Защита персональных данных программы

Предлагаем к прочтению статью. Если вы не найдете ответа по теме "Защита персональных данных программы" или захотите актуализировать данные на 2020 год, то задавайте вопросы дежурному специалисту.

Защита персональных данных

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152.

Зачем необходимо принимать меры по защите персональных данных?

Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, нападок со стороны конкурентов и потери ценной информации.

Комплекс услуг

Аудит существующей системы защиты персональных данных

  • обследование процессов обработки персональных данных
  • анализ организационно-распорядительной документации
  • рекомендации по доработке системы

Заказать услугу

Доработка имеющейся системы защиты персональных данных в соответствии с актуальными требованиями законодательства

Сопровождение созданной системы в условиях меняющегося законодательства и появления новых угроз

Комплекс услуг по созданию с нуля системы защиты персональных данных

В соответствии с требованиями законодательства (для медучреждений, ВУЗов, средних и крупных компаний, бюджетников).

  • оценка текущего состояния обработки ПДн, организационно-распорядительной документации и СЗИ на соответствие актуальным требованиям 152-ФЗ
  • моделирование угроз безопасности ПДн, проектирование эффективной работающей системы ИБ

Технические мероприятия по созданию системы защиты персональных данных в соответствии с классом:

  • поставка и внедрение технических средств защиты информации (сертифицированные межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
  • настройка средств и систем защиты информации в соответствии с требованиями
  • аттестация информационной системы персональных данных
  • помощь в подготовке к прохождению проверки контролирующих органов (Роскомнадзор, ФСТЭК, ФСБ)

Заказать услугу

Источник: http://kontur.ru/security/features/personal-data

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Читайте так же:  Понятие частичной дееспособности

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: http://kontur.ru/articles/1723

Реализация защиты персональных данных

Защита персональных данных
с помощью DLP-системы

З ащита персональных данных граждан призвана исключить их утечку и распространение среди третьих лиц, что могло бы причинить существенный ущерб их владельцам. Как обеспечивается надлежащая охрана этого массива информации в соответствии с требованиями действующего законодательства?

Основные принципы защиты персональных данных

Персональные данные граждан находятся под угрозой, они интересуют многих: и отдельных преступников, и крупные хакерские группировки. Так, по отчету компании Positive Technologies, число хакерских атак за первый квартал 2018 года выросло на 36 %, если сравнивать с этим же периодом прошлого года, и практически в этом же соотношении выросло число атак с целью получения персональных данных . Информация в дальнейшем или перепродается, или используется для планирования преступных деяний против ее владельцев. Возрастающая опасность требует усиления мер защиты.

Обработка персональных данных должна происходить только с использованием сертифицированного программного обеспечения – это один из основных постулатов, который должен быть учтен при разработке мер безопасности в каждом конкретном юридическом лице. В настоящее время большинство юридических лиц, которые не внесены в реестр операторов персональных данных, обрабатывают эту информацию в бухгалтерских или производственных программах (различные версии 1С), в лучшем случае – в кадровых программах. Они не обладают достаточным уровнем защиты, который предотвратил бы их утечку при обработке.

Интересно, что даже те компании и учреждения (образовательные, медицинские), которые регулярно проходят проверки Роскомнадзора, бывают уверены в том, что использование утилитарных программных продуктов общего назначения поможет им получить положительную оценку регулятора и подтвердить соответствие правилам защиты персональных данных.

При работе по подготовке к проверке юридическому лицу придется выбирать один из двух методов реализации системы защиты:

  • установку сертифицированного программного обеспечения;
  • тонкую настройку имеющихся программ.

Оба способа защиты персональных данных имеют свои плюсы и минусы. Очевидно, что любая система должна:

  • гарантировать соответствие требованиям регулятора по защите персональных данных;
  • обеспечивать их обработку;
  • исключать их утечку;
  • позволять работать с ней даже неопытным пользователям вычислительной техники.

Выбор в итоге будет зависеть от мотивации руководителей юридического лица на создание системы, исключающей утечку персональных данных.

Процесс создания системы защиты персональных данных

Компании, чья деятельность связана со сферой обработки персональных данных, должны выстраивать свою работу по следующему алгоритму:

  • проведение аудита систем информационной безопасности компании с целью выявления, насколько они соответствуют требованиям законодательства о защите персональных данных;
  • разработка внутренних нормативных актов, регламентирующих процесс работы с защищенными законом массивами информации. Наличие таковой документации является одним из требований Роскомнадзора;
  • выявление наиболее вероятных угроз и их источников, внешних и внутренних, угрожающих целостности сведений, обрабатываемых в информационной системе персональных данных;
  • определение необходимого и достаточного уровня защиты. При разработке системы защиты персональных данных существуют различные уровни безопасности, и каждая компания может определить свой приемлемый вариант;
  • разработка технического задания для внутренних служб или привлеченных консультантов на создание системы безопасности персональных данных;
  • приобретение выбранного программного обеспечения, специально созданного или адаптированного для защиты персональных данных;
  • установка и внедрение данного ПО;
  • аттестация работающей системы.

