Главная > Защита ПДн

   Каждый человек обладает определёнными свойствами, обусловленными биологическими, генетическими, социальными и другими факторами. Такие сведения, относящиеся к определенному или определяемому физическому лицу, относятся к персональным данным. Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» определяет основные правила по  обработке персональных  данных.

   Комплекс мероприятий по защите персональных данных при их обработке в информационных системах включает в себя организационные и технические меры. В таблице ниже приведены организационно-распорядительные и технические документы, которые предписаны различными нормативными актами, для принятия в организации при осуществлении автоматизированной обработки персональных данных.


№ п.п.

Организация защиты персональных данных в информационных системах

Требование

1

Приказ о назначении лица, ответственного за организацию обработки персональных данных

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

 

Акт оценки вреда

3

Акт установления уровня защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных

4

Модель угроз безопасности персональных данных

5

Политика оператора в отношении обработки персональных данных

6

Уведомление в уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных

7

Перечни персональных данных

Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

8

Должностная инструкция ответственного за организацию обработки персональных данных

9

Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных

10

Перечень информационных систем персональных данных

11

Правила рассмотрения запросов субъектов персональных данных или их представителей

12 

Правила работы с обезличенными данными в случае обезличивания персональных данных

13

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

14

Правила обработки персональных данных

15

Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей (матрица доступа)

Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)

Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ

 

16 

Приказ о назначении ответственных (подразделения) за обеспечение безопасности персональных данных при автоматизированной обработке

Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. N 1119)

17

Порядок (регламент) обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

18

Технический паспорт на информационную систему (описание информационной системы)

Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Приказ Федеральной службы по техническому и экспортному контролю от 29 апреля 2021 г. N 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям по защите информации , не составляющей государственную тайну»

 

 Выше приведённый перечень разрабатываемых документов по защите персональных данных является не полным и зависит от факторов и условий обработки персональных данных в конкретной организации.

Мы предлагаем процессный подход для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержания в рабочем состоянии и улучшения системы информационной безопасности при обработке персональных данных. В соответствии с ГОСТ Р ИСО/МЭК 27001-2021 он включает 4 отдельных процесса.

Наименование процесса

Мероприятия

Планирование (разработка системы управления информационной безопасностью)

Разработка политики, установление целей, процессов и процедур системы управления     информационной безопасностью в ИСПДн

Осуществление (внедрение и осуществление функционирования  системой управления информационной безопасностью) 

Внедрение и применение политики информационной безопасности, мер управления, процессов и процедур системы управления информационной безопасностью

Проверка (проведение мониторинга и анализа системы управления информационной безопасностью)

Оценка результативности процессов относительно требований политики, целей безопасности и практического опыта функционирования системы управления информационной безопасностью и информирование руководства о результатах для последующего анализа

Действие (поддержка и улучшение системы управления информационной безопасностью)

Проведение корректирующих и превентивных  действий в целях достижения непрерывного улучшения системы управления информационной безопасностью

Процесс планирование:

  • назначение ответственных лиц: Ответственного за организацию обработки ПДн и за экс­плуатацию средств защиты информации; Администратора безопасности ИСПДн;
  • определяется перечень ПДн, которые будут обрабатываться, накапливаться и храниться в ИСПДн;
  • устанавливаются условия расположения ИСПДн относительно границ контролируемой зоны;
  • определяется конфигурация и топология ИСПДн в целом и ее отдель­ных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назна­чения;
  • определяются технические средства и системы, предполагаемые к ис­пользованию в ИСПДн, условия их расположения, обще­системные и прикладные программные средства;
  • разрабатывается модель угроз и нарушителя безопасности персональных данных при их обработке в ИСПДн;
  • определяется категория ПДн, обрабатываемых в ИСПДн;
  • устанавливается количество субъектов персональных данных, ПДн которых обрабатываются в ИСПДн;
  • устанавливаются характеристики безопасности ПДн, обрабатываемых в ИСПДн;
  • определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах;
  •  устанавливается уровень защищенности ПДн в соответствии с Приказом ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • разработка технического задания на разработку защищённой ИСПДн.

Процесс осуществление (Внедрение и эксплуатация ИСПДн):

  • разработка мероприятий по защите информации в соответствии с установленными требованиями (модель угроз, требования Приказа ФСТЭК России от 18 февраля 2013 № 21, Приказа ФСБ России от 10.07.2014 N 378, технического задания на разработку защищённой ИСПДн);
  • использование сертифицированных технических, программных и про­граммно-технических средств защиты информации и их установка;
  • разработка и реализация разрешительной системы доступа пользовате­лей к обрабатываемой на ИСПДн информации;
  • разработка эксплуатационной документации на ИСПДн и средства за­щиты информации, а также организационно-распорядительной документа­ции по защите информации.

