Защита персональной информации путем документирования

ЛЕКЦИЯ №5

ЗАЩИТА ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ ПУТЕМ  ДОКУМЕНТИРОВАНИЯ

 

Обработка персональных данных осуществляется организацией вне зависимо от формы  собственности 

 

Недостаточность финансовых средств  для проведений комплекса работ  для построения эффективных элементов  защиты

 

Наличие закондателных мер

 

1. основные  задачи и принципы построения системы  защиты персональных данных

Защита  персональныз данных как путем документирования так и их защиты в информационной системе.

 

Совокупность  организационно-технических мероприятий  защиты персональных данных от неправомерного доступа к ним.

 

Безопасности  ПД достигается путем исключения в.т.ч. и случайного несанкционированного доступа.

 

Основная  цель системы защиты – минимизация  ущерба от возможных угроз безопасности ПД.

 

В соответствии с положением о методах и способах защиты информации в ИС  ПД, утвержденного  приказом ФСТЕК России от 5.02.2010 № 58 определено, что к методам и  способам защиты информации в ИС, относятся

1. методы и способы защиты, обрабатываемые тех. Средствами ИС.  От несанкционированного, в.т.ч. и случайного доступа к ПД., результатом которого может стать уничтожение, изменение, блокирование, копирование, а так же других несанкционированных действий.
2. Методы и способы защиты неречевой инфы, а так же инфы представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к ПД. Результатом которого может стать копирование, распространение ПД, а так же других несанкционированных действий. В качестве оператора мб одно из подразделений или должностное лицо, ответственное за передачу ПД или организация, занимающаяся деятельностью по ЗИ по конфиденциальной информации

 

 

Для достижения безопасности установленных данных, информационная система должна обеспечить эффективное  решение задач:

 

• Защита  от вмешательства в процесс функционирования ИСПДН
• Разграничение доступа зарегистрированных пользователей к аппаратной, програмным и информационным ресурсам ПДН
• Регистрацию действий пользователей при использовании защищаемых ресурсов при использовании системы персональных данных пдн, системных журналов и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов
• Контроль целостности среды в случае нарушения востановления
• Защиту от несанкцонированной унификации и контроль целостности, используемых в ИСПД программных средств. А так же защиту системы от внедрения несанкционированных программ.
• Защита ПД от утечки по техническим каналам при ее обработке, хрении и передаче и т д
• Защита ПД, хранимой обрабатыванием и передаваемой по каналам связи от несанкционированного разглашения или искажения.
• Своевременное выявление источника угроз безопасности ПД причин и условий, способствующих нанесению ущерба субъектам ПД угрозу безопасности ПД и негативные тенденции
• Устройства для проведения физ лиц
• Обызательность контроля финансовых затрат в соответствии с требованиями.

 

Особенности мероприятия  по защите персональных данных. В соответствии с законодательством РФ, оператор – любая компания, занимающаяся обработкой. Предприятия передают обработку  данных организациям, имеющим лицензию.

 

Построение системы  защиты персональных данных.   Затраты  на защиту ПД максимум сил и средств  в.т.ч. финансовых.  Спланирвоать те меры, которые будут необходимы и  достаточны отностельно проблем. Характеристика организационно распорядительных мероприятий, которое необходимо дкоументировать. ГОСТР.30-2007

 

Направление уведомлений  в гос ком надзор. Разработка организационно распрядительной документации ОРД, регламентирующей отношения в информационной сфере. Категорирование и класификация персональных данных и классификация  информационных систем персональных данных.

 

Разработка порядка  работы с персональными данными.

 

Доведение до сотрудников  порядка работы со сведениями о персональных данных. Обучение сотрудников.

 

 

Мероприятия организационно-технического характера:

1. создание совершенственной системы обеспечения ИБ
2. разработка, использование и совершенствование системы защиты информации и методов контроля их эффективности.
3. Предотвращение перехвата информации по техническим каналам связи.
4. Разработка порядка резервировнаия и востановления работоспособности технических средств
5. Контроль за выполнением правил защиты информации.
6. Сертификаты средств защиты информации
7. Лицензировние
8. Аттестация обхектов информатизации на соответствие требованиям безопасности
9. Организация системы охраны территорий, здания, помещений
10. Организация прав доступа

 

Организационная культура, реализация защиты персональных данных.

