Доступ к информационных системах персональных данных

Предлагаем рассмотреть тему: "Доступ к информационных системах персональных данных" с комментариями профессионалов. Мы старались разъяснить все понятным языков и полностью раскрыть тему. Внимательно причитайте статью и, если возникнут вопросы, вы можете их задать в комментариях или напрямую дежурному консультанту.

Что такое общедоступные персональные данные и какие виды информации к этому относятся?

Личные сведения гражданин предоставляет чуть ли не ежедневно многим операторам персональных данных. Это может быть работодатель, банки, лечебное учреждение, интернет-ресурсы и т.д. По закону операторы обязаны обеспечивать защиту конфиденциальной информации.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных, в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и другие. Но одна из четырех категорий персональных данных является общедоступной. Доступ к ней имеет неограниченный круг лиц.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое?

К общедуступным данным есть свободный доступ при наличии письменного разрешения субъекта. Сюда также могут входить такие сведения о субъекте, конфиденциальность которых не предусматривается законом.

Субъект – это физическое лицо, информацию о котором собирает, хранит, обрабатывает и с какой-либо целью использует оператор (юридическое или физическое лицо, муниципальный или государственный орган).

Какие виды информации ими являются?

Список личных сведений общедоступного характера включает в себя:

  • фамилию, имя и отчество субъекта;
  • сведения, полученные из удостоверения личности (паспорта);
  • место и дата рождения;
  • адрес регистрации и фактического проживания;
  • образование;
  • контактная информация;
  • ИНН;
  • профессиональная деятельность и места трудоустройства;
  • доходы и т.д.

Особенности

Не во всех случаях возникает необходимость в письменном разрешении на их использование, иногда достаточно подписи или «галочки», поставленной в нужной графе (например, при заполнении заявлений через интернет).

Сведения общего характера могут быть помещены в источники с свободным доступом. В них хранится информация о субъектах, к их числу относят разнообразные справочники с телефонными номерами или адресами.

Согласно «Перечня сведений конфиденциального характера» те из них, что подлежат распространению в средствах массовой информации, не являются конфиденциальными.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Обработкой занимаются специальные подразделения или органы, которые собирают, систематизируют, хранят, используют, а также уничтожают сведения. Контроль за законностью использования персональных данных осуществляют Роскомнадзор, ФСБ и ФСТЭК (подробнее об основных принципах и понятиях при работе Роскомнадзора с персональными данными и обращениями граждан, читайте тут).

ФСТЭК — федеральная служба по техническому и экспортному контролю выдает лицензии организациям, оказывающим услуги другим лицам по созданию систем защиты персональных данных. Система защиты данных создается для своих нужд, лицензия на нее не требуется.

Физическое лицо вправе получить сведения об операторе, а также узнать конкретную цель, преследуемую оператором при обработке.

Субъект имеет полное право подавать заявку, одобрение которой позволяет уточнить, блокировать или уничтожить личные сведения в том случае, если они устарели, недействительны, неполные или их наличие не является обязательным при обработке.

Помимо всего прочего, физическое лицо вправе запросить у оператора доступ к своей личной информации, а также ознакомиться со средствами обработки сведений. Операторы – это специалисты, занимающиеся обработкой информации о человеке.

Подробнее о том, в каких случаях необходим договор на обработку персональных данных, читайте тут.

В каком случае они включаются в открытые источники?

Включение информации в общедоступные источники происходит в различных ситуациях, например:

  • при трудоустройстве и заключении трудового договора;
  • в процессе переписи населения;
  • установлении торговых отношений и т.д.

Персональные данные субъекта классифицируются по объему личной информации о человеке и степени важности. Любые операции с ними производятся строго в рамках законодательных актов и подлежат защите.

Операторы обязаны организовать безопасность процесса работы. Они должны обеспечивать полную защиту личной информации субъектов от доступа к ней посторонних лиц.