Кроме выше изложенных документов могут разрабатываться регламенты и стандарты на ИСПДн:

  • «Физическая защита ИСПДн»;
  • «Управление доступом пользователей к ресурсам ИСПДн»;
  • «Порядок проведения резервного копирования данных
     в ИСПДн»;
  • «Управление инцидентами информационной безопасности в ИСПДн»;
  • «Организация процесса управления уязвимостями»;
  •  «Объемы и периодичность проверок, контрольных испытаний ИСПДн»;
  • «Организация антивирусного контроля в ИСПДн»;
  • «Порядок проведения ремонта технических средств ИСПДн»;
  • «Порядок ввода в состав аттестованной ИСПДн типовых автоматизированных рабочих мест и локальных информационных систем и требования предъявляемые к ним».

На стадии ввода в действие ИСПДн (СЗПДн) проводят­ся следующие мероприятия:

  • опытная эксплуатация средств защиты информации в комплексе с дру­гими техническими и программными средствами в целях проверки их рабо­тоспособности в составе ИСПДн и отработки ПДн;
  • приемо-сдаточные испытания средств защиты информации по резуль­татам опытной эксплуатации;
  • организация охраны и физической защиты помещений ИСПДн, исклю­чающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
  • оценка соответствия ИСПДн требованиям безопасности ПДн.

Процесс проверка (контрольные испытаний,  мониторинг и анализ системы управления информационной безопасностью)

Контроль заключается в проверке выполнения положений законодательных  актов и нормативных документов по вопросам защиты ИСПДн, документированной и утвержденной политики информационной безопасности, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения основной деятельности организации и выполнения требований по защите персональных данных.

Мониторинг и анализ системы управления информационной безопасностью включают в себя:

  • контроль  за исполнением требований нормативной, методической и организационно-распорядительной документации по вопросам информационной безопасности ПДн при их обработке в ИСПДн;
  • проверка состава программных и аппаратных средств, входящих в состав ИСПДн и установленных режимов их работы непосредственно на объектах информатизации;
  • контроль эффективности функционирования средств защиты информации, установленных на объектах информатизации;
  • определение актуальных угроз безопасности ПДн в конкретных условиях эксплуатации ИСПДн;
  • выработка предложений по улучшению системы менеджмента информационной безопасностью и эффективности системы защиты информации.

С целью эффективного управления системой менеджмента информационной безопасностью и предоставления свидетельств требованиям необходимо вести и поддерживать в рабочем состоянии учётные записи. С этой целью в том числе, для каждой ИСПДн разрабатывается и ведётся следующая документация:

  • Журнал учета инцидентов информационной безопасности в ИСПДн и план действий в непредвиденных ситуациях.
  • Журнал учета документов для служебного пользования и акты об их уничтожении.
  • Обязательства о неразглашении конфиденциальной информации (персональных данных), не содержащих сведений, составляющих государственную тайну.
  • Книга проведения инструктажей по выполнению требований, предъявляемых к защите ПДн.
  • Ежегодный план мероприятий по организации защиты ПДн в ИСПДн.
  • Технический паспорт на ИСПДн.
  • Журнал учёта выдачи средств идентификации/аутентификации для входа пользователей в ИСПДн.
  • Журнал поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (для обладателя конфиденциальной информации).
  • Электронные журналы событий при работе в ИСПДн.
  • Списки лиц, имеющих доступ в помещения, где размещаются технические средства ИСПДн.

Процесс действие (поддержка и улучшение системы управления информационной безопасностью)

В процессе всего жизненного цикла ИСПДн проводятся работы по улучшению системы менеджмента информационной безопасностью посредством уточнения организационно-распорядительной и технической документации, целей защиты информации, использования результатов контрольных проверок,  мониторинга, анализа контролируемых событий, выявления уязвимостей в программном обеспечении, а также использования результатов для последующего анализа системы менеджмента информационной безопасностью, а именно:

  • проверка эффективности политики информационной безопасности, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;
  • оценка влияния изменений в технологии обработки персональных данных;
  • оценка стоимости мероприятий по управлению информационной безопасностью и их эффективность на ведение основной деятельности.

 В годовом плане мероприятий по организации защиты персональных данных должно быть предусмотрено обучение (повышение квалификации) сотрудников  по вопросам организации защиты информации по следующим специальностям:

  • Информационная безопасность (специальность 10.04.01) 
  • Компьютерная безопасность (специальность 10.05.01)
  • Информационная безопасность телекоммуникационных систем (специальность 10.05.02) 
  • Информационная безопасность автоматизированных систем (специальность 10.05.03) 
  • Информационно-аналитические системы безопасности (специальность 10.05.04)
© 2024 г. Все права защищены
Дизайн и разработка сайта: ООО "АМИКОН"
Условия использования материалов сайта

Политика обработки персональных данных


E-mail: info@amicon.ru

+7 495 797 6412
+7 495 781 8922
+7 495 781 8923

Техподдержка:

+7 495 797-6413