Перечень вырабатываемых данных. Перечень сотрудником, имеющих  право доступа к сведениям  персонального характера.

Контроль доступа в  помещение посторонних лиц, наличия  препятствий для несанкционированого  проникновения в помещение 

Хранилище носителей информации в.т.ч. в ночное время.

Определить структуру  проведения внутренних проверок защиты персональных данных.

Приказ о создании комиссии о защите персональных данных с наделением полномочий о проведении мероприятий, касающихся организации защиты ПД.

 

Обеспечение конфиденциаьлности при обращении с информацией  содержащей персональные денные.

 

Приказ о возложение ответственности  за защиту персональных данных.

 

Договор с субъектом персонаьных  данных, который может содержать  отдельное письменное согласие субъекта персональных данных на их обработку. В случае соблюденных ФЗ

 

Нормативный документ или  перечень, аккумулирующих информацию о персональных данных, обрабатываемых оператором. В.Т.Ч. категорию, объем  и т.п.

 

Перечень информационных систем, обрабатывающих ПД

 

Регламент допуска сотрудника к обработке ПД

 

Регламент взаимодействия при  передаче ПД третьим лицам

 

Перечень допущенных сотрудников  к обработке ПД

 

Перечень сотрудников, имеющих  право ознакомления со сведениями, отнесенными к ПД

 

Должностные инструкции сотрудников, имеющих отношения к установке  ПД

 

Инструкции администратора безопасности ПД

 

Инструкции пользователей  по работе с персональными данными.

 

Положения об организации  доступа помещения где осуществляется обработка ПД.

 

Проведение комплекса  тех мероприятий, могут оказаться  бесполезной, если не проведена работа над сотрудниками, условия, где сотрудники будут соблюдать правила защиты ПД.

 

Большинство технических  средств защиты необходима постоянная техническая поддержка, хранение, применение норм, паролей, перераспределение полномочий.  Технические меры защиты информации предполагают использование програмно  аппаратные средства защиты информации. При обработки в спдф должны быть реализованны. Установленны средства защиты информации от НСД Устройств  ввода вывода информации, криптографисеских  средств и.т.д. Установлены средства защиты информации от утечки по техническим  каналам. Экранированные кабели, установка  активных систем шумирования. В соответствии с положением о методах и способах защиты информации в информационных системах персональных данных, утвержденных приказом фстек россии методы и способы  средств защиты от несанкционированного доступа, реализация вычислительной системы  допуска. Методы и способызащиты  информации допуска пользователей  к нформационным ресурсам, информационной системе и связанным ресурсам,  использованием, работам документов.

 

Ограничение доступа пользователей  в помещения, где размещены тех  средства, Позволяющие осуществлять обработку персональных данных а  так же носителей информации. Разграничение  доступа пользователей и обслуживающего персонала к информационным ресурсам. Програмные средства ораотки и защиты информации. Регистрация действий пользователей  и обслуживающего персонала.

Контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних  лиц.

Учет и хранение съемных  носителей информации, их обращение, исключающее хищение, подмену и  уничтожение. Резервирование технических  средств. Дублирование массивов и носителей  информации

Использование средств защиты информации, прошедшей в установленном  порядке процедуру оценки соответствия.

 

Использование защищенных каналов  связи 

 

Размещение тех средств, позволяющих осуществлять обработку  персональных данныых в пределах охраняемых территорий.

 

Организация физической защиты помещений, и тех средств, позволяющих  осуществлять обработку персональных данных.

 

Предотвращение внедрения  в информационные системы вредоносных  программ. Мероприятия по защите персональныз данных реализуется в рамках подсистемы.

 

Управление доступа к  регистрации учета.

 

Обеспечение целостности.

 

Криптографисеская защита.

 

Обнаружение вторжений

 

Использование криптографических  средств. Наличие территориально распределенных систем, где в качестве транспорта служит глобальная распределенная сеть интернет и сети связи общего польщования, в которых не возможно обеспечить контроль оператора

 

Вынос за пределы контролированных территорий средств для обработки  ПД, в.т.ч. и удаленно.

 

Применение многопользовательских  систем персональных данных.