Система защиты персональных данных: что это такое, какие средства и уровни безопасности существуют, а также мероприятия и работы, проводимые в организациях

Ликбез по персональным данным

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Постановление Правительства № 1119 от 1 ноября 2012

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Система защиты персональных данных: что это такое, какие средства и уровни безопасности существуют, а также мероприятия и работы, проводимые в организациях

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

менее 100 000 субъектов;
более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы…

И наконец, типы актуальных угроз:

угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Источник: https://data-sec.ru/personal-data/protection-level/

Организация защиты данных, организация работ и системы защиты информации

Группа компаний «Интегрус» организует защиту данных в части алгоритмов сбора, обработки, хранения информации.

Наши специалисты повысят уровень безопасности, предупредят несанкционированное проникновение в электронные базы данных, снизят репутационные риски, помогут избежать штрафных санкций, административной, дисциплинарной, имущественной ответственности, предусмотренной Федеральным законом №152-ФЗ «О персональных данных».

Организация защиты персональных данных

Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:

оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
соответствии паролей международным стандартам;
отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.

Организация защиты конфиденциальных данных включает работу с персоналом. Это обусловлено тем, что в 80% случаев именно работники становятся инициаторами проникновения вредоносных программ в систему. Такое происходит без злого умысла со стороны сотрудника. Проникают вирусы следующим образом:

с обновлениями ПО;
через письма, приходящие на электронную почту;
при переходе по ссылкам;
через съемные носители информации.

Организация работ по защите персональных данных основывается, в том числе и на работе с персоналом. Составляются инструкции и политики обязательные для ознакомления, проводятся занятия в режиме реального времени.

Мы поможем создать и наладить работу организации по защите персональных данных в организации. Это повысит безопасность, эффективность противодействий попыткам несанкционированного проникновения в системы для кражи информации. Квалифицированные сотрудники подразделения следят за выполнением политики конфиденциальности, предупреждают несанкционированные проникновения в систему третьих лиц.

Организация защиты информационной системы персональных данных требует комплексного подхода, основывается на работе над аппаратной, программной составляющей и обучении персонала. Только так возможно создать эффективное противодействие виртуальным угрозам, обезопасить информацию от утечки.

Система и мероприятия по организации защиты данных

Наша задача – обеспечить сохранность данных, исключить потерю доступа к ним ответственных лиц, предотвратить проникновение третьих лиц. Мероприятия по защите персональных данных в организации включают организацию:

автоматического тайм-аута пользовательского терминала. Если он не используется, для повторного открытия требуется идентификация и пароль;
автоматического отключения идентификатора пользователя при вводе нескольких ошибочных паролей, файл журнала событий (мониторинг попыток взлома);
системы защиты данных в организации требуют разработки политики персонала. В ней определяются права каждого сотрудника на доступ к персональным данным;
информирования персонала об обязанностях и последствиях за любые их нарушения. Обеспечение сотрудникам доступа к персональным данным и ресурсам в рамках выполнения служебных обязанностей;
контроля доступа для использования определенных областей систем обработки данных.

План мероприятий по защите персональных данных в организации составляется на основе анализа имеющихся ресурсов и целей, которые ставит перед нашими специалистами заказчик. Затем он согласуется с клиентом, начинается реализация. Завершающая стадия – проверка эффективности, работоспособности внедренных алгоритмов, установленного оборудования.

Системы защиты информации в организации это не только виртуальная, но и физическая защита. Это означает необходимость ограничения доступа в помещения, где размещается серверное оборудование (установка сигнализации, СКУД, оборудование постов охраны). Если организация использует облачные технологии, поможем найти надежного провайдера.

Положение о защите персональных данных

Согласно 152-ФЗ работодатель обязан обеспечить защиту персональных данных сотрудников. В противном случае Роскомнадзор вправе наложить на предприятие, ответственных за работу с информацией лиц штрафные санкции.

Это штраф, запрет занимать определенные должности или лишение свободы.

