Система защиты безопасности персональных данных

Сегодня мы раскроем тему: "Система защиты безопасности персональных данных", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 19 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 19 . Меры по обеспечению безопасности персональных данных при их обработке

ГАРАНТ:

См. комментарии к статье 19 настоящего Федерального закона

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

ГАРАНТ:

Об утверждении требований по обеспечению безопасности персональных данных в таможенных органах РФ, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов РФ см. приказ ФТС России от 11 августа 2015 г. N 1611

Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Росреестре см. приказ Росреестра от 29 января 2013 г. N П/31

Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов см. приказ ФНС России от 21 декабря 2011 г. N ММВ-7-4/[email protected]

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

ГАРАНТ:

См. Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел РФ, утвержденную приказом МВД РФ от 6 июля 2012 г. N 678

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

Читайте так же:  Разрешение на хранение и ношение нарезного оружия

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Источник: http://base.garant.ru/12148567/95ef042b11da42ac166eeedeb998f688/

Средства обеспечения безопасности персональных данных

Защита персональных данных
с помощью DLP-системы

В опрос защиты информационных прав человека и его персональных данных уже не первый год стоит на повестке дня. Меняются модели угроз, меняются используемые технические и информационные средства. Документы, издаваемые государственными ведомствами, не только стараются успеть за меняющейся реальностью, но и предоставляют операторам возможность самостоятельно выбирать средства для защиты персональных данных.

Нормативно-правовая документация

Система обеспечения конфиденциальности персональных данных регулируется Федеральным законом «О персональных данных», Постановлением Правительства № 1119, рекомендациями ФСТЭК России. В законе описаны основные термины и определения, устанавливаются права и обязанности оператора, в том числе в области выбора средств обеспечения персональных данных, ответственность операторов. Постановление Правительства определяет, по каким критериям информационные системы персональных данных относятся к различным уровням защищенности. Приказ ФСТЭК России № 21 называет конкретные 15 групп технических мер, применяемых для обеспечения безопасности. В каждой группе определяются и средства, которые вправе использовать оператор.

Классификация систем защиты персональных данных

Информационные системы персональных данных подразделяются по уровням защищенности – от низкого до максимального. Зависит это ранжирование от количества человек, чьи данные обрабатываются, и от характеристики данных. По рангам системы обеспечения безопасности данных разделяются операторами на две группы:

К первой группе относятся системы, чьей задачей становится только обеспечение режима конфиденциальности и безопасности данных. Понятие конфиденциальности подразумевает соблюдение двух параметров:

  • обработка данных допустима только силами лиц, специально на это уполномоченных внутренней документацией организации-оператора;
  • передача данных осуществляется только при условии их шифрования.

Для специальных систем обеспечения безопасности данных, кроме характеристики конфиденциальности, требуется обеспечить дополнительные меры защиты, хотя бы одну из перечня. К ним относятся:

  • целостность. Этот термин подразумевает, что любые изменения данных производятся только в регламентированном порядке, например, изменения в амбулаторную карту больного вправе вносить только лечащий врач. Также целостность обеспечивается передачей данных по телекоммуникационным сетям только с использованием электронной подписи;
  • доступность. Понятие предполагает, что система используется только определенными пользователями и в определенных временных рамках.

К специальным системам, требующим применения специальных средств обеспечения безопасности данных, относятся две группы:

  • обрабатывающие данные, связанные со здоровьем человека;
  • обрабатывающие персональные данные таким образом, что результат работ становится основанием для принятия юридически значимых решений.

Также системы защиты конфиденциальных данных можно разделить на автономные, без прямого подключения к телекоммуникационным сетям, и имеющие такие подключения, требующие повышенной заботы об обеспечении безопасности сведений.

Выбор технических средств защиты персональных данных

Выбор средств автоматизации, применяемых для обеспечения безопасности при обработке персональных данных, в конечном счете зависит от таких параметров:

  • требуемого Постановлением Правительства уровня защищенности информационной системы персональных данных;
  • финансовых и организационных возможностей операторов;
  • применяемых для обеспечения безопасности технических решений;
  • наличия или отсутствия лицензии ФСТЭК.

Опираясь на эти параметры, оператор может к базовым средствам защиты безопасности персональных данных добавлять инициативные, для достижения системой уровня безопасности, релевантного актуальным угрозам субъектам персональных данных и их информационным правам.

