1 2 3
Стоимость работ по защите персональных данных Для расчета стоимости работ по защите персональных данных необходимо заполнить анкету...   « Назад  Скачать анкету
Заявка на участие в семинаре На базе компании СИБ «АЛЬПИКС» организован Центр Практических Семинаров, которые помогут вам разобраться во всем многообразии предлагаемых услуг в области защиты перс...   Далее »  Подробнее
Услуги Компания «СИБ «АЛЬПИКС» готова предоставить своим клиентам следующие услуги в области организации защиты информ   « Назад Далее »  Подробнее

Персональные данные » Меры по обеспечению защиты ПДн

Меры по обеспечению защиты персональных данных.

Что подлежит защите в ИСПДн?

Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также сведений, представленных в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в ИСПДн.

Для обеспечения защиты от угроз в отношении данных применяется понятие «носитель (источник) ПДн. Данное понятие означает физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:

  1. акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя ИСПДн при осуществлении голосового ввода данных в информационную систему, либо воспроизведении акустическими средствами ИСПДн, а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;
  2. видовая информация, представленная в виде текста или изображений, и воспроизводимая при помощи различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн;
  3. информация в виде электрических, электромагнитных, оптических сигналов, возникающих при обработке ПДн в ИСПДн;
  4. информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.

Мероприятия по защите ПДн при обработке в ИСПДн

В соответствии с Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а также документом ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденным 15 февраля 2008 г., мероприятия по обеспечению безопасности ПДн при обработке в ИСПДн формулируются в зависимости от класса информационных систем с учетом возможного возникновения угроз безопасности в отношении персональных данных. Такие мероприятия включают в себя:

  1. определение угроз безопасности в отношении ПДн при их обработке в ИСПДн, формирование на их основе моделей угроз;
  2. разработку на основе таких моделей угроз системы защиты ПДн (СЗПДн), которая обеспечивает нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
  3. проверку готовности средств защиты информации (далее СЗИ) к применению и составление заключений о возможности их эксплуатации;
  4. установку и ввод в эксплуатацию СЗИ в соответствии с эксплуатационной и технической документацией;
  5. обучение лиц, которые будут эксплуатировать СЗИ, правилам работы с ними;
  6. контроль за применением СЗИ, учет эксплуатационной и технической документации к ним, носителей персональных данных;
  7. учет лиц, допущенных к работе с персональными данными в информационной системе;
  8. контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
  9. проведение расследований и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн; а также принятие мер по предотвращению возможных опасных последствий подобных нарушений;
  10. описание системы защиты персональных данных.
  11. Мероприятия по техническому обеспечению безопасности ПДн при их обработке в ИСПДн включают:
  12. мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ПДн;
  13. мероприятия по закрытию утечки ПДн по техническим каналам при их обработке в информационных системах;
  14. мероприятия по защите ПДн от несанкционированного доступа (далее НСД) и определению порядка выбора средств защиты персональных данных при их обработке в ИСПДн.

Система защиты ПДн при их обработке в ИСПДн

Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных.

Что включает СЗПДн?

Структура, состав и основные функции систем защиты персональных данных определяются исходя из класса ИСПДн. СЗПДн включает в себя организационные меры, средства защиты информации, а  также  используемые  в  информационной системе информационные технологии.

Организационные меры

Обеспечение безопасности персональных данных при их обработке в ИСПДн должно предусматривать:

  1. оценку обстановки;
  2. обоснование требований по обеспечению безопасности ПДн и формулирование задач их защиты;
  3. разработку замысла обеспечения безопасности ПДн;
  4. выбор целесообразных способов (мер и средств) защиты ПДн в соответствии с задачами и замыслом защиты;
  5. решение вопросов управления обеспечением безопасности ПДн в динамике изменения обстановки и контроля эффективности защиты;
  6. обеспечение реализации принятого замысла защиты;
  7. планирование мероприятий по защите ПДн;
  8. организацию и проведение работ по созданию системы защиты персональных данных  в рамках разработки (модернизации) ИСПДн, разработка и развертывание СЗПДн или ее элементов в ИСПДн, решение основных задач взаимодействия, определение их задач и функций на различных стадиях создания и эксплуатации информационных систем;
  9. разработку документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн;
  10. развертывание и ввод в опытную эксплуатацию СЗПДн в информационных системах персональных данных;
  11. доработку СЗПДн по результатам опытной эксплуатации.

Средства защиты ПДн

В соответствии с классификацией ИСПДн, а также с учетом актуальных угроз, приведенных в адаптивных моделях для «специальных» ИСПДн, и в соответствии с требованиями нормативно-методических документов регуляторов ФСТЭК РФ и ФСБ РФ, СЗПДн должна включать ряд подсистем, описание которых представлено в следующих разделах.

Средства защиты ПДн от утечки по техническим каналам

С целью предотвращения утечек акустической (речевой), видовой информации, а также утечек информации за счет побочных электромагнитных излучений и наводок применяются специальные технические средства. При этом выделяются пассивные и активные средства защиты.

Пассивные средства защиты, как правило, реализуются на этапе разработки проектных решений при строительстве или реконструкции зданий. Преимущества применения пассивных средств заключаются в том, что они позволяют заранее учесть типы строительных конструкций, способы прокладки коммуникаций, оптимальные места размещения защищаемых помещений.

Защита ПДн при осуществлении пользователями информационных систем голосового ввода данных в ИСПДн или их воспроизведении акустическими средствами ИСПДн обеспечивается путем звукоизоляции помещений, в которых устанавливаются аппаратные средства ИСПДн, систем инженерного обеспечения (вентиляции, отопления и кондиционирования), а также ограждающих конструкций помещений (стены, пол, потолок, окна, двери).

 
2009 ©Компания "СИБ "АЛЬПИКС".                     тел./факс:+7 (351) 223-98-71