Положение о защите персональных данных работников организации снизит риск наложения штрафов на предприятия, компании, должностных лиц, ответственных за сбор, обработку информации.

Важно!

Запрещается получать и работать с данными, которые не относятся к трудовой деятельности. Персональные данные – это любая информация о сотруднике (ФИО, место жительства, информация о родственниках). Законодательство требует от работодателей иметь и использовать положение о сборе и работе с подобного рода данными.

Разработка положения об обработке и защите персональных данных в организации включает следующие этапы:

определение, какие данные используются;
способы сбора;
методы обработки;
правила хранения.

Наши специалисты разработают положение в соответствии с поставленными задачами, оформят в соответствии с действующими нормами.

Назначение ответственных за организацию защиты данных

Согласно 152-ФЗ, компания, что осуществляет работу с персональными данными, должна иметь ответственное за это лицо. Квалификационных требований к такому сотруднику законодательство не содержит, поэтому владелец компании, предприятия или уполномоченное им лицо выбирает кандидатуру самостоятельно.

Зачастую приказ о назначении ответственных за организацию защиты персональных данных составляется на специалиста, который работает с кадровой документацией или клиентской базой. Сотрудник, согласно законодательству, подчиняется напрямую руководителю предприятия, организации.

Независимо от того, кто отвечает за защиту персональных данных в организации, это должен быть подготовленный человек. Подразумевается как теоретическая, так и практическая подготовка. Наши специалисты проведут обучение, выбранного работодателем сотрудника (или нескольких) для организации работы с персональными данными в рамках законодательства, утвержденных внутренних положений.

Организация обработки и защиты персональных данных нашей компанией – это оперативная, профессиональная работа. Клиенту гарантируется результат, эффективное решение поставленных задач.

Источник: https://integrus.ru/blog/it-decisions/organizatsiya-obrabotki-zashhity-dannyh-na-predpriyatii.html

Меры по обеспечению защиты персональных данных в организации | Организация защиты персональный данных в организации по ФЗ №152-ФЗ "О персональных данных"

Любая организация, занимающаяся работой с персональными данными (ПД) и их передачей, считается оператором ПД. Операторы ПД должны руководствоваться в своей деятельности законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и другими правовыми нормами.

Оператор должен пройти регистрацию в Реестре операторов ПД в Роскомнадзоре на официальном сайте регулятора и указать, с какой целью он применяет собранные и запрашиваемые ПД. Если использование ПД служащих предусмотрено трудовым законодательством, то организация имеет право работать с ними без извещения Роскомнадзора.

Обязанностью оператора является принятие необходимых мер для защиты ПД от несанкционированного использования: фальсификации, копирования, удаления, блокировки, распространения и других противозаконных действий.

Регламентация содержания ПД, связанных с трудовой деятельностью

В ПД входят практически все сведения о человеке. Содержание ПД определяется самими операторами. Но имеют место случаи, когда их содержание четко регламентируется нормативно-правовыми актами, и отступление от этих требований является незаконным. На любом предприятии в форму учета кадров заносятся следующие сведения (персональные данные) о каждом работнике:

ФИО;
информация о дате рождения;
гражданство;
СНИЛС;
индивидуальный налоговый номер;
владение иностранными языками;
полученное образование;
приобретенные профессии, специальности;
сведения о составе семьи;
место проживания;
контакты;
отношение к военной обязанности;
трудовая деятельность.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

допуск к ПД работников только строго определенного внутренними документами круга лиц, которым эти сведения необходимы для выполнения своих обязанностей, предусмотренных для занимаемой должности;
назначение ответственного служащего, который следит за выполнением правовых норм в области защиты ПД;
создание списка документации, в которой содержатся ПД;
выпуск регламентирующей документации по защите ПД для внутреннего пользования и контроль за соблюдением правил;
ознакомление служащих, обрабатывающих персональные данные, с правовыми нормами по их защите и внутренними регламентирующими документами;
периодическая проверка осведомленности служащих по этим вопросам и контролирование выполнения ими нормативных актов по защите конфиденциальных данных;
рабочие места должны быть размещены таким образом, чтобы посторонние лица не могли видеть конфиденциальные сведения;
создание препятствий для воздействия на техсредства, осуществляющие автоматизированную обработку ПД, в результате которого может нарушиться их работа;
формирование списка лиц, имеющих право находиться в кабинетах с персональными данными;
описание процедуры удаления неиспользуемой информации;
своевременное выявление и устранение нарушений норм защиты ПД;
проведение профилактических мероприятий по недопущению разглашения сотрудниками обрабатываемых личных данных.

