Информационная система персональных данных определение

Предлагаем рассмотреть тему: "Информационная система персональных данных определение" с комментариями профессионалов. Мы старались разъяснить все понятным языков и полностью раскрыть тему. Внимательно причитайте статью и, если возникнут вопросы, вы можете их задать в комментариях или напрямую дежурному консультанту.

Что такое ИСПДН?

Информационные системы персональных данных (ИСПДн) используют в своей работе многие предприятия и организации. Давайте разберемся, что это такое, и какие нюансы нужно учитывать тем, кто работает с ИСПДн.

Что такое ИСПДН?

Если говорить просто, информационная система ИСПДн используется для хранения и обработки персональных данных. В ее составе выделяют следующие составляющие:

  • Собственно, совокупность персональных данных, хранящихся в системе, в базе данных.
  • Технические средства, использующиеся для работы с этими данными.
  • Средства автоматизации процессов учета и обработки сведений, хранящихся в ИСПДн (могут быть не во всех системах).

ИСПДН – это серьезно

При использовании рассматриваемых систем важно обеспечить защиту персональных данных от несанкционированного доступа, утери и прочих нештатных ситуаций. Это прописано даже на законодательном уровне. А для того, чтобы принять советующие меры по ограничению доступа к сведениями и по их защите, проводится аудит ИСПДн (подробнее можно узнать, например, у специалистов компании «Rentacloud»: http://rentacloud.su/services/zashchita-personalnykh-dannykh/audit/). По его результатам составляется акт, содержащий следующую информацию:

  • Категория персональных данных, которые хранятся и обрабатываются в обследованной системе.
  • Их класс и тип (об этом — ниже).
  • Параметры и структура исследуемой системы.
  • Объемы ПДн (количество записей и пр.), хранящихся и обрабатываемых в ИСПДн.
  • Сведения о местонахождении системы.
  • Информация о возможности доступа к базе данных посредствам сетей, доступных для общего пользования (ЛВС, интернет и пр.).

Аудит проводится в точном соответствии с совместным документом, подготовленным Министерством связи, ФСТЭК и ФСБ. Он весьма объемный и требует досконального изучения. В связи с этим аудит системы и составление рекомендаций, на которых будет основываться защита ИСПДн, необходимо доверять специалистам. Их услугами можно воспользоваться, например, обратившись в компанию «Rentacloud»: (http://rentacloud.su).

Типы, классы ИСПДн, и что еще нужно знать про такие системы

Информационные системы персональных данных (ПДн) подразделяются на 4 класса и 2 типа. Разделение на классы осуществляется на основе таких признаков, как категория обрабатываемых ПДн, и их объемы.

Классы

Разобраться с этим вам поможет таблица:

Пояснения к таблице.

К категории под номером 4 относятся обезличенные ПДн, по которым невозможно идентифицировать конкретного субъекта (пример – статистические данные). К Кат 3 отнесены ПДн, на основе которых возможна только идентификация человека (встречаются довольно редко). Категория 2 включает данные, на основе которых можно провести идентификацию человека, и получить о нем некоторые дополнительные сведения (пример – системы начисления заработной платы в организациях и на предприятиях). К первой категории отнесены данные, содержащие сведения о национальности, состоянии здоровья и другие социальные сведения, и информация иного характера (пример – базы данных учреждений здравоохранения).

Что касается классов, указанных в таблице, отнесение ИСПДН к ним осуществляется на основе возможного ущерба для субъектов при нарушении условий безопасности:

  • Кл 4. Какие-либо негативные последствия для субъекта исключены.
  • Кл 3. Могут иметь место незначительные негативные последствия.
  • Кл 2. Возникновение таких последствий.
  • Кл 1. Возможны весьма серьезные негативные последствия.

Типы ИСПДн

К первому типу отнесены системы, где функции защиты ИСПДн сводятся только к достижению нужных показателей ее конфиденциальности. Если же, помимо конфиденциальности, есть необходимость обеспечении еще хотя бы одного дополнительного показателя безопасности (аутентичность, доступность, целостность данных и пр.), речь идет о втором типе.

Стоит отметить, что большинство используемых сегодня систем отнесены ко второму типу.

