Перечень персональных данных, обрабатываемых в ИСПДн «Кадры» ОГУ

⇐ ПредыдущаяСтр 2 из 6Следующая ⇒

Для модернизации СЗИ разберем нормативно-правовые документы которые действуют в РФ и в ОГУ по защите ПДн. В первую очередь для построения системы защиты персональных данных, необходимо ознакомиться с основными понятиями и положениями законодательства в области защиты персональных данных.

Таблица 1.2.1 – Анализ нормативно-правовых документов в области защиты ПДн(федеральные)

Регулирующий орган	Нормативно-правовые документы

ФЗ	1)152-ФЗ «О персональных данных» 2)261-ФЗ «О внесений изменений в 152-ФЗ»
Правительство	1)ПП-1119 «Об утверждении требований к защите ПДн при их обработке в ИСПДн» 2)ПП-211 от 21.03.12 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
ФСБ	1)Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации 2) «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»
ФСТЭК	1) Приказ ФСТЭК № 21 от 18.02.13 «Об утверждении состава содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн»; 2) 2)Руководящий документ ФСТЭК России 15.02.2008 г. «Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн»; 3)Руководящий документ ФСТЭК России 14.02.2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Основные понятия, касающиеся персональных данных и общие требования по их защите, приведены в Федеральном Законе 152-ФЗ «О персональных данных» от 27.07.2006, в действующей редакции от 03.08.2013. Данный закон регулирует отношения, связанные с обработкой персональных данных на территории Российской Федерации с использованием средств автоматизации. Далее, рассмотрим эти понятия:

В утвержденном правительством Российской Федерации постановлении №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливаются требования к защите персональных данных при их обработке в ИСПДн. Постановление утверждает три типа угроз и в зависимости от типа актуальных угроз, количества субъектов персональных данных, статуса субъекта персональных данных (сотрудники оператора ПДн или нет) и количества субъектов ПДн, определяет какой уровень защищенности для ИСПДн необходимо обеспечить. В постановлении также установлены требования обеспечения защищенности ПДн при их обработке в ИС

Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждает положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Согласно данному постановлению обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека

В документе описываются особенности организации, а также меры безопасности при обработке ПДн без использования средств автоматизации.

а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными (далее - уполномоченные лица);

в) возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;

г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе

Также в данном постановлении устанавливается срок использования материального носителя, обязанности оператора по отношению к материальным носителям биометрических ПДн, требования к технологии хранения биометрических персональных данных вне информационных систем.

Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 г. Москва " Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом " О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", описывает необходимые мероприятия для обеспечения безопасности ПДн, такие как:

− Утверждение базового набора организационно распорядительных документов;

− Назначение ответственного лица;

− Введение режима защиты ПДн;

− Мероприятия по поддержанию заданного уровня безопасности

Приказ ФСТЭК России №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Данный приказ заменил собой приказ ФСТЭК №58 " Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и поскольку в соответствии с общими правилами нормативный акт применяется к отношениям, имевшим место после его вступления в силу и до утраты им силы, то действие приказа № 21 будет распространяться на вновь создаваемые системы защиты в информационных системах персональных данных.

В соответствии с Приказом № 21, выбор мер обеспечения безопасности ПДн осуществляется следующим образом. Из приложения к утвержденному Приказом документу выбирается базовый (обязательный) набор мер, соответствующий уровню защищенности ПДн. Далее этот базовый набор мер адаптируется под конкретную ИСПДн и, в случае необходимости, дополняется мерами, необходимыми для нейтрализации угроз, смоделированных оператором, и предусмотренными требованиями прочих документов, например, нормативными правовыми актами ФСБ России, Приказом ФСТЭК России № 17 от 11.02.2013, и пр

Базовая модель угроз персональных данных при их обработке в информационных системах персональных данных утверждена ФСТЭК России 15 февраля 2008 года. В открытом виде существует в виде выписки из полной версии документа, из которой исключена информация о угрозах утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Полная версия документа имеет гриф «Для служебного пользования».

Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России и утверждена 14 февраля 2008 года. Изначально документ имел пометку «Для служебного пользования», но данная пометка была снята Решением ФСТЭК России от 16 ноября 2009 г. Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн и тесно связан с базовой моделью безопасности, также разработанной и утвержденной ФСТЭК России.

В данной методике описывается порядок определения актуальных угроз ПДн в ИСПДн. Согласно определению, приведенному в документе, актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.

Таблица 1.2.2 – Анализ нормативно-правовых документов в области защиты ПДн(ОГУ)

Регулир. орган	Нормативно-правовые документы
Руководство ОГУ	1.«О создании комиссии по защите персональных данных» от 01.02.2011 г. № 36. 2.«О внесении изменений в должностные инструкции» от 13.05.2010 г. № 168. 3.«Об утверждении плана мероприятий по обеспечению безопасности персональных данных в ОГУ» от 31.12.2009 г. № 443. 4.«Об обеспечении прав субъектов персональных данных» от 05.05.2012 г. № 199. 5.«О введении в действие новых анкет о согласии на обработку персональных данных» от 29.04.2013г. № 189.
Положения 1.Концепция информационной безопасности (2007 г.). 2.Положение об информационно-аналитической системе ОГУ (2008 г.). 3.Положение о комиссии по защите персональных данных (2009 г.). 4.Регламент резервного копирования персональных данных (2010 г.). 5.Положение по обработке и защите персональных данных в ОГУ (2010 г.). 6.Регламент работы с подсистемами: управления доступом, регистрации и учета, обеспечение целостности, антивирусной защиты в рамках информационных систем персональных данных (2010 г.) и прочие.
Инструкции 1.Инструкция по защите информационных ресурсов при автоматизированной обработке данных в ОГУ (2010 г.) 2. Инструкция пользователя при обработке персональных данных на объектах вычислительной техники а ОГУ (2010 г.).

Анализ вышеперечисленных нормативных правовых документов позволяет сделать вывод о том, что защите персональных данных в ОГУ есть все основные документы для защиты ПДн.

⇐ Предыдущая 123 4 5 6 Следующая ⇒