Внешняя защита ПД предполагает следующие действия:

пропускной режим;
соблюдение установленных правил приема посетителей и их учета;
использование приборов для охраны;
программная защита данных.

Информационные системы персональных данных (ИСПД)

Информационные системы персональных данных – это функционирующий набор информационных, аппаратных и программных составляющих.

В состав ИСПД входят:

обрабатываемые ПД;
технология работы с информацией средствами вычислительной техники;
техсредства и приспособления (серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. п.);
средства защиты информации.

Защитные мероприятия при работе в ИСПД

Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите:

определение актуальных угроз безопасности;
формирование моделей угроз;
разработка систем защиты ПДн (СЗПДн);
проверка работоспособности средств защиты информации (СЗИ);
заключение о пригодности к эксплуатации;
установка и ввод в эксплуатацию СЗИ;
обучение сотрудников работе с СЗИ;
контроль работы СЗИ;
оформление техдокументации;
определение круга сотрудников, допущенных к работе с ИСПД;
при обнаружении нарушения условий хранения носителей ПД – проведение расследования и составление заключения;
принятие мер по ликвидации последствий этих нарушений;
обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска;
проведение мероприятий по недопустимости утечки информации по техническим каналам.

Защита ПД от несанкционированного доступа

Средствами защиты от несанкционированного доступа служат их подсистемы:

управление доступом к ПД, регистрация и учет всех действий с этими данными;
обеспечение целостности персональной информации;
применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак;
создание межсетевого экрана;
анализ защищенности и принятие мер по ее усилению;
обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом – это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему.

Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Базовой платформой построения ИСПД может выступать сетевая ОС Microsoft Windows Server (Standard Edition и Enterprise Edition), которая сертифицирована ФСТЭК России и ФСБ.

Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ. В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты.

Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов.

Для подсистемы анализа можно использовать сетевой сканер безопасности Xspider фирмы Positive Technologies, сертифицированный ФСТЭК России. Для подсистемы обнаружения вторжений специалисты рекомендуют продукт Cisco Intrusion Detection System, сертифицированный ФСТЭК.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите. Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации

Как документально оформить защиту персональных данных

Исходя из практической целесообразности, можно издать следующие документы:

положение о ПД;
список служащих, работающих с персональными данными;
приказ об утверждении работника, отвечающего за работу с персональными данными;
положение о мерах по ЗПД;
инструкцию о служебном расследовании фактов разглашения личных данных работников;
инструктаж по ЗПД;
журнал антивирусных проверок;
журнал контроля использования ПД для служебной необходимости.

Передача персональных данных третьим лицам

Чтобы обеспечить соблюдение норм закона о получении согласия физического лица на обработку и передачу ПД, можно оформить коллективный договор со служащими, в котором перечислить всех третьих лиц с указанием наименований, адресов, срока использования данных. Все работники организации должны этот договор подписать.

Необходимо знать, что законодательство РФ предусматривает передачу персональных данных судебным органам и другим правоохранительным инстанциям без необходимости получения согласия на эти действия.

Время хранения персональных данных

С персональных данных конфиденциальность снимается через 75 лет, если происходит их обезличивание, или по требованию закона. Когда ПД больше не нужны оператору, они должны быть уничтожены на протяжении пяти лет или сданы в архив.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/mery-po-obespecheniyu-zashchity-personalnyh-dannyh-v-organizacii/

Что такое защита данных

Для сохранности конфиденциальной информации организациями используется система защиты персональных данных. В статье рассказано, что это такое, какие средства и уровни безопасности существуют, а также о проводимых мероприятиях и разработке СЗПД.