Читайте так же:  Процедура получения разрешения на травматическое оружие

Таким образом, оператору необходимо обеспечить наличие технических средств, которые способны:

  • идентифицировать и аутентифицировать пользователей, устанавливать индивидуальные уровни допуска к тем или иным категориям персональных данных;
  • контролировать выход данных из системы, например, передачу по почте или в мессенджере, перенос на съемные носители. Эту задачу могут решить DLP-системы и SIEM-системы. Кроме того, необходимо обеспечить шифрование сведений, передаваемых по штатным каналам связи или находящихся непосредственно в информационных базах, при помощи средств криптографической защиты;
  • обеспечивать максимально возможную защиту информационных баз персональных данных, подключенных к телекоммуникационным сетям, от внешних атак. Для этого требуется установка антивирусной защиты, других способов защиты от хакерских и иных атак, использование электронной подписи, шифрование исходящего трафика при помощи ключей и сертификатов, сгенерированных пользователем и зарегистрированных в удостоверяющих центрах;
  • производить регистрацию всех действий пользователей в системе, что повышает уровень и безопасности персональных данных, и мотивации сотрудников на ее обеспечение.

Технические средства и программные продукты должны быть аттестованы и сертифицированы ФСТЭК России по классу не ниже АК2 по классификации ФСБ РФ. Для примера, операционной системой, соответствующей этому классу, является Windows XP с пакетом обновления Secure Pack Rus. Для специальных систем требуется соблюдение всех требований этого класса защищенности. Дополнительно потребуется аттестация ФСТЭК РФ помещения, в котором находятся компьютеры. Раз в три года необходимо проводить проверку соответствия применяемых средств текущим предъявляемым требованиям.

От опыта и технической подготовки оператора зависят и выбор средств обеспечения безопасности персональных данных, и сама их защищенность. При возникновении сомнений в своей компетенции лучше обратиться за профессиональными услугами.


Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/sredstva-obespecheniya-bezopasnosti-personalnyh-dannyh/

Что такое защита персональных данных физических лиц в РФ и из каких аспектов состоит?

Персональные данные человека являются тем не многим, что находится под жесткой защитой государства.

Осуществление деятельности организации, которая ведет работу с хранением и обработкой личной информации, должно быть сопряжено с соблюдением их защиты.

Читайте далее о том, что такое персональные данные и какие меры используются против утечки информации.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Теоретические аспекты

    Права субъектов.

Права субъектов – это все предложенные государством возможности, которые субъект или владелец информации может реализовать в полной мере. То есть эти возможности дают полное право субъекту распоряжаться своей информацией на свое личное усмотрение.

Так, например, субъект имеет полное право на требование к обеспечению безопасности своих ПД, а так же на возмещение причиненных убытков и возмещение морального вреда.
Обработки.

Защита обработки личной информации определяется как определенного рода комплекс действий, которые оператор обязуется выполнять для защиты ПД субъекта. В любом случае защита обработки характеризуется как охрана личных данных, что регулируется государством, и нарушения в рассматриваемом аспекте наказываются в соответствии с законодательством РФ.

Законодательные сведения

ПД Основополагающим нормативным документом в осуществлении безопасности ПД человека является Конституция Российской Федерации. Самый главный документ страны прямо указывает на право человека в своей личной жизни. Так же хранение, передача, обработка информации могут совершаться только с согласия лица-владельца информации.

Не менее важным законодательным документом является Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 EST № 108. Конвенция обязывает стороны принимать все необходимые меры для охраны ПД, накопленных в автоматизированных базах, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Данная Конвенция была ратифицирована, что свидетельствует Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД». ПД, а именно их несанкционированный доступ и разглашение регламентируется законодательством РФ и, следовательно, использовать их любая организация может лишь с согласия правообладателя.

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» регулирует основные понятия, связанные с передачей, хранением и обработкой сведений, так же регулирует право на доступ и ограничение к доступу информации. Так же данный пункт регулирует Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных«.

Согласно этому закону дается определение ПД и устанавливается ограничение в их использовании. С принятием рассматриваемого закона важно учитывать, что обработка их третьими лицами может осуществляться только лишь с согласия этого лица.

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных» при их обработке в информационных системах персональных данных» характеризует актуальные угрозы ПД в соответствии с их уровнем (подробнее о составлении Положения о защите персональных данных мы рассказываем тут).

На основании четырех типов угроз устанавливается четыре типа защищенности персональной информации. Приказ Роскомнадзора от 5 сентября 2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» характеризует принятием мер для формирования охраны данных путем их обезличивания. Так, на основании законодательства, субъект ПД имеет полное право на получение информации.