Видно, что разработка ИСПДн, их классификация и обеспечение надежной, эффективной защиты – весьма сложные и многогранные процессы. И чтобы не допустить ошибок, целесообразно доверить это специалистам. Обратиться для этого можно, к примеру, в компанию «Rentacloud», занимающую на этом рынке одну из лидирующих позиций.

Источник: http://dimox.name/chto-takoe-ispdn/

№6. Классификация информационных систем персональных данных отменена

Внимание!

C 11 марта 2014 года классификация ИСПДн отменена (приказ ФСТЭК РФ №151, ФСБ РФ №786, Минкомсвязи РФ №461 от 31.12.2013)

До 11 марта 2013 г. все организации, в том числе государственные и муниципальные органы, которые осуществляют обработку персональных данных, обязаны были провести классификацию информационных систем, а также определить цели и содержание такой обработки. Классификация проводилась с целью определения способов и методов, которые необходимо применить для защиты персональных данных. Классификация проводилась как на стадии создания информационной системы, так и на стадии ее модернизации.

Для проведения классификации создавалась комиссия, в состав которой входили специалисты по защите информации и другие сотрудники, непосредственно отвечающие за безопасность персональных данных. Процедура проведения классификации устанавливалась так называемым «приказом трех» (Совместный приказ ФСТЭК, ФСБ и Мининформсвязи РФ от 13.02.2008), который в настоящее время отменен.

В ходе проведения классификации члены комиссии должны были осуществить анализ собранной информации (исходных данных) об информационной системе, таких как:

  • количество субъектов, персональные данные которых обрабатываются (объем);
  • категория персональных данных;
  • характеристики безопасности персональных данных;
  • структура информационной системы (автономные, локальные или распределенные системы);
  • наличие подключений к сетям общего пользования, в том числе сети Интернет;
  • режим обработки (может быть однопользовательский и многопользовательский);
  • наличие разграничения прав доступа к персональным данным в информационной системе;
  • территориальное расположение элементов информационной системы (могут быть расположены в пределах РФ либо за пределами РФ частично или полностью).
Читайте так же:  Ищу подрядчика для газификации частного дома

По результатам анализа комиссия должна была определить класс информационной системы при помощи следующей таблицы:

Категория обрабатываемых персональных данных (ПДн) Количество субъектов ПДн
в объеме в объеме РФ субъекта РФ отрасли органа власти муниципального образования организации
касающиеся национальной и расовой принадлежности, религиозных либо философских убеждений, здоровья и интимной жизни класс 1 (К1) класс 1 (К1) класс 3 (К3)
позволяющие идентифицировать субъекта ПДн класс 3 (К3) класс 4 (К4) класс 4 (К4)

Напоминаем вам, что в настоящий момент классификацию ИСПДн проводить не нужно, так как отменен устанавливающий эту процедуру нормативный акт.

Источник: http://data-sec.ru/personal-data/classification/

Информационная система персональных данных

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. [1]

Содержание

[править] Классификация ИСПДн

В зависимости от содержания и объёма ИСПДн, её можно отнести к одному из четырёх классов, которые определены приказом от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Класс информационной системы можно определить по двум параметрам: [2]

1) Хпд — категория персональных данных, зависит от типа обрабатываемых данных, может принимать значения

  • 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • 4 — обезличенные и (или) общедоступные персональные данные.

2) Xнпд — этот параметр определяется объёмом ИСПДн:

  • 1 — в ИСПДн одновременно обрабатываются персональные данные более чем 100000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • 2 — в ИСПДн одновременно обрабатываются персональные данные от 1000 до 100000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  • 3 — в ИСПДн одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

После того, как будут определены показатели Хпд и Хнпд для своей ИСПДн, класс можно узнать из таблицы:

Хпднпд 1 2 3
4 К4 К4 К4
3 К3 К3 К2
2 К3 К2 К1
1 К1 К1 К1

[править] Защита информационных систем персональных данных

Закон обязывает оператора персональных данных проводить мероприятия по их защите. Безопасность данных обеспечивается применением сертифицированных средств защиты информации, определением угроз для данных, установлением правила доступа к персональным данным и др. [3]

Выбор средств и мер защиты ИСПДн производится с учётом класса ИСПДн. [4]

Источник: http://cyclowiki.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

№ 11. Уровни защищенности персональных данных

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем.

Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

К какой категории относить объем, который составляет ровно 100 000 субъектов, к сожалению, не понятно. Вот такая коллизия. Правовой вакуум, как любят говорить наши нормотворцы.

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:

В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

Читайте так же:  Ответственности за причинение морального вреда

Источник: http://data-sec.ru/personal-data/protection-level/

Как определить уровень защищенности информационных систем

Верное определение уровня защищенности персональных данных важно для принятия адекватных мер защиты. Если уровень завышен — деньги потрачены зря. Учреждения здравоохранения используют множество информационных систем персональных данных, поэтому рассмотрим параметры определения уровня защищенности на примере медиков.

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных».

На данный момент требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Постановление пришло на смену утратившему силу постановлению Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, который утверждал порядок классификации ИСПДн.

Таким образом, сейчас перечень обязательных организационных и технических мер по обеспечению безопасности персональных данных определяется в соответствии с установленным для информационной системы уровнем защищенности персональных данных.

В свою очередь уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

1) категория субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: сотрудники или иные лица;

2) количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе: до 100 000 или более 100 000;

3) категория персональных данных, обрабатываемых в информационной системе:

4) тип актуальных угроз безопасности персональных данных:

  • актуальны угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении;
  • актуальны угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении;
  • актуальны угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.

Чем выше определен уровень защищенности персональных данных, тем больше мер по обеспечению безопасности персональных данных требуется выполнить. Если по ошибке определить более высокий уровень защищенности, то, соответственно, придется строить более дорогую систему защиты персональных данных. Рассмотрим типовые варианты информационных систем, которые используются в большинстве медицинских учреждений.

Защита типовой системы: скромно и со вкусом

Организация защиты информации в медицинском учреждении строится на общих принципах защиты ИСПДн. Например, практически в любом учреждении здравоохранения установлена типовая информационная система персональных данных для учета кадров и расчета зарплаты.

Субъекты обработки персональных данных в этом случае — сотрудники организации, а цель обработки ПДн — обеспечение соблюдения в отношении сотрудника законодательства Российской Федерации в сфере трудовых и непосредственно связанных с ними отношений. В такой информационной системе не ведется обработка биометрических или специальных категорий персональных данных, а значит, определение уровня защищенности будет зависеть от актуальных угроз безопасности персональных данных, определенных для данной информационной системы. В большинстве случаев для подобного рода информационных систем актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, а следовательно, в информационной системе необходимо будет обеспечить четвертый уровень защищенности персональных данных, т. е. потребуется выполнение минимального перечня организационных и технических мер.

ИС федерального масштаба: все, как у людей

Федеральный регистр медицинских работников (ФРМР) — система, предназначенная для сбора, хранения и обработки данных учета медицинского персонала субъектов Российской Федерации, а также для контроля распределения и перемещений медперсонала. Как и в описанной выше информационной системе, в ФРМР не ведется обработка биометрических или специальных категорий персональных данных, и при схожих характеристиках в ФРМР требуется обеспечить такой же уровень защищенности.

Несмотря на то что категория субъектов ПДн и обрабатываемые данные в обеих системах практически аналогичны, объединять их в одну ИС все же не стоит, поскольку цели обработки ПДн в первом случае — это исполнение требований трудового законодательства, а во втором — требований Министерства здравоохранения и социального развития Российской Федерации.

Медицинские информационные системы: зона особого внимания

С помощью медицинских информационных систем сотрудники медицинских организаций решают целый ряд задач:

  • ведут электронные амбулаторные карты, электронную регистратуру;
  • обрабатывают данные медицинских исследований в цифровой форме;
  • собирают и хранят данные мониторинга состояния пациента с медицинских приборов;
  • используют как средство общения между сотрудниками;
  • анализируют финансовую и административную информацию.

При определении уровня защиты для медицинских информационных систем следует принимать во внимание ряд факторов:

  • в МИС обрабатываются ПДн специальной категории (состояние здоровья, диагнозы, данные с медицинских приборов и т. д.);
  • субъекты ПДн не являются сотрудниками организации, и их количество может варьироваться.

