- •5. Общая характеристика методов и средств защиты информации.
- •6. Компьютерная система как объект информационного воздействия. Методы нарушения конфиденциальности, целостности и доступности информации.
- •7.Основные направления обеспечения информационной безопасности объектов информационной сферы государства в условиях информационной войны.
- •8.Анализ современных подходов к построению систем защиты информации.
- •9.Организационно-правовые, программно-аппаратные и инженерно-технические методы защиты информации.
- •10. Технические каналы утечки информации.
- •11. Угрозы информационной безопасности объекта. Классификация угроз. Источники угрозы
- •12. Проблемы региональной информационной безопасности
- •13. Модель компьютерного нарушителя. Типы нарушителей.
- •14. Вредоносные программы. Антивирусная защита
- •15. Информационное оружие, его классификация и возможности. Объекты информационной войны в военное и мирное время
- •Организационное и правовое обеспечение информационной безопасности
- •16. Защита персональных данных в организации
- •17. Понятие компьютерных преступлений и их классификация
- •18.Классификация информационных систем персональных данных
- •Требования к защите персональных данных при их обработке в информационных системах персональных данных
- •19. Основные методы и способы защиты информации в испДн для различных классов этих систем.
- •II Состав и содержание мер по обеспечению безопасности персональных данных
- •Состав и содержание мер по, обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
- •20. Порядок сертификации средств защиты информации и правовое регулирование лицензионной деятельности в области защиты информации.
- •21. Государственная тайна как особый вид защищаемой информации и её характерные признаки.
- •Вопрос 2. Характерные признаки государственной тайны
- •22. Организация подготовки и проведения совещаний и переговоров по конфиденциальным вопросам.
- •23. Коммерческая тайна и ее защита. Организация режима коммерческой тайны на предприятии.
- •24. Место организационной защиты информации в системе комплексной защиты информации
- •25. Принципы, методы и формы организационной защиты информации. Соотношение организационных и правовых, организационных и технических методов защиты информации
- •26. Структура сил и средств организационной защиты на объекте.
- •27. Служба безопасности объекта. Типовая структура службы безопасности.
- •28. Организация пропускного и внутри объектового режимов.
- •29. Работа с персоналом, имеющим допуск к конфиденциальной информации. Особенности подбора персонала на должности, связанные с работой с конфиденциальными документами.
- •30. Организация системы доступа к защищаемой информации.
Организационное и правовое обеспечение информационной безопасности
16. Защита персональных данных в организации
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 05.04.2013) О персональных данных
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (согласно закону О персональных данных) государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Оператор при обработке персональных данных обязан принимать необходимые правовые , организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Для целей настоящей статьи
под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Пакет документов по защите персональных данных
Положение о защите персональных данных;
Положение о подразделении по защите информации;
Приказ о назначении лиц, ответственных за обработку ПДн;
Концепция информационной безопасности;
Политика информационной безопасности;
Перечень персональных данных, подлежащих защите;
Приказ о проведении внутренней проверки;
Отчет о результатах проведения внутренней проверки;
Акт классификации информационной системы персональных данных;
Положение о разграничении прав доступа к обрабатываемым персональным данным;
Модель угроз безопасности персональных данных;
План мероприятий по защите ПДн;
Порядок резервирования технических средств и программного обеспечения, баз данных и средств защиты информации;
План внутренних проверок;
Журнал учета мероприятий по контролю безопасности ПДн;
Журнал учета обращений субъектов ПДн о выполнении их законных прав;
Инструкция администратора информационной системы персональных данных;
Инструкция пользователя информационной системы персональных данных;
Инструкция администратора безопасности информационной системы персональных данных;
Инструкция пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций;
Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;
Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники;
Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники;
Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа);
Методические рекомендации для организации защиты информации при обработке персональных данных.
Этапы работ . Таким образом, организация защиты персональных данных должна производиться в несколько этапов:
Инвентаризация информационных ресурсов.
Ограничение доступа работников к персональным данным.
Документальное регламентирование работы с персональными данными .
Формирование модели угроз безопасности персональных данных.
