- •3.Ооиб как один из основных инструментов обеспечения безопасности организации.
- •5. Требования к системе би.
- •2Й вопрос. Уязвимые места в информационной безопас. Организации.
- •3Й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну
- •4Й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.
- •5Й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации
- •6Й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну
- •7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну
- •8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну
- •9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня
- •24.10.2011 Организационное обеспечение информационной безопасности при проведении совещаний.
- •Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
- •Введение
- •Структура внутренних документов по обеспечению информационной безопасности юридического лица
- •Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
- •Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
- •14.11.11 Организационное обеспечение разработки частных политик безопасности
- •Политика организации рабочего места
- •Политика организации дистанционной работы
- •Политика безопасности электронного документооборота
- •Политика криптографической защиты информации
- •Политика использования программного обеспечения
- •Политика использования мобильных устройств обработки информации
- •Политика управления доступом к информационным ресурсам
- •Политика классификации информации
- •Политика управления ролями.
- •Особенности организации и обеспечения хранения скзи.
- •Основные обязанности сотрудников органов криптографической защиты
- •Основные обязанности пользователей скзи
- •Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
- •Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
- •2. Принципы защиты прав юридических лиц, ип при осуществлении государственного контроля.
- •Вопрос 1. Назначение и структура стандарта
- •Вопрос 2. Основные термины и определения
Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
Трудовой кодекс также имеет отношение к защите персональных отношений. Что такое обработка ПД?
Новой редакцией ФЗ установлено, что обработка персональных данных – это целый комплекс действий, при том, что закон фиксирует любые действия или совокупность действий с использованием средств автоматизации так и без. Перечень операций: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление и уничтожение.
ФЗ от 27 июля 2006 года 152 О персональных данных
Сбор – при сборе ПД оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7, ст 14. Посмотрим, чтоже за информацию может предоставлять оператор субъекту.
Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
-
Подтверждение факта обработки ПД оператором. Это означает, что оператор, в соответствии с законом обязан подтвердить процедуру которой он занимается по отношению к субъекту ПД.
-
Субъект пд получает так информацию, на основании какого закона. Цели и применяемые оператором способы обработки персональных данных. Правовые основания и цели.
-
Наименование и местонахождение тех, кто проводит операцию по обработке персональных данных. Сведения о всех, кто имеет доступ к ПД. За исключением работников оператора ПД.
-
Обрабатываемые ПД, которые относятся к данному субъекту, источник получения, или другой порядок предоставления таких данных, если иное не предусмотрено законом.
-
Сроки обработки ПД, в том числе и сроки их хранения
-
Порядок осуществления прав субъекта, то есть каким образом гражданин может реализовать свои права.
-
Это информация, касаемая трансграничной передачи
-
Конкретные указания о том работнике, который будет производить обработку наименование или фамилию имя отчество и адрес ЮР лица.
-
Другие сведения, которые предусмотрены ФЗ или другими федеральными законами.
-
Обработка ПД включает в себя СБОР, и во время сбора оператор проводит СИСТЕМАТИЗАЦИЮ, тое приведение полученных ПД в системы в соответствии с заявленными целями.
-
Далее следующий этап это НАКОПЛЕНИЕ, ХРАНЕНИЕ:
-
Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях несовместимых между собой.
-
Хранение пд должно осуществляться в форме, позволяющей определить субъекта не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен ФЗ.
Следующий этап в процедуре обработки это УТОЧНЕНИЕ (ОБНОВЛЕНИЕ, ИЗМЕНЕНИЕ). В случае выявления неточных ПД. В случае выявления неточных ПД или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПД оператор обязан осуществить блокирование пд, относящихся к этому субъекту ПД или обеспечить их блокирование, с момента такого обращения или получения указанного запроса на период проверки.
Использование ПД – действия с пД, совершаемые оператором в целях:
Принятия решения; Или совершения иных действия, порождающих юридические последствия; И иным образом, затрагивающих права и свободы субъекта ПД или других лиц. На всех этих этапах существуют потенциальные угрозы, и задача организационного обеспечения информации это блокировать такие угрозы.