Что это такое?

Постановление Правительства РФ от N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» предъявляет особые требования к информсистемам, содержащим персональные данные, и предполагает создание особых средств и систем защиты информации.

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.
Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.
Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.
Подписание соглашений с третьими лицами, которые участвуют в обработке информации.
Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.
Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.
Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.

Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

Из наших специальных публикаций вы также сможете узнать о том, что такое политика защиты и обработки ПД, а также какие уполномоченные органы по защите прав субъектов персональных данных существуют.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от года, Правительство РФ устанавливает 4 уровня защищенности:

УЗ-1 – максимальный.
УЗ-2 – высокий.
УЗ-3 – средний.
УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от N 1119.

Важно! Контролировать выполнение требований по защищенности информации, оператор может самостоятельно либо привлечь лицензированную организацию, которая специализируется на создании и реализации СЗПД.

Вопросы и ответы

Использованные источники информации.

https://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/sistema-zpd.html

Источник: https://yurist21.ru/chto-takoe-zaschita-dannyh.html

3.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в испд

Для
обеспечения безопасности персональных
данных оператор ПД или уполномоченное
лицо обязаны провести следующие
мероприятия:

определить угрозы безопасности персональных данных при их обработке и построить модель угроз;
разработать на основе модели угроз системы защиты персональных данных, обеспечивающих нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
установить и ввести в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;
обучить персонал работе со средствами защиты информации;
вести учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
вести учет лиц, допущенных к работе с персональными данными в информационной системе;
контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
разбирать и составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; осуществить разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
составить описание системы защиты персональных данных.

При
построении системы защиты персональных
данных оператор ПД должен руководствоваться
следующими принципами:

принцип законности;
принцип максимальной дружественности и прозрачности;
принцип превентивности;
принцип оптимальности и разумной разнородности;
принцип адекватности и непрерывности;
принцип адаптивности;
принцип доказательности и обязательности контроля;
принцип самозащиты и конфиденциальности самой системы защиты информации;
принцип многоуровневости и равнопрочности;
принцип простоты применения и апробированности защиты;
принцип преемственности и совершенствования;
принцип персональной ответственности и минимизации привилегий для пользователей всех уровней.

Принцип законности. Проведение защитных мероприятий должно быть согласовано с действующим законодательством в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.
Принцип максимальной дружественности и прозрачности. Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу ИС, так как меры по защите информации всегда налагают ограничения на работу организационного и технического характера. Поэтому принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой ИС, а также должны быть понятны и оправданы для пользователей.
Принцип превентивности. Меры по защите информации и внедряемые СЗИ должны быть нацелены, прежде всего, на недопущение (пресечение) реализации угроз безопасности информации, а не на устранение последствий их проявления.
Принцип оптимальности и разумной разнородности. Для сокращения расходов на создание систем обеспечения безопасности должен осуществляться оптимальный выбор соотношения между различными методами и способами противодействия угрозам безопасности информации. Дополнительно внедряемые средства защиты должны дублировать основные функции защиты, уже используемые в программно-аппаратной среде ИС, и по возможности иметь другое происхождение, чем сама эта среда, что позволяет существенно затруднить процесс преодоления защиты за счет иной логики построения защиты.
Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть дифференцированы в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности. Безопасность информации в государственных информационных системах должна обеспечиваться непрерывно в течение всего жизненного цикла систем.
Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации.
Принцип доказательности и обязательности контроля. Должны реализовываться организационные меры внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.
Принцип самозащиты и конфиденциальности самой системы защиты информации.
Принцип многоуровневости и равнопрочности. ИС должна реализовывать защиту информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом). Защита должна строиться эшелонировано, и иметь несколько последовательных рубежей таким образом, чтобы наиболее важная зона безопасности находилась внутри других зон. Все рубежи защиты должны быть равнопрочными к возможности реализации угрозы.
Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушениям правил их использования. По той же причине целесообразно использовать средства защиты информации, допускающие возможность централизованного администрирования.
Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования ИС.
Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных. Система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями[13].