При этом он имеет право требовать от оператора предоставление ему необходимой информации. Так же субъект определяет регулирование, то есть он определяет степень ее устаревания, незаконность получения сведений, что может указать на данный факт оператору.

Читайте так же:  Просрочил разрешение на травматическое оружие наказание

При этом владелец может обратиться повторно к оператору для предоставления ему сведений, однако, повторный запрос должен быть выполнен в соответствии с указанным сроком не ранее чем через тридцать дней после первого запроса. В настоящее время начальник на работе обязан не только осуществлять обеспечение охраны ПД работника, но так же и нести ответственность за разглашение.

Все отношения, которые связаны с обработкой ПД субъекта трудовых отношений, регулируются законодательством, а именно:

Право

Рассматриваемый аспект относится к правовой системе, которая непосредственно опирается на законодательство РФ в соответствующей области. Основой разработки многочисленных правовых актов является усиление информационной безопасности в стране.

В настоящее время это является необходимостью. Развитие технических способностей обеспечивает порой несанкционированное вмешательство и использование личных сведений человека или субъекта ПД. Государство в полной мере разрабатывает законопроекты на обеспечение безопасности личных данных гражданина, а так же регулирует его соблюдение.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под контролем действующих законов. Согласно п.2 ст. 17 №152-ФЗ «О защите персональных данных» субъект имеет право на защиту своих ПД.

Статья 17 ФЗ №152. Право на обжалование действий или бездействия оператора

  1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

При этом субъект вправе требовать от оператора, коим является как работодатель, так и другая организация, предоставления необходимых сведений о нем и отчет об их обработке. Субъект так же вправе требовать изменение существующей информации или ее удаление. В любом случае нарушение законодательства полагается уголовная ответственность.

Требования

Защита ПД имеет множество требований в рассматриваемом ключе. Информация является единицей, которая может стать основой для ее получения и использования с преступной целью.

Возникновение многочисленных технических средств, которые являются средством для получения сведений, способствует осуществлению кражи, использования и уничтожения ПД. Так же человеческий фактор может стать причиной утечки. Защита информации в организации является, а так же преследует одноименную цель.

Защита ПД включает в себя:

  1. Проведение анализа на возможный канал утечки.
  2. Формирование системы учета и регистрации всей поступающей информации.
  3. Организация технических средств безопасности. Так же сформированы меры и способы действия безопасности ПД сотрудника.

Какие используются меры?

Среди практических мер защиты информации выделяют:

  1. Ограничение доступа лиц к информационной системе.
  2. Идентификация субъекта и объекта доступа.
  3. Использование антивирусов.
  4. Использование межсетевых экранов.
  5. Осуществление контроля передвижения информации.
  6. Криптографические методы.
  7. Предотвращение вторжений. Все рассмотренные меры должны исключать полностью несанкционированное вторжение в систему.

Как реализовать?

Реализация осуществления защиты персональных данных человека осуществляется на основании действующего законодательства и определяется как комплексная система мер. Реализовать ее на предприятии необходимо путем формирования всех необходимых действий, которые будут воздействовать на несанкционированное вторжение.

Как реализовывается защита ПД в организациях и различных учреждения мы рассказываем в отдельном материале.

Документы

Существуют различного рода документы по защите персональных данных:

  • приказ по работе с персональными данными;
  • приказ о назначении ответственных;
  • приказ об организации обработки и охране информации;
  • приказ о проверке;
  • приказ о классификации ПД;
  • акт о результатах проведения проверки осуществления безопасности информации;
  • инструкции администратора;
  • инструкции пользователя;
  • журналы учета о работе с ПД;
  • положения о работе с ПД;
  • согласия субъектов;
  • модели угроз безопасности;
  • перечень используемых средств.
Видео (кликните для воспроизведения).

Узнать о том, какие документы нужны для организации защиты персональных данных, а также ознакомиться с их образцами, можно в нашей специальной статье, а ознакомиться с их полным перечнем и главными нюансами их оформления можете тут.

Информационные системы

Среди основных информационных систем защиты ПД следует указать:

  1. Физическая защита базы данных и носителя.
  2. Распознавание пользователей.
  3. Архивация данных, криптографическая защита.
  4. Разграничение доступа к системе.
  5. Регистрация всех обращений.

Так же обеспечением безопасности могут стать специальные блоки-приставки, контрольные суммы.