Распространение ПД – действия, направленные на раскрытие пд неопределенному кругу лиц.
Обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность пд к конкретному субъекту ПД. Закон устанавливает, что обезличивание персональных данных обеспечивает невозможность без доп информации уяснить кому же принадлежат ПД.
Блокирование ПД - временное прекращение обработки ПД( за исключением случаев, если обработка необходима для уточнения ПД
Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в ИСПД и в результате которых уничтожаются материальные носители ПД.
Правовое регулирование в сфере обеспечения безопасности ПД
Баланс интересов – субъекты ПД, государственные органы, негосударственные организации.
|
ФЗ н 152 от 27.07.2006 О ПД |
ФЗ регулирует отношения, связанные с обработкой персональных данных с использованием средств автоматизации |
|
Постановление правительства РФ 781 17.11.2007 Об утверждении положения об обеспечении безопасности ПД при их обработке в ИСПДн |
Устанавливаются общие требования к обеспечению безопасности ПД при их обработке в информационных системах ПД |
|
Совместный приказ ФСТЭК России мининформ. связи России номер 55-86-20 |
Определяет порядок проведения классификации информационных систем ПД |
|
Комплект методических документов ФСТЭК России в области обеспечения безопасности персональных данных при их обработке в ИСПДн |
Устанавливает конкретные требования к обеспечению безопасности пд при их обработке в информационных системах ПД |
|
Комплект документов ФСБ по об ПДн при их обработке вИСПДН |
Устанавливает требования по ОБ ПДн при использовании СКЗИ в ИСПДн |
Центральный документ – Постановление 781 Положение об обеспечении безопасности ПД при их обработке в информационных системах персональных данных.
Положение устанавливает требования к обеспечению безопасности ПД при их обработке в информационных системах ПД, представляющих собой совокупность ПД содержащихся в базах данных, а также информационных технология и технических средства, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Требования являются обязательными к выполнению для:
-
Федеральных органов государственной власти;
-
Органов государственной власти субъектов РФ
-
Иных государственных органов
-
Органов местного самоуправления
-
Юридических и физических лиц, участвующих в создании и эксплуатации ИСПДн.
Согласно п11. Данного положения при обработке ПД в ИС должно быть обеспечено:
-
Проведение мероприятий, направленных на предотвращение НСД к ПДн;
-
Своевременное обнаружение фактов НСД к ПДн
-
Недопущение воздействий на технические средства автоматизированной обработки ПДн
-
Постоянный контроль за уровнем защищенности ПДн
-
Возможность незамедлительного восстановления ПДн
-
ПД, поступающего на работу гражданина > Кадровый орган >Финансовый орган; Подразделение хозяйственного обеспечения; Подразделение по пропускному режиму
По запросам ПД могут перемещаться от органа власти к:
Вышестоящий орган власти, налоговые органы, пенсионный фонд, подразделения соцобеспечения, учреждения здравоохранения, учебные заведения, органы ФСБ, военные комиссариаты, банковские структуры, предыдущее место работы, средства массовой информации.
Обеспечение безопасности при обработке персональных данных. Оператор обязан принимать необходимые правовые, организационные, технические меры, или обеспечивать их приятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования,предоставления, распространения ПД, а также от иных неправомерных действий.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПДн – состояние защищенности ее национальных интересов в информационной сфере определяющихся совокупностью сбалансированных интересов личности, общества и государства. Можно сделать вывод, что безопасность персональных данных это состояние защищенности жизненно важных интересов личности в информационной сфере от внутренних и внешних угроз.
Вместе с тем, что наиболее емкое определение ИБ это все аспекты связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.
Конфиденциальность – свойство информации быть недоступной и закрытой для неавторизованного индивидуума. Конфиденциальность информации – обязательное для выполнения лицом получившим доступ к определенной информации требование не передавать такую информацию третьим лица.
Статья 7. Конфиденциальность ПД.
