Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

II. Особенности организации

Режимные средства

Неплохой способ контроля — установить внутри помещения скрытую камеру с круглосуточной записью.

целесообразно до и после проведения серьезного разговора проверять помещение на наличие занесенной техники с помощью индикатора поля и сканера сети.

Значительные трудности для злоумышленника создаст непредсказуемость действий объекта наблюдения. Если нет времени на подготовку места для подслушивания — трудно снять информацию. Но для организации длительной обороны лучше нанять специалистов.

  1. Защита информации на выставках
  1. Защита информации при работе с посетителями

Работа референта с посторонним посетителем состоит из следующих этапов:

1. подготовительный этап;

2. идентификация и регистрация посетителя(предназначен для согласования возможности и условий приема посетителя руководством или сотрудником фирмы.);

3. организация приема посетителя руководителем;

4. организация дальнейших действий посетителя.

  1. Основные представления о политике информационной безопасности

политику информационной безопасности можно определить как свод формальных правил, которые необходимо соблюдать при работе с информацией для обеспечения существования и развития компании.

Цели и состав политики ИБ:

Основной целью политики ИБ является общее описание правил работы с информацией компании. Наличие сформулированных и закрепленных на бумаге правил обеспечения информационной безопасности позволит достичь:

1. Стабильность защиты.

2. Независимость защиты от личных и профессиональных качеств исполняющего персонала.

3. Возможность контроля как защиты так и процедур обработки информации.

Требования к политике ИБ:

Политика информационной безопасности должна описывать в своем содержании:

1. Цель.

2. Область применения.

3. Требования к защите.

4. Ответственность за нарушение.

5. Расшифровка специальных терминов. При необходимости.

6. Периодичность и учет пересмотра (изменения).

Заключение:

Политика ИБ является важным документом без которого невозможно обеспечить эффективную защиту информации. Однако политика это не самоцель, она всего лишь элемент процесса управления или менеджмента безопасности. Этот процесс также составляют подготовительный этап, этап внедрения защитных мер, этап мониторинга и этап улучшения.

 

 

  1. Регламенты процессов защиты информации

Регламент -документ, который перечисляет и описывает по порядку этапы (шаги), которые должен предпринимать участник или группа участников для выполнения бизнес-процесса, как правило, с указанием требуемых сроков выполнения этапов (шагов).

Федеральные законы

  • Федеральный закон от 27 июля 2006 г. N 152-ФЗ о персональных данных
  • Федеральный закон от 19 декабря 2005 г. N 160-ФЗ о ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных
  • Федеральный закон от 8 августа 2001 г. N 128-ФЗ о лицензировании отдельных видов деятельности

Постановления правительства

  • Постановление от 15 сентября 2008 г. N 687 об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
  • Постановление от 17 ноября 2007 г. N 781 об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
  • Постановление от 6 июля 2008 г. N 512 об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
  • Постановление от 15 августа 2006 г. N 504 о лицензировании деятельности по технической защите конфиденциальной информации
  • Постановление от 29 декабря 2007 г. N 957 об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами
  • Постановление от 16 марта 2009 г. N 228 о федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций

Указы президента

  • Указ президента РФ от 6 марта 1997 г. N 188 об утверждении перечня сведений конфидециального характера
  • Указ президента РФ от 30 мая 2005 г. N 609 об утверждении положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела
  • "Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895)

Документы ФСБ России

  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

 

  • Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

Документы ФСТЭК России

  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
  • Приказ от 13 февраля 2008 г. N 55 об утверждении порядка проведения классификации информационных систем персональных данных
  • Приказ от 5 февраля 2010 г. N 58 об утверждении положения о методах и способах защиты информации в информационных системах персональных данных

Документы Роскомнадзора

  • Приказ от 17 июля 2008 г. N 08 об утверждении образца формы уведомления об обработке персональных данных
  • Приказ от 1 декабря 2009 г. N 630 об утверждении административного регламента проведения проверок федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
  • Приказ от 30 января 2010 г. N 18 об утверждении административного регламента федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции ведения реестра операторов, осуществляющих обработку персональных данных

Международные документы

  • Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера (рус.)
  • Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера (англ.)

 

  1. Защита персональных данных в автоматизированных системах

Постановление от 17 ноября 2007 г. N 781

1. Настоящее Положение устанавливает требования к обеспечению безопасности

персональных данных при их обработке в информационных системах персональных данных,

представляющих собой совокупность персональных данных, содержащихся в базах данных, а

также информационных технологий и технических средств, позволяющих осуществлять обработку

таких персональных данных с использованием средств автоматизации (далее - информационные

системы).

2. Безопасность персональных данных достигается путем исключения

несанкционированного, в том числе случайного, доступа к персональным данным техническими средствами.

3. Методы и способы защиты информации в информационных системах устанавливаются

Федеральной службой по техническому и экспортному контролю и Федеральной службой

безопасности Российской Федерации в пределах их полномочий.