Последний этап не является обязательным для большинства компаний, работающих с персональными данными и физическими лицами – их владельцами. Тем не менее реализация возможности получения аттестата поможет пройти проверки и повысит инвестиционную привлекательность компании. Он покажет ее ответственное отношение к соблюдению требований законодательства Российской Федерации.

Бухгалтерское или кадровое ПО

Многие компании останавливают свой выбор на доработке уже установленного у них бухгалтерского или кадрового ПО, даже не сертифицированного ФСТЭК, не считая необходимым нести финансовые и трудозатраты на приобретение и внедрение специализированной программы. Такое ПО вполне сыграет свою роль средства защиты информации, но не снимет риски несанкционированного копирования и распространения персональных данных внутренним пользователем. Стандартная система обработки персональных данных выглядит так:

  • хранение осуществляется на компьютерах кадрового подразделения, через маршрутизатор подключенных к серверу;
  • на рабочих местах установлено программное обеспечение типа «1С: Зарплата и управление персоналом» или «КонтурПерсонал»;
  • в компании разработана документация по защите персональных данных;
  • сотрудники ознакомлены с ней и с требованиями федеральных законов по защите персональных данных;
  • реализованы меры, исключающие несанкционированный доступ к базам данных;
  • специализированные программные решения, исключающие возможность несанкционированного доступа к базам данных, отсутствуют.

Это приводит к необходимости создания модели угроз, которые могут быть реализованы именно в этой конфигурации системы защиты персональных данных. Среди них в первую очередь следует назвать следующие:

  • угрозы, связанные с несанкционированным доступом пользователей. При реализованной системе паролей, разных уровней допуска и персональной ответственности возникновение таких угроз маловероятно;
  • угрозы, связанные с невысоким качеством программного обеспечения, их реализация теоретически возможна при «коробочных версиях» программ или самостоятельной доработке их программистами компании, тем не менее они возможны;
  • угрозы, связанные с внешним проникновением в систему. Именно эта категория угроз для систем защиты персональных данных, реализуемых при помощи бухгалтерского или кадрового ПО, наиболее легко реализуема.

Специалисты рекомендуют при доработке системы до 4-го рекомендуемого уровня безопасности опираться на Приказ ФСТЭК от 18.02.2013 г. № 21 и реализовать:

  • идентификацию и аутентификацию пользователей, имеющих доступ к системам защиты персональных данных;
  • управление идентификацией;
  • управление учетными записями пользователей;
  • разграничение прав доступа;
  • управление информационными потоками;
  • регистрацию инцидентов безопасности;
  • антивирусную защиту.
Читайте так же:  Порядок выхода из снт

Реализация совокупности этих мер защиты персональных данных сделает возможным прохождение проверок Роскомнадзора при условии, что межсетевой экран и антивирусы имеют сертификаты соответствия 5-го класса и выше. Таким образом, даже наличие у бухгалтерской или кадровой программы сертификата ФСТЭК не отменяет необходимости применения дополнительных мер защиты персональных данных.

Преимущества сертифицированного ПО

Компаниям – участникам реестра лучше остановить свой выбор на сертифицированном ФСТЭК программном обеспечении. Оно получило сертификат соответствия ФСТЭК или ФСБ и полностью осуществляет задачи по защите персональных данных. При этом для обеспечения 1-го уровня защищенности программные продукты должны иметь сертификаты соответствия не ниже 4-го класса, для третьего уровня сертификация программных продуктов не требуется. Тем не менее при приобретении сертифицированной программы надо иметь в виду следующее нюансы:

  • сертификаты выдаются не на все экземпляры программы, а на ограниченное их количество;
  • сертификат выдается только на конкретную версию, при обновлении он устаревает;
  • обновления должны быть также сертифицированы, что влияет на их стоимость;
  • срок действия сертификата не более трех лет.

Все это создает дисбаланс в ситуациях, когда базовую программу требуется немедленно обновить, например, при появлении новых форм отчетности. При этом сертификация новой версии займет время и потребует дополнительных финансовых ресурсов.

Судебная практика по защите персональных данных

Многих интересует, доходили ли до суда случаи, связанные с утечкой персональных данных граждан. Грозит ли компании что-то, кроме санкций со стороны регулятора? В практике районных судов находится множество дел, связанных с хищением денег с карт граждан путем предварительного хищения их персональных данных. Частые дела с передачей конкурентам клиентской базы какой-либо компании также относят к правонарушениям, связанным с хищением персональных данных.