Операторы и иные лица, получившие доступ к персональным данным, обязаны:
-не раскрывать третьим лицам и не распространять ПД без согласия субъекта.
Целостность информации – состояние информации, при котором отсутствует любое изменение и осуществляется только теми субъектами которые имеют на это право
Целостность ресурсов ИС – состояние ресурсов ИС. Целостность ПД – состояние пд при котором их изменение осуществляется только тем кто обладает правом на это.
Доступность – свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.
Доступность это состояние информации при котором субъекты, имеющие право доступа могут реализовать их беспрепятственно.
Неотказуемость – способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты.
Неотказуемость ПДн способность удостоверять имевшее место * действие по отношению к ПД * или событие, касающееся персональных данных так, чтобы эти события или действия не могли быть отвергнуты.
Подотчетность – свойство, которое обеспечивает однозначное прослеживание действий любого логического объекта.
Подотчетность ресурсов – состояние ресурсов автоматизированной ИС при котором обеспечиваются их идентификация и регистрация.
Аутентичность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Примечание - применимо к процессам, системам и информации, пользователям.
Аутентичность ПД свойство персональных данных, гарантирующее что субъект ПД или ресурс, содержащий ПД идентичны заявленным.
Аутентичные документы могут быть выполнены на одинаковых или разных видах носителя данных. Межгосударственный стандарт ГОСТ 2.051-2006 Единая система конструкторской документации. Электронные документы.
Аутентификация – действия по проверке подлинности субъекта доступа в информационной системе. Р50.1.056-2005 Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения.
Достоверность свойство соответствия предусмотренному поведению и результатам.
В результате мы можем сформулировать что такое безопасность персональных данных – то есть все аспекты, с вязанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности персональной информации или средств её обработки.
Обеспечение безопасности достигается выполнением следующих мероприятий:
1-Определением угроз безопасности ПД при их обработке в ИСПДн;
2-Применением организационных и технических мер по обеспечению безопасности пд при их обработке в испдн, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные правительством РФ уровни защищенности ПД;
3-Применением прошедших в установленном порядке процедуру оценки соответствия СЗИ;
4-Оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию испдн;
5-Учетом машинных носителей ПДн;
6-Обнаружением факта НСД
7-Восстановление ПДн которые уничтожены или модифицированы
8-Установлением правил доступа к ПД, обрабатываемым в ИС пдн а также обеспечением регистрации и учета всех действий, сов с ПДн в ИСПДН
9-Контроль за принимаемыми мерами.
Правительство устанавливает уровни защищенности персональных данных при их обработке в ИСПДн в зависимости от угроз.
Требования к защите персональных данных при их обработке в ИСПДн исполнение которых обеспечивает установленные уровни защищенности
3-Правительство устанавливает требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем ПДн.
Приказ федеральной службы по техническому и экспортному контролю от 5го февраля 2010 н58 Об утверждении Положения о методах и способах защиты информации в информационных системах Персональных данных”
Персональные данные надо защищать от несанкционированного в том числе случайного доступа, в частности от их уничтожения изменения блокирования копирования и распространения.
Для защиты персональных данных могут привлекаться специализированные организации. Эти организации должны иметь лицензию на деятельность по технической защите конфиденциальной информации.
Среди методов и способов защиты персональных данных можно выделить следующих: наличие разрешительной системы допуска пользователей к информационным ресурсам;
Ограничение доступа в помещения где размещены технические средства для обработки персональных данных;
Регистрация и контроль действий пользователей персональными данными.
Можно также учитывать и хранить съемные носители информации, использовать защищенные каналы связи. Регистрация и контроль действий пользователя персональными данными. Контроль действий это инструкции контролирующие.
Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для щашиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн.
Требования:
1-Являются обязательными для оператора, который осуществляет обработку ПДн, особым образом выделяется при этом существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных
2-Требования распространяются на криптограф.
3-Требования не отменяют требования иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в Фед.Орг.Исп.Власти
*Оператор с учетом особенностей своей деятельности может разрабатывать не противоречащие настоящим требованиям методические рекомендации по их применению.
