|
|
@@ -0,0 +1,75 @@
|
|
|
+# Состав и содержание организационных и технических мер по защите информационных систем персональных данных.
|
|
|
+
|
|
|
+Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу.
|
|
|
+
|
|
|
+Согласно Федеральному закону №152-ФЗ «О персональных данных», к ним относятся, например:
|
|
|
+- Общие данные. ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail.
|
|
|
+- Специальные данные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
|
|
|
+- Биометрические данные. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие.
|
|
|
+- Иные данные. К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определённой социальной группе, корпоративные данные и так далее.
|
|
|
+Главная цель регулирования персональных данных — защитить приватность человека, то есть неприкосновенность его личной информации.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Состав и содержание организационных и технических мер по защите информационных систем персональных данных описаны в приказе ФСТЭК России от 18.02.2013 №21 (ред. от 14.05.2020).
|
|
|
+
|
|
|
+Некоторые меры, которые входят в состав мер по обеспечению безопасности персональных данных:
|
|
|
+- Идентификация и аутентификация субъектов доступа и объектов доступа. Субъектам и объектам присваивают уникальный признак (идентификатор), проводят сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов и проверяют подлинность предъявленного идентификатора.
|
|
|
+- Управление доступом субъектов доступа к объектам доступа. Устанавливают права и привилегии субъектов доступа, разграничивают доступ на основе установленных в информационной системе правил разграничения доступа и контролируют соблюдение этих правил.
|
|
|
+- Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные.
|
|
|
+- Регистрация событий безопасности.
|
|
|
+- Антивирусная защита.
|
|
|
+- Обнаружение (предотвращение) вторжений.
|
|
|
+- Контроль (анализ) защищённости персональных данных.
|
|
|
+- Обеспечение целостности информационной системы и персональных данных.
|
|
|
+- Обеспечение доступности персональных данных.
|
|
|
+- Защита среды виртуализации.
|
|
|
+- Защита технических средств. Исключают несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, и в помещения, в которых они постоянно расположены.
|
|
|
+- Защита информационной системы, её средств, систем связи и передачи данных. Обеспечивают защиту персональных данных при взаимодействии информационной системы или её отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями.
|
|
|
+- Выявление инцидентов и реагирование на них. Обеспечивают обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
|
|
|
+- Управление конфигурацией информационной системы и системы защиты персональных данных. Обеспечивают управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
|
|
|
+Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Состав и содержание мер по защите информационных систем персональных данных описаны в приказе ФСТЭК России от 18.02.2013 №21 (ред. от 14.05.2020).
|
|
|
+Некоторые организационные меры:
|
|
|
+- Разработка и принятие локальных нормативных актов и организационно-распорядительных документов по работе с персональными данными и их защите. Например, политика защиты данных, положения о порядке уничтожения данных, о внутреннем аудите работы с персональными данными и т. д..
|
|
|
+- Назначение ответственного лица (или лиц) за работу с персональными данными. В небольших организациях это может быть один сотрудник (как правило, юрист или кадровик) или несколько. В крупных компаниях создаются структурные подразделения, занимающиеся вопросами защиты данных
|
|
|
+- Ознакомление сотрудников оператора с законодательными актами, локальными нормативными актами и внутренними приказами (распоряжениями), регламентирующими порядок работы с персональными данными.
|
|
|
+- Обучение сотрудников в области работы и защиты персональных данных. Работники должны обладать необходимыми знаниями и навыками.
|
|
|
+- Организация работы с субъектами персональных данных, контрагентами, что включает в себя заключение соглашений о конфиденциальной информации, выдачу поручения обрабатывать персональные данные, получение согласия субъектов персональных данных.
|
|
|
+
|
|
|
+Некоторые регулирующие акты:
|
|
|
+ Федеральный закон «О персональных данных» от 27.06.2006 года №152-ФЗ. Устанавливает основные термины, принципы и условия обработки персональных данных, обязанности оператора и права субъекта.
|
|
|
+ Постановление Правительства №1119 от 01.11.2012 года. Определяет типы угроз и уровни защищённости информационных систем (ИСПДн) и их классификацию.
|
|
|
+ Постановление Правительства №687 от 15.09.2008 года. Регулирует обработку без использования автоматизированных средств.
|
|
|
+ Приказ ФСТЭК России №21 от 18.02.2013 года. Устанавливает технические и организационные методы защиты.
|
|
|
+ Приказ ФСБ России №378 от 10.07.2014 года. Описывает методы криптографической защиты.
|
|
|
+
|
|
|
+Источники:
|
|
|
+1) https://chiro74.ru/files/documents/prikaz_fstec_n21.pdf
|
|
|
+2) https://base.garant.ru/70380924/?ysclid=m98abujl7613209443
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
