Главная Обратная связь

Дисциплины:






Обработка персональных данных



Перед тем, как приступать к обработке персональных данных, нужно решить самый сложный и проблемный вопрос - обеспечение безопасности персональных данных при их обработке.

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:


- получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;
- привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;
- отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;
- устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.


Статья 19, ФЗ-152:
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.


Помимо ФЗ-152 требования и рекомендации по обеспечению защиты персональных данных устанавливают:


- "Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утверждено постановлением Правительства РФ №781 от 17 ноября 2007г.
- "Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", утверждено постановлением Правительства РФ №687 от 15 сентября 2008г.
- "Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", утверждены постановлением Правительства РФ №512 от 6 июля 2008г.
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России №282 от 30 августа 2002г. (ДСП)
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008г. (Выписка, при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа - ДСП)
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008г. (Пометка "для служебного пользования" снята Решением ФСТЭК от 16 ноября 2009г.)
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008г. (Пометка "для служебного пользования" снята Решением ФСТЭК от 11 ноября 2009г.)
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных от 15 февраля 2008г. (Пометка "для служебного пользования" снята Решением ФСТЭК от 11 ноября 2009г.)
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ, 21 февраля 2008г.
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ, 21 февраля 2008г.



 

Модель угроз

Оператор (медицинская организация) должен обеспечить разработку модели угроз безопасности хранения и пердачи ПНд

Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) - разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:
- угрозы утечки информации по техническим каналам;
- угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;
- угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и(или) сетей международного информационного обмена.
Разработанная модель угроз утверждается руководителем.

Инструкции


На основании утвержденной модели угроз ИСПДн необходимо разработать Требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, - это самостоятельный документ, который должен быть утвержден руководителем организации.
Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.


Также оператор (МО) должен разработать инструкции по использованию программных и аппаратных средств защиты информации.


Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя.





sdamzavas.net - 2019 год. Все права принадлежат их авторам! В случае нарушение авторского права, обращайтесь по форме обратной связи...