В зависимости от количества обрабатываемых субъектов персональных данных и типа актуальных угроз безопасности в МИС требуется обеспечить второй или третий уровень защищенности персональных данных.

Прочие информационные системы в сфере здравоохранения

В зависимости от инфраструктуры и задач учреждения в организации могут функционировать и иные ИС. Для них действует точно такой же алгоритм определения требуемого уровня защищенности ПДн, что и для систем, речь о которых шла выше.

Если субъекты и цель обработки ПДн в нескольких информационных системах совпадают, то их можно объединить и выстроить для них единую систему защиты персональных данных.

Читайте так же:  Официальный фонд защиты персональных данных отзывы

В заключение напомним, что уровень защищенности персональных данных в информационных системах определяется оператором персональных данных самостоятельно, а следовательно, и выбор организационных и технических мер по защите персональных данных лежит на плечах оператора. Однако не стоит забывать, что завышение уровня защищенности приведет к увеличению стоимости системы защиты персональных данных, а занижение уровня защищенности персональных данных является нарушением. Дабы не ломать себе голову вопросом «а правильно ли я классифицировал ИС?», доверьтесь профессионалам.

  • составят модель угроз
  • классифицируют информационную систему
  • помогут выбрать оптимальные средства защиты
  • грамотно выстроят систему защиты

Узнать больше

Максим Малкиев, эксперт по защите информационных систем персональных данных компании «СКБ Контур», проект «Контур-Безопасность»

Источник: http://kontur.ru/articles/1940

Информационная система персональных данных

Информационная система персональных данных (Personal data information system) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Экономико-математический словарь: Словарь современной экономической науки. — М.: Дело . Л. И. Лопатников . 2003 .

Смотреть что такое «Информационная система персональных данных» в других словарях:

информационная система персональных данных — информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку… … Словарь-справочник терминов нормативно-технической документации

информационная система персональных данных — Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием… … Справочник технического переводчика

Информационная система персональных данных — 10) информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;. Источник: Федеральный закон от 27.07.2006 N 152 ФЗ (ред … Официальная терминология

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ — согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств,… … Делопроизводство и архивное дело в терминах и определениях

Видео (кликните для воспроизведения).

информационная система — 2.49 информационная система (information system): Система, организующая обработку информации о предметной области и ее хранение. Источник: ГОСТ Р ИСО/МЭК ТО 10032 2007: Эталонная модель управления данными информационная система: Система,… … Словарь-справочник терминов нормативно-технической документации

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… … Словарь-справочник терминов нормативно-технической документации

Оператор персональных данных — (согласно закону РФ «О персональных данных») государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… … Википедия

Шенгенская информационная система — Иное название этого понятия «SIS»; см. также другие значения. Шенгенская информационная система (сокр. ШИС, англ. Schengen Information System, сокр. SIS) закрытая база данных в рамках Шенгенского соглашения, в которую внесены… … Википедия

Экономическая информационная система — (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединённых в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций… … Википедия

Информационная — функция автоматизированной системы управления Функция АСУ, включающая получение информации, обработку и передачу информации персоналу АСУ или за пределы системы о состоянии ТОУ или внешней среды Источник … Словарь-справочник терминов нормативно-технической документации

Источник: http://economic_mathematics.academic.ru/1882/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

информационная система персональных данных

информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

[Федеральный Закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ, статья 3, пункт 9)]

Информационная система персональных данных — это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Словарь-справочник терминов нормативно-технической документации . academic.ru . 2015 .