4. Работы по обеспечению безопасности персональных данных при их обработке в

информационных системах являются неотъемлемой частью работ по созданию информационных

систем.

5. Средства защиты информации, применяемые в информационных системах, в

установленном порядке проходят процедуру оценки соответствия.

6. Информационные системы классифицируются государственными органами,

муниципальными органами, юридическими или физическими лицами, организующими и (или)

осуществляющими обработку персональных данных

7. Обмен персональными данными осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

8. Контроль порядка и соблюдения правил на объекте защиты.

9. Возможные каналы утечки информации определяются ФСТЭК и ФСБ РФ.

10. Безопасность персональных данных при их обработке в информационной системе

обеспечивает оператор или должностное лицо

11. При обработке персональных данных в информационной системе должно быть

обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного

доступа к персональным данным

б) своевременное обнаружение фактов несанкционированного доступа к персональным

данным;

в) недопущение воздействия на технические средства автоматизированной обработки

персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных,

модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

12. Мероприятия по обеспечению безопасности персональных данных включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование

на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных,

обеспечивающей нейтрализацию предполагаемых угроз

в) проверку готовности средств защиты информации к использованию с составлением

заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации

д) обучение лиц, использующих средства защиты информации и обучение правилам работы с ними;

е) учет применяемых средств защиты информации

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации

и) разбирательство и составление заключений по фактам несоблюдения норм и правил установленных в данном постановлении.

к) описание системы защиты персональных данных.

13. Для разработки и осуществления мероприятий по обеспечению безопасности

персональных данных при их обработке в информационной системе оператором или

уполномоченным лицом может назначаться структурное подразделение или должностное лицо

(работник), ответственные за обеспечение безопасности персональных данных.

14. Лица, доступ которых к персональным данным необходим для выполнения служебных обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором.

15. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.

16. При обнаружении нарушений порядка предоставления персональных данных оператор

или уполномоченное лицо незамедлительно приостанавливают предоставление персональных

данных пользователям информационной системы до выявления причин нарушений и устранения

этих причин.

17. Реализация требований по обеспечению безопасности информации в средствах защиты

информации возлагается на их разработчиков.

18. Результаты оценки соответствия и (или) тематических исследований средств защиты

информации оцениваются в ходе экспертизы.

19. К средствам защиты информации прилагаются правила пользования этими средствами.

20. Средства защиты информации, предназначенные для обеспечения безопасности

персональных данных подлежат учету с использованием индексов или условных наименований и регистрационных номеров.

21. Особенности разработки, производства, реализации и эксплуатации шифровальных

(криптографических) средств защиты информации и предоставления услуг по шифрованию

устанавливаются Федеральной службой безопасности Российской Федерации.

  1. Защита персональных данных в неавтоматизированных системах

Постановление от 15 сентября 2008 г. N 687

II. Особенности организации

обработки персональных данных, осуществляемой

без использования средств автоматизации

4. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях.

5. При фиксации персональных данных на материальных носителях не допускается

фиксация на одном материальном носителе персональных данных, цели обработки которых

заведомо не совместимы.

6. Лица, осуществляющие обработку персональных данных должны быть проинформированы о факте обработки ими персональных данных.

7. При использовании типовых форм документов, характер информации в которых

предполагает или допускает включение в них персональных данных (далее - типовая форма),

должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы должны содержать сведения о цели обработки персональных данных

б) типовая форма должна предусматривать поле, в котором субъект персональных данных

может поставить отметку о своем согласии на обработку персональных данных

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов

имел возможность ознакомиться со своими персональными данными, не нарушая прав и интересов иных субъектов

г) типовая форма должна исключать объединение полей, предназначенных для внесения

персональных данных, цели обработки которых заведомо не совместимы.

8. При ведении персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена

актом оператора, содержащим сведения о цели обработки персональных данных,

осуществляемой без использования средств автоматизации, способы фиксации и состав

информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по

должностям), имеющих доступ к материальным носителям и ответственных за ведение и

сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о

порядке пропуска субъекта персональных данных на территорию, на которой находится оператор,

без подтверждения подлинности персональных данных, сообщенных субъектом персональных

данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не

допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой

журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных

данных на территорию.

9. При несовместимости целей обработки персональных данных, зафиксированных на одном

материальном носителе должны быть приняты меры по обеспечению раздельной обработки персональных

данных, в частности:

а) при необходимости использования или распространения определенных персональных

данных отдельно от находящихся на том же материальном носителе других персональных данных

осуществляется копирование персональных данных.

б) при необходимости уничтожения или блокирования части персональных данных

уничтожается или блокируется материальный носитель

10. Уничтожение или обезличивание части персональных данных, может производиться удалением или полным уничтожением.

11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также

в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном

материальном носителе персональных данных и информации, не являющейся персональными

данными.

12. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя необходимо изготовить новый материальный носитель.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...