Вторник, 24.06.2025, 11:51

КИТ Инф. технологии

Главная Регистрация Вход RSS
Меню сайта
Категории раздела
Мои файлы [97]
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    • Статистика
    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    Каталог файлов

    Главная » Файлы » Мои файлы
    Безопасность данных
    10.10.2016, 15:50

    Необходимость обеспечения безопасности персональных данных в наше время - объективная реальность. Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь. Возросшие технические возможности по сбору и обработке персональной информации, развитие средств электронной коммерции и социальных сетей делают необходимым принятие мер по защите персональных данных.

    Государство на законодательном уровне требует от организаций и физических лиц, обрабатывающих персональные данные, обеспечить их защиту. Законодательство Российской Федерации в области защиты персональных данных основывается на Конституции РФ, международных договорах Российской Федерации, Федеральном законе РФ от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральном законе от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и других определяющих случаи и особенности обработки персональных данных федеральных законов.

    Целью российского законодательства в области защиты персональных данных является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.

    Основополагающим законом в области защиты персональных данных является Федеральный закон «О персональных данных» №152, который был принят Государственной думой 8 июля 2006 года и вступил в силу с 26 января 2007 года. Закон определяет:

    1.           основные понятия, связанные с обработкой персональных данных;

    2.           принципы и условия обработки персональных данных;

    3.           обязанности оператора персональных данных;

    4.           права субъекта персональных данных;

    5.           виды ответственности за нарушение требований ФЗ-№152;

    6.           государственные органы, осуществляющие контроль за соблюдением требований ФЗ-№152.

    В соответствии с Законом персональные данные - любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПД). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование,профессия, доходы, другая информация, принадлежащая субъекту ПД.

    Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

    Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

    Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

    Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ «О персональных данных» установлены три регулятора:

    • Роскомнадзор (защита прав субъектов персональных данных)
    • ФСБ (требования в области криптографии)
    • ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

    Категории персональных данных

    ФЗ «О персональных данных» выделяет следующие категории персональных данных:

    Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

    Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

    Специальные категории ПДперсональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

    - субъект ПД дал согласие в письменной форме на обработку своих персональных данных;

    - персональные данные являются общедоступными;

    - персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

    -обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;

    - обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.

    Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных, которые обрабатываются в ИСПД:

               Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

                   Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории

    Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПД.

    Категория 4 – обезличенные и (или) общедоступные персональные данные.

    Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Они могут обрабатываться только при наличии согласия в письменной форм субъекта ПД. Обработка биометрических персональных данных без согласия субъекта ПД может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно - розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно – исполнительным Законодательством.

    Автоматизированная и неавтоматизированная обработка персональных данных.

    Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.

    Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

    Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.

    Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель.

    Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет:

    Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой Системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из  субъектовперсональных данных, осуществляются при непосредственном участии человека.

    2.           Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

    Классификация информационной системы персональных данных

    На начальном этапе построения СЗПД определяется класс для каждой ИСПД в конкретной организации. Классификация ИСПД проводится в соответствии с Приказом ФСТЭК России, ФСБ России, МининформсвязиРоссии № 55/86/20 от 18.02.2009 г. "Об утверждении порядка проведения классификации информационных систем персональных данных".

    Классификация ИСПД проводится на этапе ее создания или в ходе эксплуатации, но обязательно до построения СЗПД. В общем случае все информационные системы, обрабатывающие персональные данные, подразделяются на 2 класса в зависимости от характеристик безопасности обрабатываемых данных:

    Типовые информационные системы – системы, где требуется обеспечить только конфиденциальность обрабатываемых персональных данных.

    Специальные информационные системы – системы, где требуется обеспечить хотя бы одну из характеристик безопасности, отличную от конфиденциальности (например, целостность или доступность). К специальным информационным системам должны быть отнесены:

    1.  ИСПД, связанные с обработкой ПД о состоянии здоровья субъектов ПД;

    2.  ИСПД, принимающие решения на основании исключительно автоматизированной обработки ПД. При этом принятые решения могут повлечь за собой юридические последствия для субъекта ПД или иным способом затронуть его законные права и интересы

    Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

    Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781.

