 |
Необходимый уровень доступности, целостности и конфиденциальности персональных данных обеспечивается соответствующими множеству значимых угроз методами и средствами.
|
|
|
|
Основные задачи системы обеспечения безопасности персональных данных
Для достижения основной цели защиты и обеспечения указанных свойств персональных данных система обеспечения информационной безопасности ГБПОУ СКСС должна обеспечивать эффективное решение следующих задач:
- своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационных систем ГБПОУ СКСС;
- создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
- защиту от вмешательства в процесс функционирования информационных систем ГБПОУ СКСС посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);
- разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам ГБПОУ СКСС (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;
- обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
- защиту от несанкционированной модификации используемых в информационных системах ГБПОУ СКСС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
|
|
|
- защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
Основные пути решения задач системы защиты
Поставленные основные цели защиты и решение перечисленных выше задач достигаются:
- строгим учетом всех подлежащих защите ресурсов информационных систем ГБПОУ СКСС (информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест);
- ведением журнала действий персонала, осуществляющего обслуживание и модификацию программных и технических средств информационной системы;
- полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ГБПОУ СКСС по вопросам обеспечения безопасности информации;
- подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности персональных данных и процессов их обработки;
- наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам ГБПОУ СКСС;
- четким знанием и строгим соблюдением всеми пользователями информационных систем ГБПОУ СКСС требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
- персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам ГБПОУ СКСС;
- непрерывным поддержанием необходимого уровня защищенности элементов информационной среды ГБПОУ СКСС;
- применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
|
|
|
- эффективным контролем над соблюдением пользователями информационных ресурсов ГБПОУ СКСС требований по обеспечению безопасности информации;
- юридической защитой интересов ГБПОУ СКСС при взаимодействии с внешними организациями (связанном с обменом персональными данными) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц.
ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Построение системы, обеспечения безопасности персональных данных ГБПОУ СКСС, и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- разумная достаточность (экономическая целесообразность);
- персональная ответственность;
- минимизация полномочий;
- исключение конфликта интересов;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности персональных данных ГБПОУ СКСС в соответствии с действующим законодательством в области защиты персональных данных, а также других законодательных актов по безопасности информации РФ, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с персональными данными. Принятые меры безопасности персональных данных не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях.
Все пользователи информационной системы ГБПОУ СКСС должны иметь представление об ответственности за правонарушения в области обработки персональных данных.
Системность
Системный подход к построению системы защиты информации в ГБПОУ СКСС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных.
|
|
|
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места информационных систем ГБПОУ СКСС, а также характер, возможные объекты и направления атак на нее со стороны нарушителей (особенно высококвалифицированных злоумышленников). Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Комплексность
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.
Непрерывность защиты
Обеспечение безопасности персональных данных - процесс, осуществляемый руководством ГБПОУ СКСС, ответственным за организацию обработки персональных данных и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри ГБПОУ СКСС и каждый сотрудник ГБПОУ СКСС должен принимать участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности ГБПОУ СКСС. И ее эффективность зависит от участия руководства и сотрудников ГБПОУ СКСС в обеспечении информационной безопасности персональных данных.
Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления защиты.
|
|
|
Своевременность
Предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите персональных данных и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационных систем в целом и их систем защиты, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой информационной системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) системы, обладающие достаточным уровнем защищенности.
|
|
|