В процессе сбора оператор обязан взять письменное разрешение на дальнейшую обработку. В письменное согласие на обработку включается информация о субъекте и об операторе (ФИО, адрес), цель обработки и перечень необходимых сведений, а также описание операций, которые будут производиться с ними.

Гражданин, как владелец персональной информации о самом себе, может отозвать ранее подписанное разрешение на ее обработку. Если субъект недееспособен или в случае его смерти, согласие запрашивается у законных представителей или наследников. В основе действий оператора лежит Федеральный закон «О персональных данных».

Любая информация о физическом лице — субъекте персональных данных может быть исключена из общедоступных источников на основании требования субъекта, Роскомнадзора, решения суда или других государственных органов.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obshhedostupnye.html

Открываем занавес неизвестного – что это такое информационные системы персональных данных и как с ними работать?

Информационными системами персональных данных (ИСПДн) в своей деятельности пользуются многие компании и организации, как государственные, так и муниципальные.

Что такое государственные и частные ИСПДн, особенности частных и государственных ИСПДн, узнаем определения и рассмотрим особенности данных систем, а также основные процессы работы с ними.
Расскажем инструкция регламентирует какие обязанности оператора ИСПДн регламентирует инструкция по обеспечению безопасности обрабатываемой информации.

Читайте так же:  Оспорить ренту с пожизненным содержанием

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что это такое государственные и частные ИСПДн?

Информационная система ПДн предназначена для хранения и обработки личной информации. Она состоит из:

  1. Совокупности сведений, которые хранятся в базе.
  2. Технических средств, применяющихся для работы с данными сведениями.
  3. Средств автоматизации работ, связанных с учетом и обработкой информации, находящейся в ИСПДн (автоматизирующие средства применяются не во всех системах).

К персональной относится информация, касающаяся конкретного лица или субъекта. В это понятие входят такие сведения:
  • Фамилия, имя, отчество.
  • Дата рождения.
  • Адрес прописки и фактического проживания.
  • Материальное, семейное и социальное положение.
  • Размеры доходов.
  • Профессия.
  • Иные данные.

Особенности частных

Для большинства крупных частных предприятий и компаний, которые работают в России, неотъемлемыми стали программы бухучета, занимающиеся обработкой данных о:

  • зарплате сотрудников;
  • пенсионных, страховых налоговых отчислений;
  • социальных пособиях;
  • добровольных взносах (к примеру, негосударственное страхование пенсионеров);
  • принудительных платежах (например, алиментах).

В зависимости от характера деятельности в разных фирмах и на производстве появляются специфические системы, которые обрабатывают ПДн:

  1. автоматизированные банковские системы;
  2. биллинговые системы или абонентские базы;
  3. базы страховых компаний;
  4. системы, хранящие данные коллекторских агентств;
  5. бюро кредитных историй с информацией о гражданах;
  6. амбулаторные электронные карты в медицинских организациях и пр.

Все перечисленные системы обслуживают бизнес-процессы.

Государственные

Российское законодательство в области ПДн основано на Конституции РФ и международных договорах России и состоит из действующего ФЗ-152 «О персональных данных» и прочих законов, определяющих случаи и тонкости обработки персональной информации.

Согласно федеральным законам, государственные органы имеют полномочия на принятие нормативных актов по определенным вопросам относительно обработки ПДн.Данные акты не могут нести в себе положения, которые ограничивают права субъектов личных данных. Указанные проекты официально публикуются. Исключение составляют акты или конкретные их положения, содержащие информацию, доступ к которой ограничивается законом.

Обработка ПДн

Процесс обработки ПДн – это изменение, добавление, хранение, удаление, анализ или распространение персональной информации. У каждой ИСПДн обязательно должна быть конкретная цель обработки. Она и служит главным критерием при выделении категории ИСПДн.

Обработкой данных занимается оператор – это государственный, частный орган, физическое или юридическое лицо, работающее с персональной информацией. Оператор определяет цели и характер обработки ПДн.