Гос. органы и обеспечение безопасности

Вся информация, которая может быть общедоступной о государственных органах РФ, устанавливается и регулируется Правительством РФ с учетом законодательства. ПД госслужащего могут находиться в общедоступном пользовании только в соответствии с законодательством.

Если действующими нормативными актами установлено о предоставлении сведений о заработной плате и доходах государственного служащего населению, то они относятся к общедоступной в отличие от сотрудника другой организации, где его заработная плата является его ПД.

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных. Основными законодательным актами, которые регулируют наказание за нарушение защиты ПД являются следующие документы:

Таким образом, осуществление безопасности личных сведений человека является аспектом, который регулируется государством. В настоящее время стремительное развитие технических средств требует создание дополнительных мер защиты от доступа, а так же созданию мер для жесткого наказания несанкционированной обработки ПД и их использования без согласия владельца.

Читайте так же:  Жалоба на действия и решения следователя

Подробнее о том, какие уполномоченные органы по защите прав субъектов персональных данных существуют в РФ и какую роль они играют, мы рассказываем в специальном материале.

Видео по теме

Далее смотрим видео о защите персональных данных:

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita

Что такое система защиты персональных данных? Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных.

Это комплекс мероприятий технического, организационного и организационно-технического характера; он предполагает возможность избежать злоупотреблений личными сведениями, предотвратить использование мошеннических схем в Интернете, которые представляют угрозу законным правам и интересам личности.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (800) 350-22-67 . Это быстро и бесплатно !

Что это такое?

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

    Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

Подписание соглашений с третьими лицами, которые участвуют в обработке информации.

Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

    • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
    • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

    Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

    Пошаговая инструкция по разработке СЗПД

    Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

    Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

    Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

    Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (800) 350-22-67 Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/zashhita/sistema-zpd.html

    Защита персональных данных

    Зачем нужна система защиты персональных данных (СЗПДн)

    Комплекс мероприятий разного характера, проводимый для активного противодействия возможному несанкционированному доступу к персональным данным, состоящий из управленческих мер, эффективно действующих аппаратных средств защиты, составляет основу эффективно работающей Система защиты персональных данных (СЗПДн).

    Целью внедрения надежно работающего комплекса мероприятий является:

    — точное соответствие требованиям регулятора о соблюдении положений Федерального закона «О защите персональных данных», положениям утвержденных подзаконных актов, обеспечивающих должный уровень безопасности для используемых персональных данных;

    Читайте так же:  Срок искового заявления по кредиту

    — разработка инструкций, предписывающих выполнение определенных правил при преобразовании используемых ПДн, обеспечивающих их защиту.

    • Решаемые задачи
    • Используемое оборудование
    • Сферы применения

    Разработка и внедрение системы защиты персональных данных (СЗПДн) — это ряд мероприятий технического и управленческого характера, ставящих перед собой цель обеспечить комплексную защиту сведений, которые признаются Федеральным Законом от 27.07. 2006 г. N 152-ФЗ персональными данными.

    Оператор, которым являются госструктуры и коммерческие предприятия, выполняющие действия по работе с ПДн, заинтересованы в безопасной их обработке, тем самым, признавая необходимость внедрения системы защиты.

    Учитывая накопленный при реализации проектов по созданию СЗПДн опыт, представляется возможным определить ряд важных преимуществ от внедрения системы:

    На первом месте находится кардинальное снижение как правовых, так и репутационных рисков, возникающих при несоблюдении действующего законодательства относительно сохранности персональных данных.

    Вторым важным моментом является тот факт, что научно-обоснованное построение системы защиты позволяет обрабатывать персональные данные сотрудников и клиентов, не опасаясь за их сохранность. Это может стать мощным конкурентным преимуществом при работе с конфиденциальными сведениями частных лиц и информацией, предназначенной лишь для служебного (внутреннего) использования. Грамотно выстроенная СЗПДн легко справляется с наиболее распространенными угрозами – блокирует воздействие вредоносных ПО, предотвращает воровство клиентских баз данных, что часто практикуют уволенные сотрудники.

    Третьим фактором, мотивирующим внедрение эффективной СЗПДн, является создание у компании имиджа надежного партнера, которому можно доверять обеспечение конфиденциальности персональных данных.

    Как указывают аналитики, частые скандалы, связанные с утечкой конфиденциальной информации, заставляют обращать внимание на систему безопасности при выборе партнера-контрагента. Уже привычными становятся договора о партнерстве либо условия тендера, в которых требуется предоставить задокументированное соответствие СЗПДн действующим нормативным актам.

