Персональные данные в организации
Эта книга — практический материал, который поможет сэкономить Ваше время, быстро сориентироваться в изменениях законодательства и разработать документы по персональным данным. В книге приведен обзор законодательства, алгоритм построения системы защиты персональных данных, примеры документов (политика, приказы, инструкции, согласия, уведомления, акты и др.).
Для специалистов, ответственных за работу с персональными данными,
руководителей организаций и учреждений.
Для специалистов, ответственных за работу с персональными данными,
руководителей организаций и учреждений.
Жас шектеулері: 12+
Құқық иегері: ООО "Издательские решения"
Түпнұсқа жарияланған күн: 2023
Басылым шыққан жыл: 2023
Баспа: Ridero
Қағаз беттер: 141
Пікірлер2
👍Ұсынамын
🎯Пайдалы
В книге изложены некоторые моменты, которые действительно сравнимы с текущей ситуацией и четко разъяснены.
Дәйексөздер74
Теперь определим ряд организационных и технических мер для 4-го уровня защищенности ПДн в соответствии с приказом ФСТЭК №21 (не рассматриваются меры защиты ПДн, являющихся гос. тайной и меры, связанные с применением криптографической защиты):
I. Идентификация и аутентификация субъектов доступа и объектов доступа;
— идентификация и аутентификация пользователей, являющихся работниками оператора;
— управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
— управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
— защита обратной связи при вводе аутентификационной информации;
— идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);
II. Управление доступом субъектов доступа к объектам доступа:
— управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
— реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
— управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
— разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
— назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;
— ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
— реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;
— регламентация и контроль использования в информационной системе технологий беспроводного доступа;
— регламентация и контроль использования в информационной системе мобильных технических средств;
— управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы).
V. Регистрация событий безопасности:
— определение событий безопасности, подлежащих регистрации, и сроков их хранения;
— определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
— сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
— защита информации о событиях безопасности.
VI. Антивирусная защита:
— реализация антивирусной защиты;
— обновление базы данных признаков вредоносных компьютерных программ (вирусов);
— контроль (анализ) защищенности персональных данных (АНЗ);
— контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.
XI. Защита среды виртуализаци
I. Идентификация и аутентификация субъектов доступа и объектов доступа;
— идентификация и аутентификация пользователей, являющихся работниками оператора;
— управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов;
— управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
— защита обратной связи при вводе аутентификационной информации;
— идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей);
II. Управление доступом субъектов доступа к объектам доступа:
— управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей;
— реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа;
— управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами;
— разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
— назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы;
— ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе);
— реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети;
— регламентация и контроль использования в информационной системе технологий беспроводного доступа;
— регламентация и контроль использования в информационной системе мобильных технических средств;
— управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы).
V. Регистрация событий безопасности:
— определение событий безопасности, подлежащих регистрации, и сроков их хранения;
— определение состава и содержания информации о событиях безопасности, подлежащих регистрации;
— сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения;
— защита информации о событиях безопасности.
VI. Антивирусная защита:
— реализация антивирусной защиты;
— обновление базы данных признаков вредоносных компьютерных программ (вирусов);
— контроль (анализ) защищенности персональных данных (АНЗ);
— контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.
XI. Защита среды виртуализаци
В соответствии с ПП №1119 и приказом ФСБ №378 требования для 4-го уровня следующие:
1) Организация режима обеспечения безопасности помещений, в которых размещена информационная система (ИСПДн), препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
— оснащение помещений входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытие только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
— утверждение правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
— утверждение перечня лиц, имеющих право доступа в помещения;
2) Обеспечение сохранности носителей персональных данных:
— хранение съемных машинных носителей ПДн в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
— поэкземплярный учет машинных носителей ПДн в журнале учета носителей ПДн с использованием регистрационных (заводских) номеров;
3) Утверждение руководителем организации ПЛн перечня лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими должностных обязанностей;
4) Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Следовательно, для обеспечения 4 –го уровня защищенности ПДн в компании необходимо разработать и утвердить организационно-распорядительные документы:
— План мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн 4 уровня защищенности;
— Правила доступа в помещения, где размещены используемые средства криптографической защиты (далее — СКЗИ), хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
— Перечень лиц, имеющих право доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ;
— Журнал учета носителей ПДн с использованием регистрационных (заводских) номеров;
— Перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей.
1) Организация режима обеспечения безопасности помещений, в которых размещена информационная система (ИСПДн), препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения:
— оснащение помещений входными дверьми с замками, обеспечение постоянного закрытия дверей помещений на замок и их открытие только для санкционированного прохода, а также опечатывания помещений по окончании рабочего дня или оборудование помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;
— утверждение правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
— утверждение перечня лиц, имеющих право доступа в помещения;
2) Обеспечение сохранности носителей персональных данных:
— хранение съемных машинных носителей ПДн в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками;
— поэкземплярный учет машинных носителей ПДн в журнале учета носителей ПДн с использованием регистрационных (заводских) номеров;
3) Утверждение руководителем организации ПЛн перечня лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими должностных обязанностей;
4) Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Следовательно, для обеспечения 4 –го уровня защищенности ПДн в компании необходимо разработать и утвердить организационно-распорядительные документы:
— План мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн 4 уровня защищенности;
— Правила доступа в помещения, где размещены используемые средства криптографической защиты (далее — СКЗИ), хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;
— Перечень лиц, имеющих право доступа в помещения, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ;
— Журнал учета носителей ПДн с использованием регистрационных (заводских) номеров;
— Перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей.
В ст. 86 Трудового кодекса Российской Федерации, утвержденного Федеральным законом от 30.12.2001 N 197-ФЗ (далее — ТК РФ) содержатся общие требования к работе с ПДн работников и гарантии их защиты
