Перейти к содержанию
Главное меню
Главное меню
переместить в боковую панель
скрыть
Навигация
Заглавная страница
Свежие правки
Случайная страница
Справка по MediaWiki
WikiNVX
Поиск
Найти
Внешний вид
Войти
Персональные инструменты
Войти
Страницы для неавторизованных редакторов
узнать больше
Вклад
Обсуждение
Редактирование:
Услуги
(раздел)
Статья
Обсуждение
русский
Читать
Править
История
Инструменты
Инструменты
переместить в боковую панель
скрыть
Действия
Читать
Править
История
Общие
Ссылки сюда
Связанные правки
Служебные страницы
Сведения о странице
Внешний вид
переместить в боковую панель
скрыть
Внимание:
Вы не вошли в систему. Ваш IP-адрес будет общедоступен, если вы запишете какие-либо изменения. Если вы
войдёте
или
создадите учётную запись
, её имя будет использоваться вместо IP-адреса, наряду с другими преимуществами.
Анти-спам проверка.
Не
заполняйте это!
== Защита персональных данных == === Законодательство в области защиты персональных данных === - Федеральный закон от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;<br /> - Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;<br /> - Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;<br /> - Указ Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера»;<br /> - Постановление Правительства Российской Федерации № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;<br /> - Постановление Правительства Российской Федерации № 1119 от 01.11.2012 названи«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;<br /> - Постановление Правительства Российской Федерации № 687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;<br /> - Приказ ФСТЭК России № 21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;<br /> - Приказ ФСТЭК России № 17 от 11.02.2013 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;<br /> - ФСБ России № 149/54-144 от 21.02.2008 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;<br /> - ФСБ России № 149/6/6-622 от 21.02.2008 «Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для обеспечения безопасности персональных данных».<br /> === Все ли информационные системы, обрабатывающие персональные данные необходимо защищать? === В соответствии с законодательством Российской Федерации все информационные системы, обрабатывающие персональные данные необходимо защищать. Информационной системой здесь является не программа, а комплекс технических, программных средств, а также персонала, работающего с ним. Кроме того, даже если в состав информационной системы не входит комплекс технических и программных средств, а информация обрабатывается на бумажных носителях, то ее все равно необходимо защищать. Персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под обработкой персональных данных подразумевают любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В каждой организации есть как минимум 2 информационные системы персональных данных, это «Отдел кадров» и «Бухгалтерия», которые обрабатывают персональные данные своих сотрудников.<br /> === Органы уполномоченные в вопросах защиты персональных данных === Органами уполномоченными в вопросах защиты персональных данных являются:<br /> - Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор Министерства связи и массовых коммуникаций);<br /> - Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России;<br /> - Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – ФСБ России.<br /> Область ответственности у каждого из этих органов своя:<br /> - Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.<br /> - ФСТЭК России осуществляет контроль защиты информации с использования технических средств.<br /> - ФСБ России традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии).<br /> === Алгоритм организации защиты информационных систем, обрабатывающих персональные данные === Рассмотрим алгоритм организации защиты информационных систем, обрабатывающих персональные данные:<br /> 1. Назначение ответственного за организацию обработки персональных данных и администратора безопасности информационных систем, обрабатывающих персональные данные.<br /> Подготовить документы: Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информационных систем, обрабатывающих персональные данные.<br /> 2. Документально регламентировать работу с персональными данными.<br /> Подготовить документы:<br /> - Политика в отношении обработки персональных данных;<br /> - Правила обработки и обеспечения защиты персональных;<br /> - Порядок доступа в помещения, в которых ведется обработка персональных данных;<br /> - Правила рассмотрения запросов субъектов;<br /> - Форма согласия субъекта на обработку ПДн.<br /> 3. Спроектировать систему защиты информации:<br /> - определить необходимый уровень защиты;<br /> - выявить актуальные угрозы;<br /> - выбрать подходящий набор сертифицированных средств защиты информации.<br /> Подготовить документы:<br /> - Приказ о назначении комиссии по установлению уровня защищенности персональных данных;<br /> - Акт установления уровня защищенности персональных данных для каждой системы;<br /> - Частная модель угроз для каждой информационной системы персональных данных;<br /> - Пояснительная записка системы защиты информации;<br /> - Техническое задание на создание системы защиты информации;<br /> - Регламент организации антивирусной защиты;<br /> - Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;<br /> - Регламент проведения технического обслуживания;<br /> - Перечень разрешенного к использованию программного обеспечения;<br /> - Инструкция по организации парольной защиты;<br /> - Инструкция администратора информационной системы;<br /> - Инструкция администратора информационной безопасности;<br /> - Регламент предоставления прав доступа к информации в информационных системах;<br /> - Перечень лиц, допущенных к автоматизированной обработке данных в информационных системах;<br /> - Перечень лиц, допущенных к неавтоматизированной обработке данных в информационных системах;<br /> - Обязательство о соблюдении режима защиты персональных данных;<br /> - План контролируемой зоны.<br /> 4. Направить в Роскомнадзор «Уведомление об обработке персональных данных»<br /> 5. Установить и настроить сертифицированные средства защиты информации<br /> Установку и настройку сертифицированных средств защиты информации могут проводить только организации, имеющие лицензию ФСТЭК на осуществление работ по технической защите конфиденциальной информации.<br /> 6. Обучить сотрудников правилам работы с персональными данными и средствами защиты информации<br /> 7. Сформировать план внутренних проверок<br /> Разработать документ «План проверок системы защиты информации»<br /> Если вы являетесь государственным органом, то вам необходимо будет провести аттестацию защищаемых информационных систем персональных данных.<br />
Описание изменений:
Пожалуйста, учтите, что любой ваш вклад в проект «WikiNVX» может быть отредактирован или удалён другими участниками. Если вы не хотите, чтобы кто-либо изменял ваши тексты, не помещайте их сюда.
Вы также подтверждаете, что являетесь автором вносимых дополнений, или скопировали их из источника, допускающего свободное распространение и изменение своего содержимого (см.
WikiNVX:Авторские права
).
НЕ РАЗМЕЩАЙТЕ БЕЗ РАЗРЕШЕНИЯ ОХРАНЯЕМЫЕ АВТОРСКИМ ПРАВОМ МАТЕРИАЛЫ!
Отменить
Справка по редактированию
(в новом окне)