tyshkevich

2022-23/Самостоятельная_работа_2/Самостоятельная2_Тышкевич.md

@@ -0,0 +1,104 @@
+# самостоятельная работа 2
+
+# Выбор мер по обеспечению персональных данных
+
+#Состав и содержание мер по обеспечению безопасности персональных данных
+
+В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
+
+- идентификация и аутентификация субъектов доступа и объектов доступа;
+
+- управление доступом субъектов доступа к объектам доступа;
+
+- ограничение программной среды;
+
+Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
+
+- регистрация событий безопасности;
+
+- антивирусная защита;
+
+- обнаружение (предотвращение) вторжений;
+
+- контроль (анализ) защищенности персональных данных;
+
+- обеспечение целостности информационной системы и персональных данных;
+
+- обеспечение доступности персональных данных;
+
+- защита среды виртуализации;
+
+- защита технических средств;
+
+- защита информационной системы, ее средств, систем связи и передачи данных;
+
+Выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
+
+Управление конфигурацией информационной системы и системы защиты персональных данных.
+
+Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.
+Выбор мер защиты персональных данных осуществляется исходя из применения в ИСПДн средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных, включенных в модель угроз безопасности ИСПДн.
+
+Правила и процедуры по реализации требований о защите персональных данных и мер защиты персональных данных в конкретной ИСПДн определяются в эксплуатационной документации на систему защиты персональных данных и организационно-распорядительных документах по защите персональных данных. 
+
+Эксплуатационная документация на систему защиты персональных данных разрабатывается с учетом национальных стандартов и, как правило, включает руководства пользователей и администраторов, инструкцию по эксплуатации комплекса средств защиты информации и иных технических средств, описание технологического процесса обработки персональных данных, общее описание ИСПДн. 
+
+Организационно-распорядительные документы по защите персональных данных включают, как правило, политики, стандарты организации, положения, планы, перечни, инструкции или иные виды документов, разрабатываемые оператором персональных данных для регламентации процедур защиты персональных данных в ИСПДн в ходе ее эксплуатации.
+Состав работ:
+- Выбор базового состава мер по обеспечению безопасности ПДн согласно Приказа ФСТЭК России от 18.02.2013 г. № 
+- Адаптацию выбранного состава мер по обеспечению безопасности ПДн с учетом структурно-функциональных - характеристик ИСПДн, применяемых информационных технологий, особенностей функционирования ИСПДн.
+- Уточнение выбранного состава мер по обеспечению безопасности ПДн с учетом актуальных угроз безопасности ПДн.
+- Дополнение адаптированного состава мер по обеспечению безопасности ПДн мерами, установленными иными - нормативными актами в области обеспечения безопасности и защиты информации (если актуально для заказчика).
+- Формирование требований к защите ПДн, обрабатываемых в ИСПДн.
+Формирование требований к СЗПДн предполагает разработку технического задания на ее создание, которое включает:
+- цель и задачи обеспечения защиты ПДн;
+- требуемый уровень защищенности ПДн;
+- требования к применяемым мерам и средствам защиты ПДн;
+- стадии (этапы работ) создания СЗПДн;
+- требования к поставляемым техническим средствам, программному обеспечению, средствам защиты ПДн;
+- требования к защите средств и систем, обеспечивающих функционирование ИСПДн;
+- требования к защите ПДн при информационном взаимодействии с иными информационными системами и - информационно-телекоммуникационными сетями.
+- Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, - выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от -выбранного уровня защищенности ПДн.
+
+Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:
+
+- Идентификацию и аутентификацию субъектов доступа и объектов доступа.
+- Управление доступом субъектов доступа к объектам доступа.
+- Ограничение программной среды.
+- Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
+- Регистрацию событий безопасности.
+- Антивирусную защита.
+- Обнаружение (предотвращение) вторжений.
+- Контроль (анализ) защищенности ПДн.
+- Обеспечение целостности ИСПДн и ПДн.
+- Обеспечение доступности ПДн.
+- Защиту среды виртуализации.
+- Защиту технических средств.
+- Защиту ИСПДн, ее средств, систем связи и передачи данных.
+- Выявление инцидентов.
+- Управление конфигурацией ИСПДн и системы защиты ПДн.
+
+# Перечень мер по защите персональных данных
+Составить список мероприятий, направленных на поддержание защищенности ИСПДн, не так просто, как может показаться на первый взгляд, так как необходимо брать в расчет категории ПДн и способы их хранения. Если сведения находятся в бумажном виде (заявления, договоры, свидетельства и т.д.), то основной акцент делается на ограничение и контроль физического доступа. Фактически достаточно выделить средства на покупку надежного сейфа и определить круг лиц, у которых будет ключ. В отношении данных, которые находятся в электронном формате, требований больше. Для начала придется разобраться с имеющимся типом угрозы, затем выбрать соответствующий уровень защищенности (всего их 4) и только потом прорабатывать конкретный перечень мер безопасности.
+
+В зависимости от особенностей реализации различают две группы защитных мероприятий: внешние и внутренние. К первым относится разработка процедуры приема и учета посетителей организации, введение пропускной системы и технических средств, а также специализированного софта, позволяющего уберечь цифровые данные от несанкционированной обработки. Вторые связаны с регулированием деятельности в сфере ПДн внутри организации и включают:
+
+- установление ограничений по доступу персонала к личным сведениям;
+- выбор ответственного за безопасность ПДн лица;
+- составление и утверждение локальных документов;
+- информирование персонала о требованиях по работе с цифровыми или бумажными персональными данными;
+- планирование правильного расположения рабочих мест;
+- создание списков работников, которые могут находиться в помещениях с носителями ПДн;
+- установление порядка уничтожения конфиденциальных сведений;
+- интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.
+
+###<h1 align="center">Список литературы</h1>
+https://www.consultant.ru/document/cons_doc_LAW_146520/93a8513732506560f98071d0c59aed5f21e8f1d5/
+
+https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21
+
+https://fstec21.blogspot.com/2017/07/the-choice-of-measures-of-personal-data.html
+
+https://ntc-vulkan.ru/services/uslugi-po-organizatsii-protsessov-obrabotki-i-zashchity-personalnykh-dannykh/vybor-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-v-sootvetstvii-s-prikazom-fstek-rossii/
+
+https://data-sec.ru/personal-data/protect/