- •Персональные данные
- •1 Введение 2
- •2 Ход работы 6
- •1 Введение
- •2 Ход работы
- •2.1 Уровень защищенности системы
- •2.2 Требования к защите персональных данных при их обработке в информационных системах персональных данных
- •2.3 Базовый набор мер по обеспечению безопасности пДн в испДн в соответствии с установленным уровнем защищенности
- •2.4 Работа с документами
- •3 Заключение
- •Приложение а
- •Приложение б
- •Приложение в
- •1 Общие положения
- •2 Понятие и состав персональных данных работника
- •3 Создание, обработка и хранение персональных данных работника
- •4 Доступ к персональным данным работника
- •5 Защита персональных данных работника
- •6 Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работника
2 Ход работы
2.1 Уровень защищенности системы
Чтобы определить уровень защищенности системы, необходимо определить тип актуальных угроз, категорию персональных данных, количество субъектов, обрабатываемых информационной системой и осуществляется обработка данных сотрудников оператора или субъектов персональных данных, не являющихся сотрудниками оператора.
В соответствии с Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" можно определить тип актуальных угроз. Если для информационной системы актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (в соответствии с вариантом 8), то такие угрозы являются угрозами 3-го типа, актуальные для информационной системы.
Категория персональных данных (в соответствии с вариантов 8) – сведения касающиеся политических взглядов, религиозных или философских убеждений., на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Также в соответствии с вариантом в системе обрабатываются персональные данные сотрудников оператора.
Все вышеперечисленные факторы подходят для необходимости обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе.
2.2 Требования к защите персональных данных при их обработке в информационных системах персональных данных
Статья 12 Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" описывает, какие требования необходимо выполнять для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах:
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
В соответствии с подпунктом «в» пункта 11 для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
2.3 Базовый набор мер по обеспечению безопасности пДн в испДн в соответствии с установленным уровнем защищенности
В соответствии с требованиями защиты персональных данных для 3-го уровня защищенности и приказом ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», определили набор мер по обеспечению безопасности персональных данных.
Класс средств криптографической защиты информации – «КС1» и выше.
Таблица 2.1 взята из Приказа ФСТЭК России от 23.03.2017 №49 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Таблица 2.1 - Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого 3 уровня защищенности персональных данных
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
Уровни защищенности персональных данных |
||||||||||||
Средство защиты |
3 |
|||||||||||||
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
||||||||||||||
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
Secret Net Studio 8.5 |
+ |
|||||||||||
ИАФ.3 |
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
Secret Net Studio 8.5 |
+ |
|||||||||||
ИАФ.4 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
JaCarta Management System |
+ |
|||||||||||
ИАФ.5 |
Защита обратной связи при вводе аутентификационной информации |
CL DATAPK |
+ |
|||||||||||
II. Управление доступом субъектов доступа к объектам доступа (УПД) |
||||||||||||||
УПД.1 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
Secret Net Studio 8.5 |
+ |
|||||||||||
УПД.2 |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
|
Secret Net Studio 8.5 |
+ |
|||||||||||
Продолжение таблицы 2.1 |
||||||||||||||
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
Уровни защищенности персональных данных |
||||||||||||
Средство защиты |
3 |
|||||||||||||
УПД.3 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
ViPNet |
+ |
|||||||||||
УПД.4 |
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
АПКШ Континент 3.9 |
+ |
|||||||||||
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
Secret Net Studio 8.5 |
+ |
|||||||||||
УПД.13 |
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
АПКШ Континент 3.9 |
+ |
|||||||||||
УПД.14 |
Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
Secret Net Studio 8.5 |
+ |
|||||||||||
УПД.15 |
Регламентация и контроль использования в информационной системе мобильных технических средств |
Secret Net Studio 8.5 |
+ |
|||||||||||
УПД.16 |
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
АПКШ Континент 3.9 |
+ |
|||||||||||
Продолжение таблицы 2.1 |
||||||||||||||
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
Уровни защищенности персональных данных |
||||||||||||
Средство защиты |
3 |
|||||||||||||
IV. Защита машинных носителей персональных данных (ЗНИ) |
||||||||||||||
ЗНИ.8 |
Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
Secret Net Studio – С 8.5 |
+ |
|||||||||||
V. Регистрация событий безопасности (РСБ) |
||||||||||||||
РСБ.1 |
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
Secret Net Studio – С 8.5 |
+ |
|||||||||||
РСБ.2 |
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
Secret Net Studio – С 8.5 |
+ |
|||||||||||
РСБ.3 |
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
Secret Net Studio – С 8.5 |
+ |
|||||||||||
РСБ.7 |
Защита информации о событиях безопасности |
Secret Net Studio – С 8.5 |
+ |
|||||||||||
VI. Антивирусная защита (АВЗ) |
||||||||||||||
АВЗ.1 |
Реализация антивирусной защиты |
Kaspersky Security |
+ |
|||||||||||
АВЗ.2 |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
Kaspersky Security |
+ |
|||||||||||
Продолжение таблицы 2.1 |
||||||||||||||
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
Уровни защищенности персональных данных |
||||||||||||
Средство защиты |
3 |
|||||||||||||
VIII. Контроль (анализ) защищенности персональных данных (АНЗ)
|
||||||||||||||
АНЗ.1 |
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
RedCheck |
+ |
|||||||||||
АНЗ.2 |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
RedCheck |
+
|
|||||||||||
АНЗ.3 |
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
Secret Net Studio 8.5 |
+ |
|||||||||||
АНЗ.4 |
Контроль состава технических средств, программного обеспечения и средств защиты информации |
Secret Net Studio 8.5 |
+ |
|||||||||||
XI. Защита среды виртуализации (ЗСВ) |
|
|||||||||||||
ЗСВ.9 |
Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
Kaspersky Security |
+ |
|||||||||||
ЗСВ.10 |
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей |
Secret Net Studio 8.5
|
+ |
|||||||||||
Продолжение таблицы 2.1 |
||||||||||||||
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
Уровни защищенности персональных данных |
||||||||||||
Средство защиты |
3 |
|||||||||||||
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС) |
||||||||||||||
ЗИС.3 |
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
АПКШ Континент 3.9 |
+ |
|||||||||||
ЗИС.20 |
Защита беспроводных соединений, применяемых в информационной системе |
АПКШ Континент 3.9 |
+ |
|||||||||||