Классификация информационных систем персональных данных (ИСПДн) образовательных учреждений.
Составление и отправка в уполномоченный орган уведомления об обработке персональных данных.
Приведение системы защиты персональных данных в соответствие с требованиями регуляторов.
Создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) для ИСПДн классов К1, К2.
Организация эксплуатации и контроля безопасности ИСПДн.
1. Инвентаризация информационных ресурсов
Инвентаризация информационных ресурсов - это выявление присутствия и осуществления обработки персональных данных во всех эксплуатируемых в организации информационных системах и традиционных хранилищах данных.
На данном этапе следует: утвердить положение о защите персональных данных,сформировать концепцию и определить политику информационной безопасности и составить перечень персональных данных, подлежащих защите.
2. Ограничение доступа работников к персональным данным
Допуск к обработке персональных данных должен быть только у тех сотрудников, которым это необходимо для выполнения служебных (трудовых) обязанностей.
На данном этапе следует: в необходимой мере ограничить как электронный, так и физический доступ к персональным данным
3. Документальное регламентирование работы с персональными данными
Согласно статье 86 Трудового кодекса РФ, работники и их представители должны быть ознакомлены под роспись с теми документами работодателя, которые устанавливают порядок обработки персональных данных работников, а также их права и обязанности в этой области.
Субъект персональных данных самостоятельно решает вопрос их передачи кому-либо, оформляя свое намерение документально.
На данном этапе следует: собрать согласия на обработку персональных данных, издать приказ о назначении лиц, ответственных за обработку ПДн и положение о разграничении прав доступа к обрабатываемым ПДн, составить инструкции администратора ИСПДн, пользователя ИСПДн и администратора безопасности ИСПДн.
4. Формирование модели угроз безопасности персональных данных
Частная модель угроз безопасности персональных данных, хранящихся в информационной системе, формируется на основании следующих документов, утвержденных Федеральной службой по техническому и экспортному контролю (ФСТЭК):
Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн;
Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн;
На данном этапе следует сформировать модель угроз безопасности персональных данных, обрабатываемых и хранящихся в образовательном учреждении.
5. Классификация ИСПДн см. вопрос № 18
6. С оставление и отправка в уполномоченный орган уведомления
Уведомление об обработке персональных данных оформляется на бланке оператора и направляется в территориальный орган Роскомнадзора Министерства связи и массовых коммуникаций РФ на бумажном носителе или в форме электронного документа с подписью уполномоченного лица.В форме указываются данные об обработчике, цель обработки, категории данных, категории субъектов, данные которых обрабатываются, правовое основание обработки, дата ее начала, срок (условие) ее прекращения и прочее.
7. Приведение системы в соответствие с требованиями регуляторов
На данном этапе следует: создать перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним; положение о подразделении по защите информации; методические рекомендации для организации защиты информации при обработке персональных данных; инструкцию пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций, а также утвердить план мероприятий по защите ПДн.
8 . Аттестация (сертификация) ИСПДн
Для обеспечения безопасности ИСПДн требуется проводить мероприятия по организации и техническому сопровождению защиты обрабатываемых персональных данных. В качестве оценки соответствия ИСПДн 1 и 2 классов требованиям к безопасности ПДн используется обязательная сертификация (аттестация).
Обязательной аттестации подлежат следующие объекты информатизации:
Автоматизированные системы различного уровня и назначения.
Системы связи, приема, обработки и передачи данных.
Системы отображения и размножения.
Помещения, предназначенные для ведения конфиденциальных переговоров.
9. Организация эксплуатации ИСПДн и контроля за безопасностью
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн.
Ответственность за нарушение ФЗ №152 О персональных данных
Административная ответственность: штраф или штраф с конфискацией несертифицированных средств обеспечения безопасности и шифровальных средств. Административный кодекс, ст. 13.11, 13.12, 13.14
Дисциплинарная ответственность: увольнение провинившегося работника. Трудовой кодекс РФ, ст. 81 и 90
Уголовная ответственность: от исправительных работ и лишения права тзанимать определенные должности до ареста. Уголовныйкодекс, ст. 137, 140, 272