Halaman utama Jelajahi Bantuan
Masuk
u22ryabchenko
/
EASvZI
ter-fork dari ypv/EASvZI
1
0
Fork 0
Berkas
Cabang: master
Ranting Tag
EASvZI
/
2022-23
/
Самостоятельная_работа_2
/
Mikluho.md

Mikluho.md 8.2 KB
Permalink Riwayat Mentahan

Выбор мер по обеспечению персональных данных

Выбор мер защиты персональных данных для реализации в информационной системе персональных данных в рамках системы защиты персональных данных

Выбор мер защиты персональных данных для их реализации в информационной системе персональных данных (ИСПДн) осуществляется в ходе проектирования системы защиты персональных данных ИСПДн в соответствии с техническим заданием на создание ИСПДн и (или) техническим заданием (частным техническим заданием) на создание системы защиты персональных данных ИСПДн.

Определение угроз безопасности персональных данных при их обработке

Угроза безопасности персональных данных – совокупность условий и факторов, которые создают опасности несанкционированного доступа к персональным данным. В результате они могут быть уничтожены, изменены, заблокированы, скопированы, предоставлены или распространены (ч. 11 ст. 19 Закона № 152-ФЗ). При определении угроз учитывается содержание персональных данных, характер и способ их обработки, а также другие факторы.

В зависимости от степени возможного вреда, который может быть причинен субъекту персональных данных, угрозы принято разделять на три основные группы:

Угрозы 1 типа актуальны для информационных систем, имеющих недокументированные (недекларированные) возможности в системном программном обеспечении;
Угрозы 2 типа актуальны для информационных систем, имеющих недокументированные (недекларированные) возможности в прикладном программном обеспечении;
Угрозы 3 типа актуальны для информационных систем, не имеющих недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.

Под недекларированными возможностями подразумеваются возможности программного обеспечения (ПО), которые не описаны в сопровождающей его документации и не оговорены разработчиком такого ПО. Тем не менее, такие возможности могут быть использованы для несанкционированного доступа к информации, обрабатываемой при помощи такого ПО.

Определить угрозы безопасности персональных данных можно самостоятельно, однако адекватно оценить степень опасности того или иного фактора неподготовленному человеку достаточно проблематично, а зачастую невозможно. По этой причине для определения угроз желательно обратиться в специализированную организацию, имеющую лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК России), выданную в порядке, установленном постановлением Правительства РФ от 03.02.2012 № 79.

Выявление типа этих угроз необходимо для выбора уровня защищенности, который следует обеспечить работодателю. Постановлением № 1119 предусмотрено 4 уровня защищенности. Первый из них предполагает самую низкую степень защиты, а четвертый – максимальную защиту персональных данных.

Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от выбранного уровня защищенности ПДн.

Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:

  • Идентификацию и аутентификацию субъектов доступа и объектов доступа.
  • Управление доступом субъектов доступа к объектам доступа.
  • Ограничение программной среды.
  • Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
  • Регистрацию событий безопасности.
  • Антивирусную защита.
  • Обнаружение (предотвращение) вторжений.
  • Контроль (анализ) защищенности ПДн.
  • Обеспечение целостности ИСПДн и ПДн.
  • Обеспечение доступности ПДн.
  • Защиту среды виртуализации.
  • Защиту технических средств.
  • Защиту ИСПДн, ее средств, систем связи и передачи данных.
  • Выявление инцидентов.
  • Управление конфигурацией ИСПДн и системы защиты ПДн.

Преимущества

Полученный состав мер по обеспечению безопасности ПДн позволяет сформировать Техническое задание на создание СЗПДн, с учетом требований ГОСТ и методических документов ФСТЭК России.

Список литературы

https://fstec21.blogspot.com/2017/07/the-choice-of-measures-of-personal-data.html https://wikisec.ru/images/f/f6/%D0%A0%D0%B5%D0%B3%D0%BB%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D0%B0_%D0%BC%D0%B5%D1%80_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%9F%D0%94%D0%BD.pdf https://its.1c.ru/db/stafft/content/34557/hdoc https://data-sec.ru/personal-data/protection-level/ https://ntc-vulkan.ru/services/uslugi-po-organizatsii-protsessov-obrabotki-i-zashchity-personalnykh-dannykh/vybor-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-v-sootvetstvii-s-prikazom-fstek-rossii/ https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/sredstva-obespecheniya-bezopasnosti-personalnyh-dannyh/