2011. — 169 c.
    Меры обеспечения безопасности при работе с персональными данными
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here