Смотреть что такое «информационная система персональных данных» в других словарях:

Информационная система персональных данных — (Personal data information system) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку… … Экономико-математический словарь

информационная система персональных данных — Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием… … Справочник технического переводчика

Информационная система персональных данных — 10) информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;. Источник: Федеральный закон от 27.07.2006 N 152 ФЗ (ред … Официальная терминология

Читайте так же:  Омвд кетово по делам несовершеннолетних

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ — согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств,… … Делопроизводство и архивное дело в терминах и определениях

информационная система — 2.49 информационная система (information system): Система, организующая обработку информации о предметной области и ее хранение. Источник: ГОСТ Р ИСО/МЭК ТО 10032 2007: Эталонная модель управления данными информационная система: Система,… … Словарь-справочник терминов нормативно-технической документации

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… … Словарь-справочник терминов нормативно-технической документации

Оператор персональных данных — (согласно закону РФ «О персональных данных») государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… … Википедия

Шенгенская информационная система — Иное название этого понятия «SIS»; см. также другие значения. Шенгенская информационная система (сокр. ШИС, англ. Schengen Information System, сокр. SIS) закрытая база данных в рамках Шенгенского соглашения, в которую внесены… … Википедия

Экономическая информационная система — (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединённых в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций… … Википедия

Информационная — функция автоматизированной системы управления Функция АСУ, включающая получение информации, обработку и передачу информации персоналу АСУ или за пределы системы о состоянии ТОУ или внешней среды Источник … Словарь-справочник терминов нормативно-технической документации

Источник: http://normative_reference_dictionary.academic.ru/23263/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

Аттестация информационных систем персональных данных

Заключающим шагом организационно-технических мероприятий в учреждении ГКУЗ «ЯНОСДР» будет проведение аттестации ИСПДн, которая должна соответствовать требованиям стандартов или иной нормативно-технической документации по защите информации, утвержденных ФСБ и ФСТЭК России.

На шаге аттестации происходит разработка и согласование методики и программы аттестационных испытаний на соответствие требованиям безопасности информации, которые должны быть зафиксированы в специальном документе — «Аттестате соответствия».

Аттестация в техническом смысле включает в себя проведение аттестационных испытаний внедренной СЗПДн, по итогам которой будет вынесено заключение о получении аттестата соответствия на ИСПДн.

В ходе осуществления аттестационных испытаний используются такие методы проверок как:

· проверка соответствия ИСПДн стандартам по защите информации на базе экспертного решения о полноте и достаточности предложенной документации, по созданию необходимых мер защиты информации в ИСПДн, а также проверка на соответствие реальным условиям эксплуатации требованиям по расположению, монтированию и использованию технических средств ИСПДн.

· проверка всех функций или совокупности функций защиты информации от НСД при помощи тестирующих средств, а также посредством проверочного запуска средств защиты информации от НСД и мониторинг за их осуществлением.

На базе первичных данных по технологии обработки и трансляции информации, системы предоставления доступа персонала к защищенным ресурсам ИСПДн, производится анализ обобщенной технологической схемы ИСПДн с имеющимися и предполагаемыми информационными потоками, возможностями доступа к передаваемым и обрабатываемым данным, определяются представляющие опасность факторы и угрозы, уязвимые участки ИСПДн, понижающие степень защиты, полноту и характеристики средств защиты.

В процессе аттестации объекта ИСПДн была проведена:

1. Проверка соответствия представленной первичной информации, документов и положение технологического процесса в момент автоматизированной обработки информации конкретным требованиям размещения, монтирования и эксплуатации ИСПДн, включая в том числе:

· анализ обобщенной технологической схемы ИСПДн с имеющимися и предполагаемыми информационными потоками и возможностями доступа к передаваемым и обрабатываемым данным;

· контроль соответствия описания технологического процесса хранения, обработки и передачи защищаемых данных в ИСПДн существующей практике;

· контроль паспортных (исходных) данных на ИСПДн и ее компонентов, обнаружение факторов представляющих опасность, угрозу и уязвимых мест ИСПДн, понижающих степень ее защищенности;

· проверку соответствия заданным требованиям технологических инструкций администраторам безопасности информации, операторам, администраторам, пользователям обособленных подсистем ИСПДн и обслуживающему персоналу;

· конкретизация схемы технологического процесса автоматизированной обработки информации с привязкой к определенным средствам передачи и обработки данных и основному составу персонала.

2. Контроль ИСПДн и ее компонентов на соответствие организационным и техническим стандартам по защите информации, включая:

· контроль полноты представленной документации и соответствия ее требованиям по защите информации;

· контроль соответствия конфигурации программно-технических средств представленных документов;

· контроль верности классификации ОИ;

· контроль степени подготовки персонала и определение и установление степени ответственности между персоналом.