Источник: https://studfile.net/preview/6802020/page:4/

Методы и средства защиты персональных данных

УДК 34

Юридические науки

Сыргашева Татьяна Николаевна

Ключевые слова: ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ; СРЕДСТВА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ; МЕТОДЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ; PERSONAL DATA PROTECTION; MEANS OF PERSONAL DATA PROTECTION; METHODS OF PERSONAL DATA PROTECTION.

Аннотация: В статье автор анализирует физические, аппаратные, программные, организационные классы методов защиты персональных данных, делает вывод о том, что каждой группе методов присущи определенные средства защиты персональных данных.

В последнее десятилетие в Российской Федерации происходит активное внедрение системы защиты персональных данных в государственных органах и коммерческих организациях, совершенствуются методы и, соответственно, способы защиты персональных данных физических лиц с целью сохранения их конфиденциального характера [1].
Обработка персональных данных в Российской Федерации осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 [2].
Средства защиты персональных данных выбираются оператором в соответствии с правовыми актами, исходящими от Федеральной службы безопасности Российской Федерации, а также от Федеральной службы по техническому и экспортному контролю.
Обработка персональных данных осуществляется техническими средствами, поэтому безопасность персональных данных может быть достигнута только в том случае, если будет исключена возможность несанкционированного доступа к информационной системе, в которой обрабатываются персональные данные.

Как правило, выделяют четыре класса методов защиты персональных данных в информационных системах. Во-первых, физические методы, во-вторых, аппаратные, в-третьих, программные, наконец, в-четвертых, организационные.

На организационном уровне защита персональных данных происходит посредством разработки и внедрения соответствующих нормативно-правовых актов, проведения организационно-технических мероприятий.

Физическая защита осуществляется за счет таких средств как служба охраны, система защиты окон и дверей, лазерные и оптические системы, которые реагируют на пересечение злоумышленником световых лучей. То есть физические методы защиты подразумевают под собой физическое преграждение доступа к персональным данным.

Аппаратные методы защиты возможно реализовать при помощи специальных устройств. К таким средствам можно отнести различные схемы блокировки от несанкционированного использования персональных данных. Аппаратные средства применяются в составе ЭВМ.

Наконец, программная защита осуществляется при помощи программ, к которым можно отнести операционную систему, антивирусы, специальные программы защиты и прочие.

Пожалуй, именно аппаратно-программные средства защиты персональных данных в наибольшей степени позволяют защищать персональные данные от несанкционированного доступа к ним.

Аппаратно-программная защита достигается применением таких способов защиты как:
1. Защита от несанкционированного использования персональных данных со стороны пользователей и программ, в том числе и при наличии доступов.
2. Защита от некорректного использования имеющихся ресурсов.

3. Высокая степень качества используемых аппаратно-программных средств.

Источник: http://novaum.ru/public/p1041

Создание системы защиты персональных данных

Создание системы защиты персональных данных (СЗПДн) — это комплекс мер технического и организационного характера, направленных на защиту сведений, отнесенных в соответствии с Федеральным Законом от 27 июля 2006 г. N 152-ФЗ к персональным данным.

Каждая компания, обрабатывающая персональные данные, заинтересована в обеспечении безопасности их обработки. Необходимость построения систем защиты признают в равной степени и коммерческие организации, и государственные структуры.

На основании уже реализованных проектов по внедрению СЗПДн, можно выделить следующие преимущества:

Во-первых, это минимизация правовых и репутационных рисков, связанных с несоблюдением существующего законодательства в области персональных данных.

Во-вторых, грамотно построенная система защиты обеспечивает сохранность при обработке персональных данных клиентов и работников, что особенно важно при работе с частными лицами и информацией для служебного пользования. К наиболее распространенным угрозам, которые нейтрализует СЗПДн, относятся воздействия вредоносных программ и воровство клиентских баз бывшими сотрудниками.

