Главная Обзор Помощь
Вход
u23-27starodubtsev
/
EASvZI
ответвлено от ypv/EASvZI
1
0
Ответвить 0
Файлы
Дерево: 609687ad5d
Ветки Метки
EASvZI
/
Лекции
/
1.7.200_Состав_и_содержание_мер
/
докл.md

докл.md 10 KB
История Исходник

Состав и содержание организационных и технических мер по защите информационных систем персональных данных.

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу.

Согласно Федеральному закону №152-ФЗ «О персональных данных», к ним относятся, например:

  • Общие данные. ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail.
  • Специальные данные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
  • Биометрические данные. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие.
  • Иные данные. К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определённой социальной группе, корпоративные данные и так далее. Главная цель регулирования персональных данных — защитить приватность человека, то есть неприкосновенность его личной информации.

Состав и содержание организационных и технических мер по защите информационных систем персональных данных описаны в приказе ФСТЭК России от 18.02.2013 №21 (ред. от 14.05.2020).

Некоторые меры, которые входят в состав мер по обеспечению безопасности персональных данных:

  • Идентификация и аутентификация субъектов доступа и объектов доступа. Субъектам и объектам присваивают уникальный признак (идентификатор), проводят сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов и проверяют подлинность предъявленного идентификатора.
  • Управление доступом субъектов доступа к объектам доступа. Устанавливают права и привилегии субъектов доступа, разграничивают доступ на основе установленных в информационной системе правил разграничения доступа и контролируют соблюдение этих правил.
  • Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные.
  • Регистрация событий безопасности.
  • Антивирусная защита.
  • Обнаружение (предотвращение) вторжений.
  • Контроль (анализ) защищённости персональных данных.
  • Обеспечение целостности информационной системы и персональных данных.
  • Обеспечение доступности персональных данных.
  • Защита среды виртуализации.
  • Защита технических средств. Исключают несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, и в помещения, в которых они постоянно расположены.
  • Защита информационной системы, её средств, систем связи и передачи данных. Обеспечивают защиту персональных данных при взаимодействии информационной системы или её отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями.
  • Выявление инцидентов и реагирование на них. Обеспечивают обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
  • Управление конфигурацией информационной системы и системы защиты персональных данных. Обеспечивают управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений. Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.

Состав и содержание мер по защите информационных систем персональных данных описаны в приказе ФСТЭК России от 18.02.2013 №21 (ред. от 14.05.2020). Некоторые организационные меры:

  • Разработка и принятие локальных нормативных актов и организационно-распорядительных документов по работе с персональными данными и их защите. Например, политика защиты данных, положения о порядке уничтожения данных, о внутреннем аудите работы с персональными данными и т. д..
  • Назначение ответственного лица (или лиц) за работу с персональными данными. В небольших организациях это может быть один сотрудник (как правило, юрист или кадровик) или несколько. В крупных компаниях создаются структурные подразделения, занимающиеся вопросами защиты данных
  • Ознакомление сотрудников оператора с законодательными актами, локальными нормативными актами и внутренними приказами (распоряжениями), регламентирующими порядок работы с персональными данными.
  • Обучение сотрудников в области работы и защиты персональных данных. Работники должны обладать необходимыми знаниями и навыками.
  • Организация работы с субъектами персональных данных, контрагентами, что включает в себя заключение соглашений о конфиденциальной информации, выдачу поручения обрабатывать персональные данные, получение согласия субъектов персональных данных.

Некоторые регулирующие акты: Федеральный закон «О персональных данных» от 27.06.2006 года №152-ФЗ. Устанавливает основные термины, принципы и условия обработки персональных данных, обязанности оператора и права субъекта. Постановление Правительства №1119 от 01.11.2012 года. Определяет типы угроз и уровни защищённости информационных систем (ИСПДн) и их классификацию. Постановление Правительства №687 от 15.09.2008 года. Регулирует обработку без использования автоматизированных средств. Приказ ФСТЭК России №21 от 18.02.2013 года. Устанавливает технические и организационные методы защиты. Приказ ФСБ России №378 от 10.07.2014 года. Описывает методы криптографической защиты.

Источники: 1) https://chiro74.ru/files/documents/prikaz_fstec_n21.pdf 2) https://base.garant.ru/70380924/?ysclid=m98abujl7613209443