Сотрудник следит за работой средств, защищающих информацию, регулярно проводит антивирусные проверки, консультирует сотрудников по теме безопасности личных данных.

Кроме того, каждая ИСПДн должна иметь разработанную «Частную модель актуальных угроз». Данный документ выделяет среди всех потенциальных угроз безопасности информации те, которые представляют реальную опасность. Модель строится на основании оценок экспертов.

Аттестация

Аттестация ИСПДн обязательна только для государственных систем персональных данных. Операторы обязаны их защищать в соответствии с Правилами защиты сведений, не являющихся государственной тайной, которые содержатся в государственных ИСПДн. Правила утверждены Приказом ФСТЭК РФ №17 от 2013 года.

Для негосударственных информационных систем аттестат соответствия нормам безопасности может пригодиться в том случае, когда необходимо доказывать требуемую степень защиты ИСПДн. Для частных систем аттестация проводится добровольно. Для этого могут использоваться Специальные рекомендации и требования по защите конфиденциальных данных (СТР-К). Доступ к указанному документу ограничен. Его можно получить исключительно в управлении ФСТЭК.

Процедура аттестации проводится компанией, обладающей лицензией на ведение дел по технической защите информационных ресурсов. Для этого создается аттестационная комиссия, включающая экспертов в сфере информационной безопасности. Задача команды – оценить соответствие технических и организационных мероприятий, испытать программные средства защиты ПДн.

Для частных компаний может быть достаточно получения декларации соответствия. Документ составляет оператор, привлекая специалистов в сфере защиты ПДн.

Матрица доступа

Особенности избирательного управления доступом описываются моделью системы на основе матрицы доступа (МД). Также она называется матрицей контроля доступа. МД – это прямоугольная матрица, в рамках которой объект системы – это строка, а субъект – столбец. На пересечении строки и столбца указан вид разрешенного доступа субъекта к определенному объекту.

Доступы бывают следующие:

  • К чтению.
  • Для записи.
  • На исполнение и другие.

Количество объектов и видов доступа к ним меняются, согласно определенным правилам, использующимся в конкретной системе. Изменения данных правил также решаются матрицей. Первоначальное состояние системы определяет матрица доступа.

Действия регламентируются и фиксируются в матрице:
  1. R – чтение.
  2. CR – создание объекта.
  3. W – запись внутри объекта.
  4. D – избавление от объекта.
  5. Знак «+» определяет доступность для конкретного субъекта.
  6. Знак «-» определяет недоступность для субъекта.

На примере предприятия объектами будут:

  • Технические средства, обрабатывающие, принимающие и передающие информацию.
  • Коммерческая тайна.
  • Личные данные клиентов.
  • ПДн работников.
  • Документация.
  • Личные дела сотрудников.
  • Электронные БД персонала и клиентуры.
  • Бумажные и электронные приказы, договора, планы, отчеты, являющиеся коммерческой тайной.
  • Средства защиты данных: антивирусы, сигнализационная система и др.
  • Личные данные бывших сотрудников и клиентов.

В роли субъектов доступа к данным выступают:

Инструкция пользователя

Инструкция регламентирует обязанности оператора ИСПДн по обеспечению безопасности обрабатываемой информации. Она включает:
  1. Обязанности пользователя ИСПДн.
  2. Запрещенные для пользователя ИСПДн действия.
  3. Права оператора ИСПДн.
  4. Ответственность пользователя.
  5. Правила работы в информационно-телекоммуникационных сетях международного обмена информацией.
  6. Перечень документации, использованной при разработке инструкции.
  • Скачать бланк инструкции пользователя информационных систем персональных данных
  • Скачать образец инструкции пользователя информационных систем персональных данных

Как происходит обработка личных сведений?

