Лабораторные / 3
.docОтчет по лабораторной работе №3:
Классификация информационных систем персональных данных и требования к защищенности
Персона́льные да́нные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
Оператор персональных данных (согласно закону РФ от 27 июля 2006 г. N 152-ФЗ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Федеральный закон «О персональных данных»
|
N |
Документ |
Сведения |
|
1 |
Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу) |
Анкетные и биографические данные работника |
|
2 |
Копия документа, удостоверяющего личность работника |
Ф.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи |
|
3 |
Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1) |
Ф.И.О. работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность |
|
4 |
Трудовая книжка |
Сведения о трудовом стаже, предыдущих местах работы |
|
5 |
Копии свидетельств о заключении брака, рождении детей |
Состав семьи, изменения в семейном положении |
|
6 |
Документы воинского учета |
Информация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников |
|
7 |
Справка о доходах с предыдущего места работы |
Ф.И.О., данные о сумме дохода и удержанного НДФЛ |
|
8 |
Документы об образовании |
Подтверждают квалификацию работника, обосновывают занятие определенной должности |
|
9 |
Документы обязательного пенсионного страхования |
Ф.И.О., личные данные |
|
10 |
Трудовой договор |
Сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника |
|
11 |
Приказы по личному составу |
Информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника |
Также, например, если вы открыли частную поликлинику, то там будет куча персональных данных пациентов (болезни, диагнозы, процедуры), или, например, если вы открыли интернет магазин, то для отправки товара, вам скорее всего понадобится узнавать и хранить множество персональных данных.
1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).
2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.
3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.
Инфоклиника
|
Перечень обрабатываемых ПДн |
|
|
Тип оператора ПДн |
Государственное лечебное учреждение |
|
Категория обрабатываемых ПДн |
Информационная система является информационной системой, обрабатывающей биометрические персональные данные |
|
Объем обрабатываемых ПДн |
Более 100 000 |
|
Тип ИС ПДн |
Типовая |
|
Структура ИС ПДн |
локальные |
|
Наличие подключений к сетям |
Да |
|
Режим обработки ПДн |
многопользовательский |
|
Разграничение прав доступа |
Да |
|
Местонахождение ИС ПДН |
в пределах РФ |
|
Угрозы безопасности ПДн |
Разглашение, внедрение, подмена. |
|
Тип угроз |
2 |
|
Уровень защищенности ИС ПДн |
2 |
- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения - обеспечение сохранности носителей персональных данных - утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей - использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз - назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе - доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей
Я считаю, что главное, что должно быть включено, это жесточайшая дисциплина по учёту и пользования ПДн, так как у нас в России известно одно – повсеместно распространенная халатность.