|
|
@@ -0,0 +1,60 @@
|
|
|
+# Выбор мер по обеспечению персональных данных
|
|
|
+
|
|
|
+# Выбор мер защиты персональных данных для реализации в информационной системе персональных данных в рамках системы защиты персональных данных
|
|
|
+
|
|
|
+Выбор мер защиты персональных данных для их реализации в информационной системе персональных данных (ИСПДн) осуществляется в ходе проектирования системы защиты персональных данных ИСПДн в соответствии с техническим заданием на создание ИСПДн и (или) техническим заданием (частным техническим заданием) на создание системы защиты персональных данных ИСПДн.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+# Определение угроз безопасности персональных данных при их обработке
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Угроза безопасности персональных данных – совокупность условий и факторов, которые создают опасности несанкционированного доступа к персональным данным. В результате они могут быть уничтожены, изменены, заблокированы, скопированы, предоставлены или распространены (ч. 11 ст. 19 Закона № 152-ФЗ). При определении угроз учитывается содержание персональных данных, характер и способ их обработки, а также другие факторы.
|
|
|
+
|
|
|
+В зависимости от степени возможного вреда, который может быть причинен субъекту персональных данных, угрозы принято разделять на три основные группы:
|
|
|
+
|
|
|
+ Угрозы 1 типа актуальны для информационных систем, имеющих недокументированные (недекларированные) возможности в системном программном обеспечении;
|
|
|
+ Угрозы 2 типа актуальны для информационных систем, имеющих недокументированные (недекларированные) возможности в прикладном программном обеспечении;
|
|
|
+ Угрозы 3 типа актуальны для информационных систем, не имеющих недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.
|
|
|
+
|
|
|
+Под недекларированными возможностями подразумеваются возможности программного обеспечения (ПО), которые не описаны в сопровождающей его документации и не оговорены разработчиком такого ПО. Тем не менее, такие возможности могут быть использованы для несанкционированного доступа к информации, обрабатываемой при помощи такого ПО.
|
|
|
+
|
|
|
+Определить угрозы безопасности персональных данных можно самостоятельно, однако адекватно оценить степень опасности того или иного фактора неподготовленному человеку достаточно проблематично, а зачастую невозможно. По этой причине для определения угроз желательно обратиться в специализированную организацию, имеющую лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК России), выданную в порядке, установленном постановлением Правительства РФ от 03.02.2012 № 79.
|
|
|
+
|
|
|
+Выявление типа этих угроз необходимо для выбора уровня защищенности, который следует обеспечить работодателю. Постановлением № 1119 предусмотрено 4 уровня защищенности. Первый из них предполагает самую низкую степень защиты, а четвертый – максимальную защиту персональных данных.
|
|
|
+
|
|
|
+ Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от выбранного уровня защищенности ПДн.
|
|
|
+
|
|
|
+Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:
|
|
|
+
|
|
|
+ - Идентификацию и аутентификацию субъектов доступа и объектов доступа.
|
|
|
+ - Управление доступом субъектов доступа к объектам доступа.
|
|
|
+ - Ограничение программной среды.
|
|
|
+ - Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
|
|
|
+ - Регистрацию событий безопасности.
|
|
|
+ - Антивирусную защита.
|
|
|
+ - Обнаружение (предотвращение) вторжений.
|
|
|
+ - Контроль (анализ) защищенности ПДн.
|
|
|
+ - Обеспечение целостности ИСПДн и ПДн.
|
|
|
+ - Обеспечение доступности ПДн.
|
|
|
+ - Защиту среды виртуализации.
|
|
|
+ - Защиту технических средств.
|
|
|
+ - Защиту ИСПДн, ее средств, систем связи и передачи данных.
|
|
|
+ - Выявление инцидентов.
|
|
|
+ - Управление конфигурацией ИСПДн и системы защиты ПДн.
|
|
|
+
|
|
|
+
|
|
|
+# Преимущества
|
|
|
+
|
|
|
+Полученный состав мер по обеспечению безопасности ПДн позволяет сформировать Техническое задание на создание СЗПДн, с учетом требований ГОСТ и методических документов ФСТЭК России.
|
|
|
+
|
|
|
+### <h1 align="center">Список литературы</h1>
|
|
|
+
|
|
|
+https://fstec21.blogspot.com/2017/07/the-choice-of-measures-of-personal-data.html
|
|
|
+https://wikisec.ru/images/f/f6/%D0%A0%D0%B5%D0%B3%D0%BB%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D0%B0_%D0%BC%D0%B5%D1%80_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%9F%D0%94%D0%BD.pdf
|
|
|
+https://its.1c.ru/db/stafft/content/34557/hdoc
|
|
|
+https://data-sec.ru/personal-data/protection-level/
|
|
|
+https://ntc-vulkan.ru/services/uslugi-po-organizatsii-protsessov-obrabotki-i-zashchity-personalnykh-dannykh/vybor-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-v-sootvetstvii-s-prikazom-fstek-rossii/
|
|
|
+https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/sredstva-obespecheniya-bezopasnosti-personalnyh-dannyh/
|
|
|
+
|
Chubarov
