защита персональных данных в ЛУ
.PDFКафедра управления и социологии здравоохранения ФУВ РНИМУ
ПОЛОЖЕНИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
(Постановление Правительства РФ от 17 ноября 2007 г. № 781) -3:
VIII.Мероприятия по обеспечению безопасности ПДн включают в себя:
a.Определение угроз безопасности ПДн и формирование на их основе модели угроз и классификацию ИСПДн;
b.Разработку на основе модели угроз СЗПДн;
c.Проверку готовности СЗИ к использованию с составлением заключений о возможности их эксплуатации;
d.Установку и ввод в эксплуатацию СЗИ;
e.Обучение лиц, использующих СЗИ, правилам работы с ними;
f.Учет применяемых СЗИ, и документации к ним, носителей ПДн;
g.Учет лиц, допущенных к работе с ПДн в ИСПДн;
h.Контроль за соблюдением условий использования СЗИ;
i.Реагирование на нарушение режима защиты ПДн;
j.Описание системы защиты ПДн.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
ПОЛОЖЕНИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
(Постановление Правительства РФ от 17 ноября 2007 г. № 781) -4:
Персонал допускается к ПДн на основании списка, утвержденного оператором или уполномоченным лицом;
Запросы пользователей на получение ПДн регистрируются средствами информационной ИСПДн в электронном журнале обращений;
При обнаружении нарушений порядка предоставления ПДн незамедлительно приостанавливается предоставление ПДн пользователям информационной системы до выявления причин нарушений и устранения этих причин;
К СЗИ прилагаются правила пользования, согласованные с ФСТЭК (ФСБ) России;
СЗИ подлежат учету.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
ПОЛОЖЕНИЕ ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
(Постановление Правительства РФ от 15 сентября 2008 г. № 687):
Устанавливает особенности обработки ПДн, осуществляемой без использования средств автоматизации, в том числе:
Особенности организации обработки ПДн, осуществляемой без использования средств автоматизации;
Требования по регистрации ПДн на носителях информации и их хранению;
Требования к типовым формам документов;
Условия ведения журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор и аналогичных целей;
Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
ТРЕБОВНИЯ К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
(Постановление Правительства РФ от 6 июля 2008 г. № 512):
Документ устанавливает требования при использовании материальных носителей (машиночитаемых носителей информации), на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах
(ФСТЭК России)
•Содержит общее системное изложение вероятных угроз безопасности персональных данных при их обработке в информационных системах.
•Предназначена для использования при разработке моделей угроз для конкретных информационных систем персональных данных.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Методика определения угроз безопасности персональных данных при их обработке в информационных системах
(ФСТЭК России)
•Определяет порядок моделирования угроз безопасности персональных данных при их обработке в ИСПДн и выявления актуальных угроз (на основе экспертного анализа).
•Результаты моделирования служат для формирования обоснованных требований по защите персональных данных при их обработке в ИСПДн.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Положение о методах и способах защиты информации в ИСПДн
(ФСТЭК России)
Документ устанавливает методы и способы защиты информации
в ИСПДн, в т.ч.:
•Общие методы и способы защиты ПДн от несанкционированного доступа.
•Методы и способы защиты информации от несанкционированного доступа в зависимости от класса информационной системы.
•Методы и способы защиты информации от утечки по техническим каналам.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
(ФСБ России)
Документ предназначен для операторов и разработчиков информационных систем персональных данных и определяет (в случае обеспечения с помощью криптосредств безопасности персональных данных):
•Порядок формирования модели угроз безопасности персональных данных;
•Порядок формирования модели нарушителя;
•Общие методы и способы защиты ПДн от несанкционированного доступа.
•Порядок определения на основе построенной модели нарушителя требуемого уровня криптографической защиты ПДн и, как следствие, определения требуемого класса защиты применяемого криптосредства;
•Требования к контролю встраивания криптосредств.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн
(ФСБ России)
Документ определяет порядок организации и обеспечения функционирования шифровальных (криптографических) средств, в том числе:
•Организационно-технические меры при развертывании и эксплуатации информационных систем;
•Порядок обращения с криптосредствами и криптоключами к ним;
•Мероприятия при компрометации криптоключей;
•Порядок размещения, специального оборудования, охраны и организации режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним.
Кафедра управления и социологии здравоохранения ФУВ РНИМУ
ОБЯЗАННОСТИ ОПЕРАТОРОВ:
Оператор персональных данных обязан:
•Провести инвентаризацию ИР, обрабатываемых в ИС и определить перечень обрабатываемых ПДн;
•Урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
•Оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн (при необходимости);
•Разработать модель угроз (на основании результатов обследования ИСПДн);
•Провести классификацию ИСПДн с оформлением соответствующего акта;