В-третьих, обеспечение конфиденциальности персональных данных в компании положительно сказывается на ее имидже, повышая доверие у клиентов и партнеров.

Многие компании при заключении партнерских отношений придают высокое значение мерам защиты информации, принятым в компаниях-контрагентах. Нередко одним из условий договора или тендера является документированное соответствие системы защиты персональных данных требованиям нормативных актов.

Система защиты персональных данных является средством поддержания непрерывности бизнеса, позволяющее компаниям продолжать свою деятельность, не опасаясь претензий со стороны клиентов, сотрудников и регулирующих органов.

Создание системы защиты персональных данных состоит из трех стадий, которые выполняются в несколько этапов:

	СТАДИЯ1
Предпроектное обследование позволяет получить актуальную информацию процессах обработки и защиты персональных данных в компании, а также провести анализ соответствия имеющихся документов и мероприятий, проводимых в компании, нормативной базе в области защиты персональных данных.

Данный документ позволяет оценить варианты реализации проекта, установить отправные точки и ограничения внедрения проекта, проблемные вопросы и описания предлагаемых решений, а также перечень и стоимость предполагаемых к использованию технических и программных средств защиты информации.

Определяется тип угроз безопасности персональных данных, актуальных для информационной системы, а также состав персональных данных и количество субъектов персональных данных. На основании этой информации определяется уровень защищенности персональных данных.

Документ содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Эти угрозы могут быть обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций, а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных, которое ведет к ущербу жизненно важным интересам Общества, субъектов ПДн и государства.

Частное техническое задание на создание системы защиты персональных данных для информационной системы, обрабатывающей персональные данные, определяет назначение, цели создания системы, требования к основным видам технического и организационного обеспечения, порядок разработки и внедрения СЗПДн.

Целью работы является разработка технического проекта на систему защиты информационных систем, обрабатывающих персональные данные, с учетом требований нормативных документов по защите персональных данных.

Комплект организационно-распорядительных документов, регламентирующих процессы обработки и защиты ПДн состоит из нескольких десятков документов, наличие которых требуется для приведения процессов организации обработки и защиты персональных данных в соответствие с действующим законодательством.
	СТАДИЯ2
Поставка средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.

Установка и настройка средств защиты информации с условием обеспечения корректности функционирования информационной системы персональных данных и совместимостью выбранных средств защиты информации с программным обеспечением и техническими средствами информационной системы персональных данных.
	СТАДИЯ3
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных производится до ввода в эксплуатацию информационной системы персональных данных. Указанная оценка проводится не реже одного раза в 3 года. Проводится для коммерческих организаций
Аттестация информационной системы включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям безопасности информации. Проводится для государственных организаций.

Источник: http://www.ispdn.info/services/sozdanie-sistemy-zashchity-personalnykh-dannykh/

Техническая защита персональных данных

Технические меры защиты информации предполагают использование программно — аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

Технические средства защиты информации делятся на два основных класса:

· средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);

· средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:
· для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;
· требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
· на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
· далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);

· аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.

В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных» нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.

Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:
· временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;
· поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;
· выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.
Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.

Тема 1.6. Технология электронного документооборота.

Первые системы электронного документооборота(СЭД) состояли из трех частей: системы управления документами, системы массового ввода бумажных документов, системы автоматизации деловых процессов.

Система управления документами обеспечивает интеграцию с приложениями, хранение данных на разных устройствах, распределенную обработку данных, поиск, индексацию электронных документов, коллективную работу с электронными документами.

Разнообразие электронных документов на предприятии порождают используемые приложения: общего назначения (word, excel, access и др.) и предметные (бухгалтерский учет, расчеты с поставщиками, финансовый анализ и др.).

Интеграция с ними осуществляется на уровне операций с файлами, то есть операции приложения — открытие, закрытие, создание, сохранение и другие — замещаются соответствующими операциями системы управления документами. Интеграция выполняется автоматически.