Процесс обработки ПДн в системе должен соответствовать следующим принципам:

  1. Обработка данных выполняется только на законных основаниях.
  2. Процедура ограничивается достижением заблаговременно утвержденных конкретных целей, не противоречащих закону.
  3. Недопустимо объединение нескольких БД, содержащих информацию, чья обработка осуществляется в несовместимых между собой целях.
  4. Обрабатываются только те ПДн, которые соответствуют целям обработки.
  5. Обеспечение точности информации, ее достаточности и актуальности для конкретных целей.
Читайте так же:  Подать жалобу председателю верховного суда

Необходимость обеспечения безопасности ИСПДн актуальна. Конфиденциальность личной информации является обязательным требованием для лиц, имеющих доступ к персональным данным. Важно не допускать их распространения, если субъект ПДн не дал на это своего согласия или если отсутствуют на то законные основания.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/informatsionnaya-sistema.html

Государственные информационные системы (ГИСы): практические вопросы защиты информации

Взаимодействие с государством активно переводится в интернет. Это не только упрощает многие процессы, но и накладывает определенную ответственность на пользователей, так как большинство государственных информационных систем обрабатывает персональные данные.

Защита ГИС — не равно защите персональных данных

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные. Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются. В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов. К операторам государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные в Приказе ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите. Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон. Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять. Тем не менее план проверок контролирующих органов растет, планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления. ИС «Учет граждан, нуждающихся в жилых помещениях на территории Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Защитить информацию в ГИС и провести аттестацию помогут специалисты
Контур-Безопасность.

Это ГИС. Что делать?

Видео (кликните для воспроизведения).

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.
Читайте так же:  Генеральная доверенность гаи

4. Провести внедрение системы защиты информации информационной системы, а именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

Источник: http://kontur.ru/articles/1609

Порядок организации защиты персональных данных. Организационно-распорядительная документация

5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. (Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 настоящее постановление признано утратившим силу.)

При защите персональных данных должно быть обеспечено:

  1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующих прав;
  2. своевременное обнаружение фактов НСД к ПД;
  3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;
  4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.
  5. постоянный контроль уровня защищенности персональных данных[18].

Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

  1. оценка обстановки;
  2. обоснование требований безопасности ПД и постановка задач защиты;
  3. разработка замысла обеспечения безопасности;
  4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;
  5. решения вопросов управления защитой;
  6. реализация замысла защиты;
  7. планирование мероприятий по защите;
  8. создание СЗПД;
  9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.

Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.

5.2. Оценка обстановки и формирование замысла защиты персональных данных

Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация , которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

  1. Анализ информационных ресурсов:
    • Определение состава, содержания и местонахождения ПД, подлежащих защите;
    • Категорирование ПД;
    • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

  • нанесения вреда здоровью субъекта ПД;
  • незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
  • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;
  • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных , и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.

К основным вопросам управления относятся:

  1. распределение функций управления доступом к данным и их обработкой между должностными лицами;
  2. определение порядка изменения правил доступа к защищаемой информации;
  3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
  4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
  5. определение порядка проведения контрольных мероприятий и действий по его результатам.

Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных .

Читайте так же:  Принадлежность персональных данных

Источник: http://www.intuit.ru/studies/courses/697/553/lecture/12448

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: http://kontur.ru/articles/1723

Кто в медицине ИСПДн в соответствие с законом приводил, тот в цирке не смеётся

Данной статьей хотелось бы как-то помочь медицинским организациям справиться с выполнением первичных мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах.

Читайте так же:  Что не входит в основания прекращения доверенности

Итак, что же необходимо сделать в первую очередь. Если кратко, то привести свои системы в упорядоченный вид, то есть определиться с тем, что у нас имеется и тщательно задокументировать это.

Роскомнадзор, осуществляя проверки, в первую очередь контролирует именно исполнение положений закона с юридической точки зрения, а не техническую часть. Поэтому отсутствие хотя бы одного организационно-распорядительного документа, необходимого по закону, будет означать для них нарушение. Много ли нужно задокументировать?

1. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок выполнения организационных и технических мер по защите персональных данный и сведений обрабатываемых в информационных системах МО рекомендуется включить следующие документы:

— Приказ об организации работ по защите ПДн на предприятии (в том числе, при необходимости, об организации криптографической защиты информации).
— Приказ о назначении комиссии по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.
— Акты определения требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.-
— Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн.
— Приказ об утверждении перечня лиц, допущенных к обработке ПДн.
— Приказ о назначении ответственного пользователя СКЗИ.
— Приказ об утверждении перечня лиц допущенных к работе с СКЗИ.
— Приказ о назначении ответственных за выявление инцидентов и реагирования на них.
— Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных.
— Приказ о назначении комиссии по уничтожению ключевых документов.
— Модель угроз безопасности информации.
— Положение по организации и проведению работ по обеспечению безопасности информации, включающее в том числе:

2. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок учета, хранения и эксплуатации средств защиты информации (далее — СрЗИ) МО рекомендуется включить следующие документы:

— Порядок оформления допуска (доступа) к обработке ПДн.
— Форма согласия на обработку персональных данных.
— Форма заявки на доступ к обработке ПДн.
— Форма обязательства служащего прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
— Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
— Форма акта об уничтожении ключевых документов.
— Перечень событий безопасности, состав и содержание информации о событиях безопасности, подлежащих регистрации и сроки их хранения.
— Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных (отдельно, либо в составе «Положение об организации режима обеспечения безопасности помещений»).
— Инструкции персоналу:

При этом стоит помнить, что согласно

Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)

… 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), примеч. например, врачи в нашем случае, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

ТК РФ Статье 22. Основные права и обязанности работодателя

Работодатель обязан:
… знакомить работников под роспись
с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью;

В итоге такая бумажная работа, а точнее её отсутствие частично или полностью, может привести к проблемам с Роскомнадзором. Одним из самых ярких случаев является плановая выездная проверка в отношении Департамента здравоохранения Ивановской области 1 декабря 2011 года. По окончании проверки выданы 14 предписаний. О том, что отсутствовало и было нарушено подробнее по ссылке 37.rkn.gov.ru/news/news31219.htm

Что нужно сделать в медицинских организациях (далее — МО) для обеспечения безопасности наших персональных данных?

Руководителям МО приказом по МО определить (назначить) должностное лицо, ответственное за обеспечение безопасности персональных данных (ПДн), обрабатываемых в информационных системах МО.

Кто им будет? Точного ответа нет, но если в МО отсутствует служба информационной безопасности, ответственным, возможно, будет назначен системный администратор. Далее довольно сухой и сложночитаемый текст, но если назначили вас, наберитесь терпения.

Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, нужно определить:

Немного технической части

На данный момент лечебно-профилактическими учреждениями (ЛПУ) используется Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ). В каждом ЛПУ своя БД, она синхронизируется с общей БД, находящейся в ЦОД (МИАЦ). Все это происходит по защищенным с помощью ПАК ViPNet каналам. ПАК ViPNet были разосланы по всей РФ для организации подключения к этой системе.

Многие подробности можно найти на сайте portal.egisz.rosminzdrav.ru/materials

Подводя итоги «базовой информатизации», бывший директор ИТ-департамента министерства Роман Ивакин отмечал, что удалось обеспечить «достаточно высокий уровень развития инфраструктуры».

«Что касается подключения ЛПУ к интернету, то, по нашим данным, эта задача выполнена на 100% на уровне юридических лиц. Частично неохваченными остались, может быть, их локальные подразделения, например ФАПы (фельдшерско-акушерские пункты). Но не надо забывать о том, что таких объектов более 40 тыс., а работы по подключению фактически начались только в июне 2012 года. Для сравнения: на подключение 52 тыс. школ к сети ушло около 1,5 лет».

Видео (кликните для воспроизведения).

Источник: http://habr.com/post/343588/

Доступ к информационных системах персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here