    Не следует забывать, что эффективная СЗПДн обеспечивает непрерывность всех бизнес-процессов в самой компании, устраняет вероятность появления клиентских претензий, обоснованных жалоб со стороны работников, грозных предписания от надзорных органов регулятора.

    Этапы выполнения работ по приведению в соответствие 152-ФЗ

    1. Инвентаризация, полноценный анализ состояния информационных структур, задействованных в обработке ПДн.

    Подобный предпроектный аудит предоставляет объективные сведения о процессах, задействованных при обработке ПДн в компании и мерах по их защите. Специалистами Open Vision в обязательном порядке проводится проверка всей служебной документации, регулярности осуществляемых мероприятий, разработанных для исполнения требований правовой базы относительно безопасности используемых в работе данных ограниченного доступа.

    2. Создание концепции системы безопасности, используемой для сохранности персональных данных, предоставление заказчику обоснованных рекомендаций по оптимизации самой обработки ПДн, обеспечению сохранности конфиденциальной информации.

    На этом этапе работы квалифицированные специалисты оценивают возможные варианты осуществления проекта, определяют отправные точки для его реализации, устанавливают определенные ограничения по масштабам внедряемого в практику проекта. Определяются основные проблемы, создается обоснование предлагаемых решений. Клиенты получают перечень программно-аппаратных элементов разрабатываемого комплекса защиты информации, с обязательным указанием стоимости по каждому пункту.

    3. Уточнение реального уровня защищенности ПДн

    В процессе работы определяется возможный тип угроз для защищаемых ПДн, с привязкой к конкретной информационной системе, уточняется предполагаемый состав персональных данных, возможное количество субъектов. Учитывая весь объем полученных сведений, определяется реальное состояние системы безопасности персональных данных.

    4. Разработка модели возможных угроз для системы безопасности ПДн, создание модели злоумышленника

    Предоставляемый заказчику документ представляет собой систематизированный список возможных угроз для безопасности ПДн при работе с ними в информационных системах персональных данных (ИСПДн). Угрозы безопасности персональных данных (УБПДн) могут возникнуть в результате злонамеренных либо случайных действий физических лиц, деятельности иностранных спецслужб либо специализирующихся на шпионаже организаций, специализированных криминальных группировок, подготавливающих взлом безопасности ПДн, которое затронет права и свободы, как общества, так и государства либо граждан.

    5. Разработка Техзадания на строительство СЗПДн

    Частное техзадание на построение для определенной информационной структуры СЗПДн определяет ее назначение, преследуемые цели, требования к техническому и организационному обеспечению, план разработки и непосредственного создания СЗПДн.

    6. Создание проекта СЗПДн

    Создаваемая на этом этапе внедрения СЗПДн проектная документация предусматривает работу, учитывающую предписанные нормативными актами стандарты защищенности данных с ограниченным доступом.

    7. Разработка организационно-распорядительной документации

    Комплект документов, предписывающих правила обработки, защиты ПДн, состоит из десятков организационно-распорядительных предписаний, которые необходимы для приведения всех процессов по работе и сохранности персональных данных в соответствие с нормативами действующего законодательства.

    8. Поставка программно-аппаратных средств информационной защиты

    Клиенту поставляются программно-аппаратные элементы для внедрения СЗПДн, прошедшие проверку и соответствующие требованиям законов РФ относительно мер информационной безопасности.

    9. Монтаж, настройка СЗИ

    На данном этапе внедрения СЗПДн осуществляется монтаж оборудования, инсталлирование программного обеспечения, с соответствующей настройкой. В результате проведенных работ заказчик получает комплект СЗИ, совместимый с применяемой информационной структурой для работы с ПДн.

    10. Оценка действенности предпринимаемых мер для создания эффективной защиты персональных данных

    Определение эффективности разработанных мер безопасности для данных ограниченного доступа осуществляется до момента запуска СЗПДн в эксплуатацию. Контрольное тестирование системы, работающей в коммерческих структурах, требуется проводить каждые 3 года.

    11. Аттестация используемых ИСПДн на соответствие современным требованиям информационной безопасности

    Аттестация ИСПДн включает в себя комплекс организационно-технических проверок (аттестационных испытаний), направленных на подтверждение соответствия требованиям информационной безопасности. Предусмотрена для госорганизаций.

    Видео (кликните для воспроизведения).

    Источник: http://www.open-vision.ru/solutions/information-security/zashhityi-personalnyix-dannyix/

    Система защиты безопасности персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here