Ее достоинство в том, что сохраняются принятые в организации виды документов.

Следующей задачей является обеспечение хранения электронных документов на разных носителях(серверах, оптических дисках, библиотеках-автоматах и т.д.).

К тому же надо обеспечить быстрый поиск и доступ к различным устройствам хранения информации, чтобы факторы доступности и стоимости хранения всегда были в оптимальном соотношении в зависимости от важности и актуальности информации.

Для этого используют технологии информационных хранилищ HSM и Data Migration — автоматической миграции документов.

Для обеспечения распределенной обработки данныхв режиме реального времени (on-line) можно по сети посредством запросов, объединенных в транзакции, получить данные из информационного хранилища.

Можно посредством Web-сервера предприятия подсоединиться к интернет и тем самым получить доступ к удаленным данным. Можно в почтовом режиме (off-line) по электронной почте послать запрос в информационное хранилище, задав критерии выбора данных.

По этим критериям будет сформирован список документов и переправлен пользователю. Этим способом коммерческая служба может оказывать информационные услуги.

К традиционным функциям систем электронного документооборота относятся:
• библиотечные службы (хранение содержимого и атрибутов документов, регистрация изменений, обеспечение поиска, средства безопасности);
• управление деловыми процессами (разработка маршрутов движения документов, автоматизация выполнения бизнес-процессов, контроль исполнения документов);
• работа с составными документами (определение структуры, формирование содержания, опубликование);
• интеграция с внешними приложениями (офисными и предметными приложениями, электронной почтой).
К ним добавляются функции управления знаниями:
• автоматизация жизненного цикла документов;
• поддержка принятия решений.

Жизненный циклпредставляет собой описание стадий использования документа в ходе делового процесса (история жизни документа) в целях управления этим процессом.

Примерами стадий существования документа являются: создание документа, согласование, использование, редактирование, уничтожение, хранение в архиве и др.

Для каждой стадии жизненного цикла указываются бизнес-процессы и критерии перехода документа из одной стадии в другую.

Заметим, что жизненный цикл документа и маршрут движения (workflow) — принципиально разные, хотя и тесно связанные между собой понятия.

Маршрут движения показывает кто, что, в каком порядке делает в процессе движения документа. Например, на стадии жизненного цикла — согласование документа — могут применяться разные маршруты движения.

В то же время в ходе исполнения единственного маршрута документ может пройти несколько стадий своего жизненного цикла

Технологии интеллектуального анализа данных обеспечивают:
• извлечение и накопление информации из внешних источников (файл-серверов,
серверов баз данных, почтовых систем, Web-серверов, принадлежащих различным ин
формационным службам университетов, правительственных органов и даже конкурентов, доступным по интернету);
• анализ собранной информации с целью определения ее надежности и соответствия бизнесу на основании собственных внутренних баз данных;
• формирование и предоставление интеллектуального капитала (аналитических данных) сотрудникам предприятия в нужное время в требуемом формате и в соответствии с их ролями и задачами в контексте бизнеса для принятия решений.
Модуль поддержки принятия решений состоит из графического редактора, системы обеспечения жизненного цикла документов, инструментов извлечения аналитических данных, средств визуального программирования и др.
Для реализации большинства перечисленных функций разработаны специальные серверы, например, EDMS-сервер (Electronic Document Management System).
Использование технологий электронного документооборота и деловых интеллектуальных технологий выбора данных позволили создать приложения по следующим направлениям:
• маркетинг и сбыт продукции;
• управление качеством;
• управление исследованиями;
• управление финансовыми рисками;
• управление проектами и командами разработчиков и др.

Во всех перечисленных направлениях работ требуется сбор и анализ «внешней» информации, чтобы определить спрос, конкурентов, поставщиков, ресурсы, заказчиков, состояние исследований и новых разработок у конкурентов и т.д. Этим занимаются специальные службы организации.

Не нашли то, что искали? Воспользуйтесь поиском:

Источник: https://studopedia.ru/7_160258_tehnicheskaya-zashchita-personalnih-dannih.html