- •Основные угрозы безопасности информации. Антропогенные источники угроз.
- •Общее представление об организационной защите информации.
- •Основные организационные меры защиты информации (регламентация, побуждение и т.Д.).
- •Основные управленческие (организационные) мероприятия по защите информации.
- •Ограничительные меры по защите информации (регламенты и т.Д.)
- •Информационная безопасность: основные представления о риске и ущербе
- •Методология анализа рисков
- •Качественная оценка рисков
- •Количественная оценка рисков.
- •Методы экспертных оценок. Стадии экспертного опроса при анализе информационных рисков.
- •Основные проблемы при анализе рисков
- •Категорирование защищаемых информационных ресурсов
- •Система видеонаблюдения при защите информации
- •Система пожарной сигнализации объекта: общие представления
- •Организационно-технические мероприятия по защите информации
- •Основные представления о зонах безопасности при организации защиты информации
- •Подбор кадров и методы работы с персоналом для обеспечения иб объекта
- •Особенности приема сотрудников, связанных с владением конфиденциальной информацией
- •Способы обеспечения эффективной работы персонала по информационной безопасности
- •Контроль и мотивация сотрудников при организации защиты информации
- •Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- •Защита информации при авариях, иных экстремальных ситуациях и в условиях чрезвычайного положения
- •Обобщенная схема анализа риска
- •Организационно-режимные процессы по планированию восстановления информационной безопасности в условиях чс
- •Мероприятия по подготовке к чс
- •Организация пропускного режима на предприятии
- •Организация внутриобъектового режима на предприятии
- •Порядок пропуска транспортных средств
- •Организация режима и охраны мобильных устройств и объектов в процессе транспортировки
- •Технологии обеспечения информационной безопасности: основные представления.
- •Организация и обеспечение конфиденциального делопроизводства
- •Последовательность работы с конфиденциальной информацией
- •Организация процесса обеспечения защиты конфиденциальной информации
- •Защита информации при проведении совещаний и переговоров
- •Защита информации на выставках
- •Защита информации при работе с посетителями
- •Основные представления о политике информационной безопасности
- •Регламенты процессов защиты информации
- •Защита персональных данных в автоматизированных системах
- •Защита персональных данных в неавтоматизированных системах
- •II. Особенности организации
- •III. Меры по обеспечению безопасности
Защита персональных данных в автоматизированных системах
Постановление от 17 ноября 2007 г. N 781
1. Настоящее Положение устанавливает требования к обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных,
представляющих собой совокупность персональных данных, содержащихся в базах данных, а
также информационных технологий и технических средств, позволяющих осуществлять обработку
таких персональных данных с использованием средств автоматизации (далее - информационные
системы).
2. Безопасность персональных данных достигается путем исключения
несанкционированного, в том числе случайного, доступа к персональным данным техническими средствами.
3. Методы и способы защиты информации в информационных системах устанавливаются
Федеральной службой по техническому и экспортному контролю и Федеральной службой
безопасности Российской Федерации в пределах их полномочий.
4. Работы по обеспечению безопасности персональных данных при их обработке в
информационных системах являются неотъемлемой частью работ по созданию информационных
систем.
5. Средства защиты информации, применяемые в информационных системах, в
установленном порядке проходят процедуру оценки соответствия.
6. Информационные системы классифицируются государственными органами,
муниципальными органами, юридическими или физическими лицами, организующими и (или)
осуществляющими обработку персональных данных
7. Обмен персональными данными осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
8. Контроль порядка и соблюдения правил на объекте защиты.
9. Возможные каналы утечки информации определяются ФСТЭК и ФСБ РФ.
10. Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор или должностное лицо
11. При обработке персональных данных в информационной системе должно быть
обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного
доступа к персональным данным
б) своевременное обнаружение фактов несанкционированного доступа к персональным
данным;
в) недопущение воздействия на технические средства автоматизированной обработки
персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных,
модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Мероприятия по обеспечению безопасности персональных данных включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование
на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных,
обеспечивающей нейтрализацию предполагаемых угроз
в) проверку готовности средств защиты информации к использованию с составлением
заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации
д) обучение лиц, использующих средства защиты информации и обучение правилам работы с ними;
е) учет применяемых средств защиты информации
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации
и) разбирательство и составление заключений по фактам несоблюдения норм и правил установленных в данном постановлении.
к) описание системы защиты персональных данных.
13. Для разработки и осуществления мероприятий по обеспечению безопасности
персональных данных при их обработке в информационной системе оператором или
уполномоченным лицом может назначаться структурное подразделение или должностное лицо
(работник), ответственные за обеспечение безопасности персональных данных.
14. Лица, доступ которых к персональным данным необходим для выполнения служебных обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором.
15. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.
16. При обнаружении нарушений порядка предоставления персональных данных оператор
или уполномоченное лицо незамедлительно приостанавливают предоставление персональных
данных пользователям информационной системы до выявления причин нарушений и устранения
этих причин.
17. Реализация требований по обеспечению безопасности информации в средствах защиты
информации возлагается на их разработчиков.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты
информации оцениваются в ходе экспертизы.
19. К средствам защиты информации прилагаются правила пользования этими средствами.
20. Средства защиты информации, предназначенные для обеспечения безопасности
персональных данных подлежат учету с использованием индексов или условных наименований и регистрационных номеров.
21. Особенности разработки, производства, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации и предоставления услуг по шифрованию
устанавливаются Федеральной службой безопасности Российской Федерации.