Domů Procházet Nápověda
Přihlásit se
u22-26kazutin
/
EASvZI
rozštěpen z ypv/EASvZI
1
0
Rozštěpit 0
Soubory
Větev: master
Větve Značky
EASvZI
/
2022-23
/
Самостоятельная_работа_2
/
Самостоятельная_2_Тышкевич.md

Самостоятельная_2_Тышкевич.md 13 KB
Trvalý odkaz Historie Surový

самостоятельная работа 2

Выбор мер по обеспечению персональных данных

Состав и содержание мер по обеспечению безопасности персональных данных

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

  • идентификация и аутентификация субъектов доступа и объектов доступа;

  • управление доступом субъектов доступа к объектам доступа;

  • ограничение программной среды;

Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

  • регистрация событий безопасности;

  • антивирусная защита;

  • обнаружение (предотвращение) вторжений;

  • контроль (анализ) защищенности персональных данных;

  • обеспечение целостности информационной системы и персональных данных;

  • обеспечение доступности персональных данных;

  • защита среды виртуализации;

  • защита технических средств;

  • защита информационной системы, ее средств, систем связи и передачи данных;

Выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

Управление конфигурацией информационной системы и системы защиты персональных данных.

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу. Выбор мер защиты персональных данных осуществляется исходя из применения в ИСПДн средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных, включенных в модель угроз безопасности ИСПДн.

Правила и процедуры по реализации требований о защите персональных данных и мер защиты персональных данных в конкретной ИСПДн определяются в эксплуатационной документации на систему защиты персональных данных и организационно-распорядительных документах по защите персональных данных.

Эксплуатационная документация на систему защиты персональных данных разрабатывается с учетом национальных стандартов и, как правило, включает руководства пользователей и администраторов, инструкцию по эксплуатации комплекса средств защиты информации и иных технических средств, описание технологического процесса обработки персональных данных, общее описание ИСПДн.

Организационно-распорядительные документы по защите персональных данных включают, как правило, политики, стандарты организации, положения, планы, перечни, инструкции или иные виды документов, разрабатываемые оператором персональных данных для регламентации процедур защиты персональных данных в ИСПДн в ходе ее эксплуатации. Состав работ:

  • Выбор базового состава мер по обеспечению безопасности ПДн согласно Приказа ФСТЭК России от 18.02.2013 г. №
  • Адаптацию выбранного состава мер по обеспечению безопасности ПДн с учетом структурно-функциональных - характеристик ИСПДн, применяемых информационных технологий, особенностей функционирования ИСПДн.
  • Уточнение выбранного состава мер по обеспечению безопасности ПДн с учетом актуальных угроз безопасности ПДн.
  • Дополнение адаптированного состава мер по обеспечению безопасности ПДн мерами, установленными иными - нормативными актами в области обеспечения безопасности и защиты информации (если актуально для заказчика).
  • Формирование требований к защите ПДн, обрабатываемых в ИСПДн. Формирование требований к СЗПДн предполагает разработку технического задания на ее создание, которое включает:
  • цель и задачи обеспечения защиты ПДн;
  • требуемый уровень защищенности ПДн;
  • требования к применяемым мерам и средствам защиты ПДн;
  • стадии (этапы работ) создания СЗПДн;
  • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты ПДн;
  • требования к защите средств и систем, обеспечивающих функционирование ИСПДн;
  • требования к защите ПДн при информационном взаимодействии с иными информационными системами и - информационно-телекоммуникационными сетями.
  • Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, - выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от -выбранного уровня защищенности ПДн.

Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:

  • Идентификацию и аутентификацию субъектов доступа и объектов доступа.
  • Управление доступом субъектов доступа к объектам доступа.
  • Ограничение программной среды.
  • Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
  • Регистрацию событий безопасности.
  • Антивирусную защита.
  • Обнаружение (предотвращение) вторжений.
  • Контроль (анализ) защищенности ПДн.
  • Обеспечение целостности ИСПДн и ПДн.
  • Обеспечение доступности ПДн.
  • Защиту среды виртуализации.
  • Защиту технических средств.
  • Защиту ИСПДн, ее средств, систем связи и передачи данных.
  • Выявление инцидентов.
  • Управление конфигурацией ИСПДн и системы защиты ПДн.

Перечень мер по защите персональных данных

Составить список мероприятий, направленных на поддержание защищенности ИСПДн, не так просто, как может показаться на первый взгляд, так как необходимо брать в расчет категории ПДн и способы их хранения. Если сведения находятся в бумажном виде (заявления, договоры, свидетельства и т.д.), то основной акцент делается на ограничение и контроль физического доступа. Фактически достаточно выделить средства на покупку надежного сейфа и определить круг лиц, у которых будет ключ. В отношении данных, которые находятся в электронном формате, требований больше. Для начала придется разобраться с имеющимся типом угрозы, затем выбрать соответствующий уровень защищенности (всего их 4) и только потом прорабатывать конкретный перечень мер безопасности.

В зависимости от особенностей реализации различают две группы защитных мероприятий: внешние и внутренние. К первым относится разработка процедуры приема и учета посетителей организации, введение пропускной системы и технических средств, а также специализированного софта, позволяющего уберечь цифровые данные от несанкционированной обработки. Вторые связаны с регулированием деятельности в сфере ПДн внутри организации и включают:

  • установление ограничений по доступу персонала к личным сведениям;
  • выбор ответственного за безопасность ПДн лица;
  • составление и утверждение локальных документов;
  • информирование персонала о требованиях по работе с цифровыми или бумажными персональными данными;
  • планирование правильного расположения рабочих мест;
  • создание списков работников, которые могут находиться в помещениях с носителями ПДн;
  • установление порядка уничтожения конфиденциальных сведений;
  • интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.

Список литературы

https://www.consultant.ru/document/cons_doc_LAW_146520/93a8513732506560f98071d0c59aed5f21e8f1d5/

https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

https://fstec21.blogspot.com/2017/07/the-choice-of-measures-of-personal-data.html

https://ntc-vulkan.ru/services/uslugi-po-organizatsii-protsessov-obrabotki-i-zashchity-personalnykh-dannykh/vybor-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-v-sootvetstvii-s-prikazom-fstek-rossii/

https://data-sec.ru/personal-data/protect/