3. При осуществлении аттестационных испытательных работ было сосредоточенно внимание на проверке соответствия ИСПДн требованиям по обеспечению защиты данных от несанкционированного доступа при подготовке согласованного действия ИСПДн с другими сетями.

По завершению всех аттестационных испытаний и контролю на соответствие требованиям по защите информации, можно убедиться, что внедренные средства защиты информации в полной мере соответствуют необходимым требованиям по безопасности персональных данных, регламентируемыми регуляторами, и на основании чего может быть предоставлен аттестат соответствия требованиям безопасности информации на ИСПДн ГКУЗ «ЯНОСДР». С помощью аттестата соответствия подтверждается соответствие стандартам и требованиям регулирующих и надзорных органов, всех принятых мер по обеспечению защиты информации, также «аттестат соответствия» гарантирует, что при обнаружении регуляторами каких угодно нарушений актуальных регламентов, организация-исполнитель работ по аттестации разделит возможные риски вместе с аттестованным учреждением.

Читайте так же:  Жалоба в прокуратуру украины

Заключение

В ходе написания дипломной работы была создана система защиты персональных данных ГКУЗ «ЯНОСДР», а также непосредственно:

1. был проведен осмотр и комплексное исследование автоматизированных рабочих мест и общего состояния организации защиты информации в государственном казенном учреждении здравоохранения «ЯНОСДР».

2. разработан комплект организационно-распорядительной документации, регулирующий весь жизненный цикл процесса обработки персональных данных.

3. разработана проектная документация с описанием структуры защищенной сети.

4. введены в действие сертифицированные и прошедшие порядок оценки соответствия требованиям безопасности средства защиты информации.

5. произведены аттестационные испытания ИСПДн на предмет соответствия требованиям безопасности информации по результатам которого был выдан аттестат соответствия.

Полное осуществление работ по каждому этапу деятельности помогло достичь основной цели выпускной квалификационной работы – привести информационные системы персональных данных автономного учреждения ГКУЗ «ЯНОСДР» в соответствии со всеми современным требованиям законодательной базы Российской Федерации в области обеспечения безопасности ПДн.

СПИСОК ЛИТЕРАТУРЫ

1. ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

2. ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированной системы».

3. ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении».

4. ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

5. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа».

6. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»

7. ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».

8. ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении».

9. ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».

10. ГОСТ Р ИСО/МЭК 15408-1(2,3)-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

11. ГОСТ Р ИСО/МЭК 15408-2005 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий».

12. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

13. ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».

14. ГОСТ Р ИСО/МЭК 27001-2005 «Информационные технологии. Технологии безопасности. Система управления информационной безопасностью».

15. Нормативно-методический документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 15 февраля 2008 года.

16. Нормативно-методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 14 февраля 2008 года.

17. Нормативно-методический документ «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный приказом директора ФСТЭК России от 18 февраля 2013 года №21.

18. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Гостехкомиссия России. 2002 год.

19. Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20.

20. Постановление Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

21. Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года №687.

22. Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30 ноября 1995 года №1203 (с изменениями и дополнениями от 24 января 1998 года №61; от 6 июня 2001 года №659; от 10 сентября 2001 года №1114; от 29 мая 2002 года №518; от 3 марта 2005 года №243; от 11 февраля 2006 года №90).

23. Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года №188 (с изменениями и дополнениями от 23 сентября 2005 года).

24. Федеральный закон «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19 декабря 2005 г. №160-ФЗ.

25. Федеральный закон «О коммерческой тайне» от 29 июля 2004 года №98-ФЗ.

26. Федеральный Закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.

27. Федеральный закон «О техническом регулировании» от 27 декабря 2002 года №184-ФЗ (с изменениями от 9 мая 2005 года).

28. Федеральный Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. №149-ФЗ.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Для студента самое главное не сдать экзамен, а вовремя вспомнить про него. 10352 —

| 7641 — или читать все.

185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Видео (кликните для воспроизведения).

Источник: http://studopedia.ru/19_397950_attestatsiya-informatsionnih-sistem-personalnih-dannih.html

Информационная система персональных данных определение
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here