Logo GenDocs.ru

Поиск по сайту:  


Загрузка...

Лекции - Обеспечение безопасности персональных данных. Лекция №05. Порядок организации защиты персональных данных. Организационно-распорядительная документация - файл 5 лекция.docx


Лекции - Обеспечение безопасности персональных данных. Лекция №05. Порядок организации защиты персональных данных. Организационно-распорядительная документация
скачать (212.2 kb.)

Доступные файлы (2):

5 лекция.docx58kb.08.11.2011 12:40скачать
5 лекция.pdf179kb.08.11.2011 13:11скачать

содержание
Загрузка...

5 лекция.docx

Реклама MarketGid:
Загрузка...
5. Лекция: Порядок организации защиты персональных данных. Организационно-распорядительная документация

Цель лекции: раскрыть порядок организации защиты ПД, в том числе определение замысла защиты и оценки обстановки. Изучить перечень основных документов, необходимых для организации защиты персональных данных.
Содержание

  • 5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

  • 5.2. Оценка обстановки и формирование замысла защиты персональных данных


5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781.

При защите персональных данных должно быть обеспечено:

  1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующие права;

  2. своевременное обнаружение фактов НСД к ПД;

  3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;

  4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.

  5. постоянный контроль уровня защищенности персональных данных[18].

Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

  1. оценка обстановки;

  2. обоснование требований безопасности ПД и постановка задач защиты;

  3. разработка замысла обеспечения безопасности;

  4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;

  5. решения вопросов управления защитой;

  6. реализация замысла защиты;

  7. планирование мероприятий по защите;

  8. создание СЗПД;

  9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.

Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.



^ 5.2. Оценка обстановки и формирование замысла защиты персональных данных

Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация, которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

  1. Анализ информационных ресурсов:

    • Определение состава, содержания и местонахождения ПД, подлежащих защите;

    • Категорирование ПД;

    • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.

  2. Анализ уязвимых звеньев и возможных угроз безопасности ПД:

    • Оценка возможности физического доступа к ИСПД;

    • Выявление технических каналов утечки информации;

    • Анализ возможностей программно-математического воздействия на ИСПД;

    • Анализ возможностей электромагнитного воздействия на ПД.

  3. Оценка ущерба от реализации угроз

    • Оценка непосредственного ущерба от реализации угроз;

    • Оценка опосредованного ущерба от реализации угроз;

  4. Анализ имеющихся в распоряжении мер и средств защиты ПД:

    • от физического доступа;

    • от утечки по техническим каналам утечки информации;

    • от НСД;

    • от программно-математических воздействий;

    • от электромагнитных воздействий.

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

^ Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

  • нанесения вреда здоровью субъекта ПД;

  • незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

  • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;

  • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

^ Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных 

органов, организаций различных форм собственности за счет неправомерных действий с ПД[20].

Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных, и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.



Рис. 5.1.  Формирование замысла защиты персональных данных

К основным вопросам управления относятся:

  1. распределение функций управления доступом к данным и их обработкой между должностными лицами;

  2. определение порядка изменения правил доступа к защищаемой информации;

  3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;

  4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;

  5. определение порядка проведения контрольных мероприятий и действий по его результатам[20].

Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных.


Скачать файл (212.2 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации
Рейтинг@Mail.ru