    При защите персональных данных должно быть обеспечено:

    1.           предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующие права;

    2.           своевременное обнаружение фактов НСД к ПД;

    3.           предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;

    4.           возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.

    5.           постоянный контроль уровня защищенности персональных данных.

    Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

    1.           оценка обстановки;

    2.           обоснование требований безопасности ПД и постановка задач защиты;

    3.           разработка замысла обеспечения безопасности;

    4.           выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;

    5.           решения вопросов управления защитой;

    6.           реализация замысла защиты;

    7.           планирование мероприятий по защите;

    8.           создание СЗПД;

    9.      разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД

    Обязательные требования по обеспечению безопасности персональных данных от несанкционированных действий

    В состав мероприятий по защите ПД при их обработке в ИСПД от НСД и неправомерных действий входят следующие мероприятия:

    - защита от НСД при однопользовательском режиме обработки ПД;

    - защита от НСД при многопользовательском режиме обработки ПД и равных правах доступа к ним субъектов доступа;

    - защита от НСД при многопользовательском режиме обработки ПД и разных правах доступа;

    - защита информации при межсетевом взаимодействии ИСПД;

    - антивирусная защита;

    - обнаружение вторжений.

    Несанкционированный доступ (НСД) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.

    Основные этапы при построении системы защиты персональных данных

    Система защиты ПД может быть как отдельной системой, так и подсистемой в составе системы защиты информации организации в целом. Как правило, выполнение работ по построению СЗПД происходит поэтапно и включает в себя следующие стадии:

    1.           предпроектная стадия или оценка обстановки;

    2.           стадия проектирования;

    3.           ввод в действие СЗПД.

    Предпроектная стадия или оценка обстановки. В самом начале построения СЗПД производится оценка обстановки. На данном этапе производятся следующие работы:

    1.           разрабатывается перечень информационных систем организации, которые работают с ПД;

    2.           определение состава ПД и необходимость их обработки;

    3.           определение перечня ПД, которые необходимо защищать;

    4.           определение контролируемой зоны и расположения компонентов ИСПД относительно границ этой зоны;

    5.           строится модель корпоративной сети;

    6.           определение топологии и конфигурации ИСПД, программ и технических средств, которые используются или предполагаются к использованию для обработки ПД;

    7.           установление связей ИСПД с другими системами организации;

    8.           определение режимов обработки ПД;

    9.           определение угроз безопасности;

    10.      определение класса ИСПД;

    11.       уточняется степень участия персонала в обработке ПД.

    Регуляторы в области защиты персональных данных

    В соответствии с ФЗ "О персональных данных" выделяют три регулятора в области защиты персональных данных:

    - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее Роскомнадзор) в части, касающейся соблюдения норм и требований по обработке персональных данных и защиты прав субъектов персональных данных;

    - Федеральная служба безопасности РФ (далее ФСБ) в части, касающейся соблюдения требований по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПД;

    - Федеральная служба по техническому и экспортному контролю (далее ФСТЭК) в части, касающейся контроля и выполнения требований по организации и техническому обеспечению безопасности ПД (не криптографическими методами) при их обработке в ИСПД.

    В целях контроля соблюдения операторами требований безопасности в области защиты ПД регуляторы проводят плановые и внеплановые проверки.

    Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа позащите ПД, а также внеплановые – на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении.

    ФСБ России имеет право проводить плановые проверки:

    - представление по запросу отчета по лицензируемым видам деятельности;

    - представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, в составе которых эксплуатируются системы криптографической защиты информации (СКЗИ);

    - явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.

    ФСТЭК РФ уполномочен осуществлять плановые проверки:

    - представление по запросу отчета по лицензируемым видам деятельности;

    - представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы;

    - представление копий аттестатов соответствия на защищаемые помещения по требованиям безопасности;

    - явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.

    Плановые и внеплановые проверки осуществляются в соответствии с Федеральным законом от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

     
    Категория: Мои файлы | Добавил: BSG
    Просмотров: 937 | Загрузок: 0 | Рейтинг: 0.0/0
    Всего комментариев: 0
    Имя *:
    Email *:
    Код *:
    Copyright MyCorp © 2025
    Конструктор сайтовuCoz