Классификация и защита информационных систем персональных данных.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных". Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

В ПОСТАНОВЛЕНИИ Правительства РФ от 1 ноября 2012 г. N 1119выделяются 4 типа ИнфСистем:

· ИС, обрабатывающая специальные категории – данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

· ИС, обрабатывающая биометрические данные – данные, характеризующие физиологические и биометрические особенности человека.

· ИС общедоступные – только общедоступные данные.

· ИС, обрабатывающая иные данные – если нет специальных, биометрических, общедоступных данных.

· ИС, обрабатывающей персональные данные сотрудников оператора - если в ней обрабатываются персональные данные только указанных сотрудников.

По объему информационные системы персональных данных классифицируются следующим образом:

· менее 100000субъектовис

· более 100000субъектовис.

Защита ПД.

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

Под Актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование,предоставление, распространение персональных данных, а также иные неправомерные действия

Для обеспечения 1-го уровнязащищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Для обеспечения 4-го уровня защищенностиперсональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

⇐ Предыдущая12345678910Следующая ⇒

Поделиться: