Приказ на создание комиссии по составлению модели угроз

Оглавление:

7 шагов к созданию системы защиты персональных данных

Семь шагов к созданию системы защиты персональных данных в организации.

1 шаг – издание Приказа по организации о начале работ по созданию системы защиты персональных данных в организации. Этот шаг оформляется приказом по предприятию «Об организации работ по обеспечению безопасности ПДн». Приказ состоит минимум из 5 пунктов, в которых:

— назначается ответственный сотрудник предприятия за осуществление мероприятий, по защите персональных данных;

— дается указание о разработке локальной документации, относящейся к защите персональных данных;

— создается комиссия по защите и обработке персональных данных в организации;

— утверждается и вводится в действие Положение по защите и обработке персональных данных в организации.

2 шаг – проведение обследования информационных систем персональных данных организации.

Главный смысл проведения обследования — принятие решения о том, является ли организация оператором персональных данных или нет. Если принято решение, что организация является оператором по обработке персональных данных, то проводится процедура определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:

— отчет об обследовании информационных систем персональных данных,;

— Приказ «О создании комиссии по классификации информационных систем персональных данных»;

— Акт классификации типовой информационной системы персональных данных

-и, как приложение к Положению о защите и обработке ПДн в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных».

3 шаг – направление Уведомления об обработке (о намерении осуществлять обработку) персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Санкт — Петербургу и Ленинградской области (или соответствующей территории). Бланк Уведомления можно скачать на сайте Управления или получить в дирекции СЗРО РСТ, но отправить документ нужно обязательно по почте, электронного вида недостаточно. При заполнении имеет смысл пользоваться Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

4 шаг — разработка, утверждение и применение документов под названиями: «Согласие на обработку персональных данных» и «Отзыв согласия на обработку ПДн».

5 шаг – внедрение системы защиты персональных данных. С точки зрения организационных мероприятий этот шаг включает в себя:

— составление и утверждение перечня лиц, допущенных к обработке ПДн (здесь очень важно не забыть уведомить самих лиц о то, что они обрабатывают персональные данные!);

— создание и утверждение Перечня персональных данных, обрабатываемых в организации;

-создание и утверждение Положения об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим Положением и еще, как минимум, двумя документами к ним — Обязательством об обеспечении конфиденциальности персональных данных сотрудниками предприятия, Приказом о выделении помещений для обработки персональных данных;

— создание и утверждение документа с названием «Описание системы защиты персональных данных при их обработке в информационных системах персональных данных в организации. К описанию необходимо приложить:

— инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;

— инструкцию администратору безопасности информационных систем персональных данных организации;

— инструкцию по резервному копированию и восстановлению данных в информационных системах персональных данных предприятия;

— положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации.

6 шаг – необходимо определиться с техническими средствами защиты персональных данных. Технические средства защиты персональных данных бывают от:

Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России. После выбора, приобретения и установки средства необходимо правильно настроить! Документами, подтверждающими реализацию шестого шага, являются:

— перечень средств защиты персональных данных;

— журнал учета и хранения носителей персональных данных;

— акт установки средств защиты информации;

-утвержденная форма акта списания и уничтожения электронных носителей информации;

— утвержденная форма акта уничтожения документов;

— подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).

7 шаг – создание и подписание «Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».

Если Вы сделали все эти шаги и завели в организации «Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области выполнения требований действующего законодательства (в части обеспечения безопасности персональных данных)», то требования Закона Российской Федерации от 27.07.2006 № 152 – ФЗ «О персональных данных» Вы, в основном, выполняете. Важно помнить, что когда Вы приобретаете новой оборудование (железо), ставите новые программы, расширяетесь о плане площадей в офисе или структурно – нужно не забывать вносить изменения в весь комплекс вышеперечисленных документов.

Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России

Информационное сообщение ФСТЭК России от 22 июня 2017 г. N 240/22/3031

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

О ПОРЯДКЕ РАССМОТРЕНИЯ И СОГЛАСОВАНИЯ МОДЕЛЕЙ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ТЕХНИЧЕСКИХ ЗАДАНИЙ НА СОЗДАНИЕ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

от 22 июня 2017 г. N 240/22/3031

В связи с поступлением в Федеральную службу по техническому и экспортному контролю (ФСТЭК России) вопросов о порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем, считаем целесообразным сообщить следующее.

Постановлением Правительства Российской Федерации от 11 мая 2017 г. N 555 внесены изменения в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утверждённые постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 (далее – Требования).

В соответствии с пунктом 3 указанных Требований модели угроз безопасности информации и (или) технические задания на создание государственных информационных систем согласуются с ФСТЭК России в пределах ее полномочий в части выполнения установленных требований о защите информации.

Рассмотрение и согласование моделей угроз безопасности информации и технических заданий на создание федеральных информационных систем осуществляется центральным аппаратом ФСТЭК России. Рассмотрение и согласование моделей угроз безопасности информации и технических заданий на создание региональных информационных систем осуществляется управлениями ФСТЭК России по федеральным округам.

Рассмотрению в ФСТЭК России подлежат проекты моделей угроз безопасности информации и технических заданий на создание государственных информационных систем, оформленные в установленном порядке и поступившие от заказчиков или операторов государственных информационных систем. Проекты моделей угроз безопасности информации и технических заданий на создание государственных информационных систем, разработанные в качестве отчетных материалов в рамках научно-исследовательских и опытно-конструкторских работ, поступившие от организаций, осуществляющих создание (проектирование) государственных информационных систем, будут рассматриваться в исключительных случаях, при наличии письменного обращения от соответствующего заказчика (оператора) государственной информационной системы.

В соответствии с Регламентом Федеральной службы по техническому и экспортному контролю, утвержденным приказом ФСТЭК России от 12 мая 2005 г. N 167, срок рассмотрения в ФСТЭК России проектов моделей угроз безопасности информации и технических заданий на создание государственных информационных систем составляет не более 30 дней.

Правовую основу при рассмотрении и согласовании проектов моделей угроз безопасности информации и технических заданий на создание государственных информационных систем составляют:

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119;

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21.

Приказ о назначении комиссии

Для решения внутренних вопросов организации руководителю иногда приходится создавать комиссии. В задачи секретаря входит подготовка и оформление приказа о назначении комиссии. Как правильно составить приказ о назначении комиссии, читайте в статье.

Из статьи вы узнаете:

Приказ о назначении комиссии по уничтожению документов, приказ о назначении комиссии по проверке знаний — примеры приказов о назначении комиссии. Решать вопросы, входящие в компетенцию этих органов, руководитель не может. В этой ситуации он — заинтересованное лицо. Однако сами эти рабочие группы назначаются по его распоряжению. В задачу секретаря входит подготовка, составление и правильное оформление приказа о назначении комиссий.

Читайте так же:  Договор передачи техники

Какова структура и содержание приказа о назначении комиссии

Форма приказа о назначении комиссии сходна с формой стандартного приказа.

В начале секретарь указывает название компании, номер и дату составления документа и вид деловой бумаги. Структура документа состоит из трех блоков: заголовок, констатирующая часть (преамбула) и распорядительная часть.

В тексте содержится, как минимум, два пункта: обоснование назначения рабочей группы и ее состав.

На практике таких пунктов может быть больше.

1.Обоснование (преамбула). В этом пункте секретарь в двух–трех предложениях объясняет причины назначения комиссии. Ссылайтесь на законодательные акты или нормативы:

В соответствии с Постановлением или Федеральным законом (номер и дата издания).
Согласно нормам Трудового кодекса.

Другой вариант обоснования — ссылка на внутренние нормативные акты:

В соответствии с распоряжением Генерального директора (номер, название и дата).

2.Состав. Этот пункт секретарь оформляет в виде списка. В нем указываются должности членов коллективного органа, их принадлежность к структурным подразделениям организации или ведомствам, фамилии и инициалы.

3. Инструкция для членов комиссии. В этом пункте секретарь указывает, какие конкретные задачи стоят перед членами:

Провести аттестацию сотрудников;
Проверить условия труда;
Провести специальную оценку условий труда;
Произвести списание основных средств и т.д.

Не описывайте задачу подробно. Детализацию и объяснение отдельных пунктов инструкции дают в приложении к приказу, а тексте делают на него ссылку. Сложную задачу можно разбить на подпункты и перечислить их в инструкции.

4. Сроки работы комиссии. Сроки работы определяет руководитель организации или устанавливаются законом. Секретарю нужно заранее получить ответ на этот вопрос у руководителя.

5.Ответственный за выполнение. Часто за исполнение распоряжения отвечает сам руководитель. В этом случае используйте формулировку: «Контроль за исполнением оставляю за собой».

Такова типовая схема документа. Секретарь добавляет в него дополнительные пункты по распоряжению руководителя. Не стоит детализировать текст, все дополнительные материалы (уточняющие инструкции, нормативные акты, списки и графики) лучше оформить в виде приложения к документу.

Кто входит в состав комиссии

Не существует единого стандартного списка участников комиссии, но есть ряд специалистов, которые входят в состав каждой такой группы. К ним относятся специалист по охране труда и представитель профсоюзного органа (или другой внутренней организационной структуры сотрудников). Председателем назначается руководящий сотрудник (начальник структурного подразделения, заместитель руководителя). Иногда обязательным членом становится представитель контролирующих органов.

Количество членов должно быть нечетным. Минимальный состав — 3 человека, оптимальный — 5 или 7.

Список членов приводится в первом пункте. Секретарь указывает должность участника, затем его принадлежность к ведомству или отделу, а потом — фамилию и инициалы.

Как составляются приказы о назначении комиссий разных типов

Приказ о назначении комиссии по охране труда

Инициатива организации проверки условий охраны труда исходит не от руководителя, а от государственных органов: министерств и ведомств. В обосновании (преамбуле) дайте ссылку на распоряжения этих структур. Например:

  • В соответствии с Постановлением Минздравсоцразвития РФ от. комиссии по охране труда организовать работу.
  • Согласно Приказу Минтруда РФ.

Основные задачи комитета по охране труда — обучение или аттестация работников по вопросам соблюдения требований по безопасности труда. Обратите внимание, что этот вид коллективного органа может работать в неполном составе. Единственное условие — действующих членов должно быть не менее трех человек.

Приказ о назначении комиссии по спецоценке условий труда

Проверка опасных и вредных факторов, влияющих на сотрудников и наносящих вред здоровью, называется специальной оценкой условий труда.

Спецоценка проводится на основании ТК и Федерального закона РФ №426-ФЗ «О специальной оценке условий труда». Для обоснования (в преамбуле) используйте ссылки на данные документы.

Цель работы комитета по спецоценке — определение наличия на предприятии вредных для здоровья сотрудников факторов. В тексте эту задачу укажите в качестве основной. Однако этого будет недостаточно. Далее задачу необходимо конкретизировать и разбить на отдельные подпункты. Например:

  • утверждение графика работ по специальной оценке;
  • составление перечня рабочих мест, подлежащих оценке;
  • для председателя: контроль проведения проверки по спецоценке, организация заседаний коллективного органа.

Группа по спецоценке должна работать в полном составе.

Приказ о назначении комиссии по списанию основных средств

Технические приборы, машины, техника и оборудование — это основные средства предприятия.

Со временем часть технических средств изнашивается, однако списать оборудование без назначения рабочей группы нельзя. В задачи этого органа входит работа по установлению степени физического или морального износа основных средств.

Физический износ — это изменение технических характеристик оборудования, которое приводит к значительному снижению качества и количества изготавливаемых изделий. Основной критерий определения физического износа — целесообразность ремонта. Если ремонт оборудования обойдется дороже, чем покупка нового, то это факт физического износа.

Моральный износ применяется к компьютерной технике и связан с развитием технологий. Если устаревшее поколение компьютеров уже не справляется с решением текущих задач, то эта партия подлежит списанию и утилизации.

Скачать приказ о назначении комиссии:

Пример приказа о назначении комиссии:

Принципы составления приказов о назначении комиссий других видов аналогичны приведенным выше примерам.

  1. В задачу секретаря входит подготовка, составление и правильное оформление приказа о назначении комиссий разного рода.
  2. Структура и состав реквизитов приказа о назначении комиссии сходны со структурой приказа по основной деятельности.
  3. Текст приказа о назначении комиссии состоит, как минимум, из двух пунктов: обоснование создания комиссии и ее состав.
  4. Дополнительно в текст приказа включаются инструкция проведения мероприятий, информация о сроках и ответственном лице.

Приказ на создание комиссии по составлению модели угроз

  • Главная
  • о МИАЦ
    • Контакты
    • Структура
    • Устав
    • Схема проезда
  • Новости
  • Документы
    • федерального уровня
    • регионального уровня
      • ЛПУ
    • ГКУЗ ТО МИАЦ
  • Модернизация
    • Информатизация
      • Документация и видеоматериалы по РМИС ТО БАРС.Здравоохранение
      • Конкурсная документация
      • Документы по внедрению РМИС Тверской области
      • Методические рекомендации
      • Форум обсуждения ЕМИС Тверской области
      • Защита персональных данных
      • Интеграция с сервисом АХД
      • Функциональная схема ЕГИСЗ
    • Информация
    • Видеоматериалы
    • Интеграция с сервисом АХД
  • Программы
    • АРМ «Федеральный регистр медицинского персонала»
    • Индикаторы по программе модернизации
    • Шаблоны мониторинга
    • Годовая отчетность
      • Медстат 2018
  • Статистика
    • Демографические показатели
      • Рождаемость
      • Естественный прирост
      • Общая смертность
      • Младенческая смертность
    • Общая заболеваемость
    • Первичная заболеваемость
      • Новообразования
      • Сифилис и гонорея
      • Туберкулёз
    • Медицинский персонал
    • Деятельность медицинских учреждений

Защита персональных данных

Подробности Категория: Информатизация

Типовой комплект организационно-распорядительной документации для учреждений

Состав:
Приказ об организации работ по обеспечению безопасности персональных данных при их обработке в ИСПДн
Приложения к приказу для ЛПУ
Приложение №1 «Перечень персональных данных, обрабатываемых в учреждении»
Приложение № 2 «Перечень защищаемых ресурсов»
Приложение № 3 «Список лиц, допущенных к обработке персональных данных»
Приложение № 4П «Правила обработки персональных данных граждан в в учреждении»
Приложение № 5 «Должностная инструкция ответственного за организацию обработки персональных данных в ИСПДн»
Приложение № 6 «Инструкция о порядке технического обслуживания, ремонта, модернизации технических средств, входящих в состав ИСПДн»
Приложение № 7 «Инструкция по проведению антивирусного контроля в ИСПДн»
Приложение № 8 «Инструкция по применению парольной защиты в ИСПДн»
Приложение № 9 «Инструкция по работе пользователей в ИСПДн»
Приложение № 10 «Инструкция об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные, обрабатываемые в ИСПДн»
Приложение № 11 «Инструкция по работе ответственного за обеспечение безопасности персональных данных в ИСПДн»
Приложение № 12 «Регламент резервного копирования и восстановления персональных данных»
Приложение № 13 «Перечень должностей учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных «
Приложение № 14 «Перечень должностей учреждения, замещение которых предусматривает осуществление обработки персональных данных,либо осуществление доступа к персональным данным»
Приложение № 15 «Порядок доступа сотрудников учреждения в помещения, предназначенные для обработки персональных данных»
Приложение № 16 «Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных «
Приложение № 17 «Правила рассмотрения запросов субъектов персональных данных или их представителей»
Приложение № 18 «Перечень информационных систем персональных данных «
Приложение № 19 «Правила работы с обезличенными персональными данными «
Приложение № 20 «Юридические последствия»

Приказ о контролируемой зоне помещений

Приказ о ведении Журналов
Журнал учета ДСП
Журнал приема-сдачи помещения под охрану
Журнал учета ключей и хранилищ
Журнал проверки антивируса
Журнал проверки НСД
Журнал учета носителей
Журнал учета персональных идентификаторов
Журнал регистрации доступа к программному и аппаратному обеспечению
Журнал учета выдачи ключей и печатей
Журнал выдачи-передачи ПДн
Журнал.учета СЗИ

Приказ об организации работ по обеспечению безопасности персональных данных при их обработке с использованием средств криптографической защиты информации (СКЗИ)
Приказ о создании комиссии для принятия зачетов
Инструкция о порядке учета и выдачи СКЗИ
Инструкция о допуске к самостоятельной работе со СКЗИ
Журнал поэкземплярного учета СКЗИ
Инструкция по обращению с сертифицированными ФАПСИ (ФСБ) СКЗИ
Приказ о допуске сотрудников к работе с СКЗИ
Приказ о создании комиссии для принятия зачетов
Журнал регистрации пользователей СКЗИ

Рекомендации по установке оборудования ViPNet для учреждений здравоохранения при подключении к VPN сети ЕГИСЗ

Читайте так же:  Минимальная пенсия в пскове

Методические рекомендации медицинским организациям по организации криптографической защиты каналов при взаимодействии в рамках единой государственной информационной системы в сфере здравоохранения

Методические рекомендации по проведению в 2011 – 2012 годах работ по информационной безопасности для регионального уровня регионального уровня единой государственной информационной системы в сфере здравоохранения

Департаментом информатизации Министерства здравоохранения и социального развития РФ утверждены методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (включая «Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости и Приложения (26 шт.).

Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости

Методические рекомендации для организации защиты информации при обработке данных учреждений здравоохранения, социальной сферы, труда и занятости

Приложения (26 шт.)

Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Постановление Правительства РФ от 06.07.2015 N 676 (ред. от 11.05.2017) «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»

Методический документ. Утвержден ФСТЭК России 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах»

Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

Столбов А.П., д.т.н., МИАЦ РАМН «Методические и практические аспекты организации обработки и защиты персональных данных»

Столбов А.П. «Безопасность медицинских информационных технологий: новые задачи, старые проблемы.»

Выписка из перечня средств защиты информации, сертифицированных ФСБ России (по состоянию на 3 декабря 2018 года)

Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00

Защита информационных систем персональных данных

Обеспечение безопасности персональных данных при их автоматизированной обработке включает в себя выполнение комплекса организационных и технических мероприятий (применения технических средств), в рамках системы (подсистемы) защиты персональных данных, развертываемой в ИСПДн (информационная система обработки персональных данных) в процессе ее создания или модернизации. Обоснование комплекса мероприятий и требований по обеспечению безопасности проводится с учетом результатов оценки опасности угроз и определения уровня защищенности ПДн и в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти. Как правило, данные работы успешно выполняют лицензиаты ФСТЭК России и ФСБ России.

Типовое содержание работ на стадиях проектирования и создания систем защиты персональных данных ИСПДн и требования изложены в документах:

  • ГОСТ 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
  • Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 г. № 1119.
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282);
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622) и в других руководящих и нормативных документах;
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

На рисунке № 1 представлен вариант регламента по созданию системы защиты персональных данных ИСПДн. Работы, приведённые в регламенте [1] , можно разделить на две основные категории, а именно: организационное обеспечение информационной безопасности и внедрение технических мер защиты. Очевидно, что основой в обеспечении информационной безопасности персональных данных является организационное обеспечение.

В соответствии с приведённым регламентом работа по созданию системы защиты персональных данных или приведению уже существующей системы в соответствие с требованиями действующего законодательства предлагаем проводить в три этапа:

  1. Анализ защищаемых активов (технические средства обработки и обрабатываемые персональные данные) и оценка угроз безопасности персональных данных (ПДн).
  2. Проектирование и создание системы защиты персональных данных (СЗПДн).
  3. Оценка соответствия ИСПДн требованиям безопасности информации.

Первый этап является очень важным, так как он во многом определяет силы и средства, привлекаемые для реализации этапа проектирования и создания СЗПДн, и необходимость проведения оценки соответствия ИСПДн требованиям безопасности информации.

С целью систематизации проводимых работ для сложных ИСПДн (распределенных; имеющих большое количество рабочих станций; с разветвленной топологией) первый этап предлагается разделить на три подэтапа или выделить в три самостоятельных этапа:

  1. Предпроектное обследование.
  2. Установления уровня защищённости ПДн.
  3. Разработка технического задания (ТЗ).

ЭТАП 1. Приказом по организации назначить подразделение или лицо ответственное за обеспечение безопасности ПДн при обработки их в ИСПДн и образовать комиссию с целью сбора и оценки сведений об ИСПДн. В соответствии со статьей 22.1 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» назначить лицо, ответственное за организацию обработки персональных данных в организации.

Председателем комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации. В состав комиссии рекомендуется включить главного бухгалтера, руководителей подразделений, обрабатывающих персональные данные, представителей кадровой службы, специалистов (инженеров) по компьютерным технологиям, а также сотрудников, отвечающих за безопасность персональных данных при их обработке в ИСПДн. В состав комиссии на договорной основе можно включить сотрудников со специальным образованием в области защиты информации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации. Целью работы комиссии является определение защищаемых активов, а именно: технических средств обработки информации; перечня ПДн; применяемых средств защиты информации; используемых телекоммуникаций; систем обеспечения электропитания и заземления; персонала, имеющего доступ к защищаемым активам.

Результатом работы данной комиссии должна быть разработка проектов документов и сбор материалов для описания ИСПДн:

  1. Перечень ПДн, обрабатываемых в ИСПДн, и степень их конфиденциальности;
  2. Технический паспорт, в котором указано:
    • расположение ИСПДн относительно границ контролируемой зоны;
    • конфигурация и топология ИСПДн в целом и ее отдель­ных компонент;
    • физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назна­чения;
    • технические средства и системы, предполагаемые к ис­пользованию в разрабатываемой ИСПДн, условия их расположения, обще­системные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
    • режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах.
  3. Степень участия персонала в обработке ПДн, характер их взаимодействия между собой (матрица доступа).

ЭТАП 2. Этап, на котором устанавливается уровень защищённости ПДн, может быть совмещен с этапом проведения предпроектного обследования. Однако мы рекомендуем классификацию провести после анализа и изучения материалов 1 этапа. Это обусловлено тем, что присвоенный уровень защищенности ПДн ИСПДн является основой для выработки требований к создаваемой системе защиты персональных данных и в дальнейшем существенно определяет материальные затраты, необходимые для реализации этих требований.

Результаты проведения классификации оформляются актом. Форма акта нормативно-методическими документами не установлена. Акт классификации составляется по форме, принятой в организации. В нем отражаются следующие параметры об ИСПДн:

  • Категория, обрабатываемых персональных данных
  • Тип информационной системы
  • Значение объема обрабатываемых персональных данных в ИСПДн
  • Тип актуальных угроз ИСПДн
  • Структура ИСПДн (количество автоматизированных рабочих мест, серверов, входящих в состав ИСПДн)

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится Оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных». Модель угроз формируется исходя из конкретных условий функционирования ИСПДн. Методическими документами для разработки являются:

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных», утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн», утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/54-144.
Читайте так же:  Земля в собственность волгоград

Модель угроз позволяет выявить актуальные угрозы безопасности и сориентировать на них систему защиты. Неактуальные угрозы в дальнейшем могут не рассматриваются.

Оценка актуальности той или иной угрозы определяется в зависимости от значения показателя опасности угрозы и от возможности ее реализации. Квалифицированное составление модели угроз имеет большое значение для организации. Именно от этого зависит выбор необходимых и достаточных способов защиты информационной системы, подбор средств защиты информации, а, следовательно, конечная стоимость всех работ по обеспечению безопасности персональных данных.

По результатам анализа вышеприведенных данных информационной системе в соответствии с требованиями Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» присваивается один из уровней защищенности ПДн: первый, второй, третий, четвертый. При присвоении уровня защищенности ИСПДн рекомендуется указывать режимы обработки персональных данных и разграничения прав доступа, наличие подключений ИСПДн к сетям общего пользования.

Условия установления уровня защищённости приведены в таблице № 1.

Таблица 1. Определение уровня защищенности ИСПДн

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год

по техническому и экспортному контролю

Заместителем директора ФСТЭК России

14 февраля 2008 г.

ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.

В книге всего пронумеровано 10 страниц, для служебного пользования

Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781, с учетом действующих нормативных документов ФСТЭК России по защите информации. Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных:

государственных или муниципальных ИСПДн;

ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением;

ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд.

Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн.

1. Общие положения

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г. «О персональных данных» ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн и(или) потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.

Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по техническим каналам (технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн, технические каналы перехвата информации при ее передаче по каналам связи, технические каналы утечки акустической (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения.

Детальное описание угроз, связанных с утечкой ПДн по техническим каналам, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Выявление технических каналов утечки ПДн осуществляется на основе нормативных и методических документов ФСТЭК России.

Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:

носитель вредоносной программы;

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители подразделяются на два типа:

нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;

нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители.

Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПДн, подключенные к сетям общего пользования.

Возможности внутреннего нарушителя существенным образом зависят
от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн и мер по контролю порядка проведения работ.

Угрозы несанкционированного доступа от внешних нарушителей реализуются с использованием протоколов межсетевого взаимодействия.

Детальное описание угроз, связанных с несанкционированным доступом в ИСПДн персональных данных, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия
и выявления уязвимостей программного и аппаратного обеспечения ИСПДн. Для проведения опроса составляются специальные опросные листы.

Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень. На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн.

2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.

Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.

Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Еще статьи:

  • Информ патент ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "АГЕНТСТВО ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ ПОЛИ-ИНФОРМ-ПАТЕНТ" 191040, г Санкт-Петербург, проспект Лиговский, дом 87 ЛИТЕР А, ПОМЕЩЕНИЕ 18-Н ОФИС 521 Основной род деятельности ООО "АИС ПОЛИ-ИНФОРМ-ПАТЕНТ": Деятельность по предоставлению прочих […]
  • Алтайский край ставка транспортный налог Транспортный налог в Алтайском крае. Транспортный налог на автомобиль в Барнауле и Алтайском крае на 2016 год. В этой статье рассмотрим ставки, сроки, льготы транспортного налога в Барнауле и Алтайском крае. Ставки транспортного налога в каждом субъекте РФ устанавливаются индивидуально и […]
  • Договор муп киевский жилсервис Для получения информации об отсутствии тепло, водо и электроснабжения обращайтесь на участок, обслуживающий ваш дом, Время работы участков с 8-00 до 17-00 в будние дни , и с 8-00 до 12-00 в субботу. Перерыв c 12-00 до 13-00 в будние дни. Участок 1 тел.25-63-00 Участок 2 тел.61-54-15 […]
  • Требования к прокладке кабеля utp Прокладка кабелей типа UTP Кабели UTP соответствуют требованиям стандартов, установленных организацией TIA/EIA. В частности, TIA/EIA-568A описывает коммерческие стандарты прокладки кабеля в локальных сетях. К указанным элементам относятся: способы проверки кабелей Электрические […]
  • Долг по квартплате приставы ГБУ «Жилищник района Раменки» 119607, г. Москва, Мичуринский пр-т, д. 25, корп. 5 телефон: 8(499) 739-16-52, факс: 8(499) 739-16-53 e-mail: [email protected] Главная / Работа с должниками / Работа с должниками / Долги за коммунальные услуги - пути […]
  • Экспертиза акцизной марки Экспертиза акцизных марок Акцизная марка подтверждает, что товар (в основном, это алкогольная или табачная продукция) прошел надлежащие проверки, а налоги для его продажи уплачены. Экспертиза акцизных марок необходима, если изготовитель товаров подозревается в подделке для ухода от […]