Методические рекомендации по обеспечению предназначены для операторов и разработчиков ИСПДн и охватывают вопросы защиты ПДн с помощью криптосредств. Мет реками нужно руководствоваться при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных ИСПДн.
При использовании криптосредств для обеспечения персональных данных в случаях предусмотренных в п3. Положения о разработке, производств, реализации и эксплуатации.
Положение пкз2005. Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации
Положением необходимо руководствоваться при разработке, производстве, реалиизации, и эксплуатации средств КЗ конфд характера в случае если инфа подлежит защите в соответствии с законодательством РФ и еще чето там
Если организуется при организации криптографической защиты информации конфиденциального характера в организациях, 5 при обработке информаици государственными органами. 6- при обрабатывании информации конф характера в государственных органах и в организациях выполняющих гос заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптограф.
Лекция от 5 декабря. Требования к контролю за организацией и обеспечением безопасности информации с использованием СКЗИ
Правовая основа выполнения требований к организационно-правовому обеспечению применения СКЗИ.
На первом месте находится компонент правового обеспечения.
Федеральный закон от 26 декября 2008г н294-ФЗ “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля с изменениями от 28 апреля 17 июля 2009г” является правовой основой выполнения требований к организационно-правовому обеспечению применения СКЗИ. Закон дает правовую защиту юр лицам и предпринимателям, если они принимают решение защищать информацию с применением СКЗИ.
Проверки подразделяются на плановые и внеплановые, документарные и выездные. Плановые проверки как правило должны проводиться не чаще чем раз в три года за исключением организаций осуществляющих деятельность в сфере образования здравовоохранения и социальной сфере. Ежегодный сводный план проверок составляется генеральной прокуратурой и размещается на официальном сайте генпрокуратуры.
Внеплановые проверки возможны только в определенных случаях: Если есть угроза причинения вреда жизни и здоровью граждан, либо причинения вреда животным растениям и окружающей среде, безопасности государства, а также в случае угрозы чрезвычайных ситуаций природного и техногенного характера. Также возможны по жалобам.
Фз распространяется на все контрольные мероприятия в отношении организаций и ИП, кроме действий, связанных с ОРД, дознанием, следствием и судом, административным расследованием, прокурорским, налоговым, финансовым, валютным и банковским надзором.
Под действие закона также не подпадают контрольные мероприятия в пунктах пропуска через госграницу и мероприятия по возникновению причин ЧС, массовых заболеваний и всё такое.
Государственный контроль(надзор) – деятельность уполномоченных органов (фоив, овсРФ, те которые направлены на предупреждение различных нарушений. контроль осуществляется по средствам организаций и проведения проверок а также по принятию мер по пресечению и устранению нарушений. Кроме того, для выполнения надзорных функций это деятельность также по систематическому наблюдению за выполнением исполнением обязательных требований, а также анализу, прогнозированию состоянию исполнения требований.
Закон также разъясняет что такое мероприятия по контролю, при этом выделяется что действия по контролю это действия должностных лиц органа по контролю, и привлекаемых по необходимости эксперта, эти действия будут направлены на рассмотрение документов юридического лица.
Мероприятия по контролю – действия должностного лица или должностных лиц органа государственного контроля либо охрана муниципального контроля и привлекаемых в случае необходимости в установленном настоящим ФЗ порядке к проведению проверок экспертов, экспертных организаций. Обследование оборудования, транспортных средств и всего что окружает работу.
Законодатель сформулировал, что мероприятия по контролю также включает в себя расследование на установление причинно-следственной связи.
ПРОВЕРКА – совокупность проводимых органом государственного контроля или органом муниципального контроля в отношении юридического лица, индивидуального предпринимателя мероприятий по контролю для оценки:
-соответствия осуществляемых ими деятельности или действий(бездействия)
-производимых и реализуемых ими товаров (Выполняемых работ, предоставляемых услуг) обязательным требованиям и требованиям, установленным муниуципальными правовыми актами.