 |
Основные требования нормативных документов по защите персональных данных
|
|
|
|
3.1. К методам и способам защиты ПДн в ИС относятся:
1) Методы и способы защиты ПДн, обрабатываемых техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее – методы и способы защиты информации от несанкционированного доступа);
2) Методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее – методы и способы защиты информации от утечки по техническим каналам).
3.2. Для выбора и реализации методов и способов защиты ПД в информационной системе, оператором или уполномоченным им лицом, может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
3.3. Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
3.4. Выбор и реализация методов и способов защиты ПДн в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от Уровня защищенности ПДн при их обработке в ИСПДн определенного в соответствии с требованиями к защите ПДн при их обработке в ИСПДн (ПП № 1119).
|
|
|
3.5. Модель угроз разрабатывается на основе методических документов ФСТЭК России:
1) «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн». Утверждена приказом зам. директора ФСТЭК РФ 15.02.2008 г.
2) «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн». Утверждена приказом зам. директора ФСТЭК РФ 14.02.2008 г.
3) «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн». Утверждено приказом директора ФСТЭК РФ от 18.02.2013 г. № 21.
3.6. Основными методами и способами защиты ПДн от несанкционированного доступа являются:
1) Реализация разрешительной системы допуска сотрудников ООО «ЦСД» к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
2) Ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
3) Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
4) Регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
5) Учет и хранение съемных носителей информации, и их обращение, исключающее хищение, подмену и уничтожение;
6) Резервирование технических средств, дублирование массивов и носителей информации;
7) Использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
8) Использование защищенных каналов связи;
9) Размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
|
|
|
10) Организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
11) Предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
3.7. Основные мероприятия по защите персональных данных в ООО «ЦСД»:
3.7.1. Обеспечение безопасности ПДн в ООО «ЦСД» путём выполнения комплекса организационно-технических мероприятий по защите ПДн при их обработке в ИСПДн.
3.7.2. Обеспечение защиты информации на объектах информатизации ООО «ЦСД» путём применения сертифицированных средств защиты информации от попыток несанкционированного доступа и предупреждения преднамеренных программно-технических воздействий, предпринятых с целью нарушения целостности (модификации, уничтожения) информации в процессе её обработки, передачи, хранения и нарушения её доступности, а также нарушения работоспособности технических средств.
3.8. Порядок определения защищаемой информации ООО «ЦСД».
3.8.1. К защищаемой информации ООО «ЦСД» относится:
1) Информация, содержащая ПДн работников, клиентов, граждан;
2) Общедоступная информация, уничтожение, изменение, блокирование которой может нанести ущерб ООО «ЦСД».
3.9.1. По результатам анализа информации обрабатываемой в ООО «ЦСД» составляются:
1) Перечень ПДн;
2) Перечень носителей ПДн;
3) Описание технологического процесса обработки информации.
3.9.2. Защищаемая информация ООО «ЦСД» может быть представлена:
- на бумажных носителях в виде отдельных документов или дел с документами;
- на отчуждаемых и электронных носителях в виде электронных файлов, журналов и баз данных.
3.9.3. С целью определения технических средств, участвующих в обработке ПДн, администратором по безопасности определяются основные технические средства и системы в составе ИСПДн и их размещение на плане объекта относительно границ контролируемой зоны, утверждённой соответствующим приказом директора ООО «ЦСД».
|
|
|