Так, в Чебоксарах сотрудница одной из компаний была осуждена по статье 183 УК РФ (разглашение банковской или коммерческой тайны) за копирование на внешний носитель персональных данных клиентов. Существует и практика, при которой клиенты обвиняют банки в ненадлежащем хранении их персональных данных , из-за чего происходит хищение денег со счетов. Например, одно из таких дел было рассмотрено в Таганроге, где истец сослался на нормы законодательства о правах потребителя о ненадлежащем качестве оказанной услуги с точки зрения несоблюдения специальных правил безопасности. Фигурируют в судебной практике и фиктивные (подделанные) согласия на обработку персональных данных. Часто факт их разглашения становится основанием для применения ответственности в рамках трудовых взаимоотношений.

Очевидно, что пока дела о хищении персональных данных или их недостаточной защите не выделены в отдельную категорию, но усиление активности интересующихся ими лиц должно привести к этому результату. Это станет одним из оснований для увеличения ответственности операторов за ненадлежащую защиту персональных данных и усиления внимания к качеству программного обеспечения, его сертификации и своевременному обновлению.

Видео (кликните для воспроизведения).

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/

Как защитить персональные данные работников и клиентов

Защита персональных данных сотрудников организации и постоянных клиентов — активно обсуждаемая в последние годы тема. Ведь личная информация должна храниться так, чтобы никто посторонний не мог получить к ней досту

Как уберечь персональные данные от случайной или тем более преднамеренной утечки, рассказывает наш собеседник.

Виктор Владимирович, небольшие организации не всегда могут для защиты персональных данных нанять отдельного специалиста. Что же делать?

В.В. Любезный: Если вы ограничены в средствах, защищайте персональные данные своими силами. Главное — выполнять требования Закона и подзаконных актов, где подробно прописаны конкретные меры по защите персональных данны Желательно пригласить консультанта, который проанализирует ваш бизнес с точки зрения возможных проблем и даст рекомендации.

Что именно надо предпринять для защиты персональных данных?

В.В. Любезный: Защите подлежат не просто персональные данные, а вся информационная система, то есть программы, с помощью которых они обрабатываются, и компьютеры, на которых они хранятс Если весь учет персональных данных ведется в бухгалтерии на единственном компьютере, то защищать надо бухгалтерскую программу, базу данных бухгалтерской программы, пакет офисных программ, операционную систему, компьютер, монитор и подключенный к компьютеру принтер. Если компьютер соединен с локальной сетью, надо защищать и сетевое оборудование, кабели, сервер.

От характера и объема (до 100 тысяч лиц или свыше) персональных данных зависит, как именно их надо защищать. Имеет значение и то, обрабатываются персональные данные только сотрудников организации или кого-то еще, например клиентов. Если в системе хранятся данные о состоянии здоровья людей, их политических взглядах, физиологических и биологических особенностя требования к уровню защищенности информационной системы повышаются.

Необходимый уровень защищенности информационной системы — всего их четыре — зависит еще и от актуальных угроз. Чем больше у информационной системы актуальных угроз, тем строже требования к защищенност

Что это такое — актуальные угрозы?

В.В. Любезный: Это официальный термин, он используется во всех документах по информационной безопасности. Актуальная угроза — это угроза, которая может быть реализована. Иначе говоря, существует реальная опасность, что данные могут быть украдены, испорчены, уничтожены. Такие угрозы связаны с возможными ошибками в системном программном обеспечении и в прикладных программах, например офисных, бухгалтерских, почтовых.

Так, в системном программном обеспечении бывают незадекларированные возможности (они считаются угрозами первого типа). Злоумышленники могут отправить по сети на компьютер, где хранятся персональные данные, специально сформированный запрос. И таким образом с помощью незадекларированных возможностей вашего компьютера скачать персональные данные.

Защититься от этих угроз можно, подключив компьютер к Интернету через роутер в режиме трансляции сетевых адресов (NAT) или прокси-сервер. Они принимают все приходящие из Интернета запросы на себя, не пропуская их к защищаемому компьютеру или локальной сети. И тогда, выбирая уровень защищенности системы, можно считать, что угрозы первого типа для вас неактуальны.

Какие еще бывают угрозы?

В.В. Любезный: Еще больше незадекларированных возможностей встречается в прикладном программном обеспечении. Вы можете что-то искать в Интернете и случайно набрести на сайт злоумышленников. Используя неисправленную ошибку в браузере вашей программы, они могут незаметно для вас загрузить на ваш компьютер и запустить вредоносную программу. И тогда ваш компьютер и информация на нем окажутся под их контролем.

Такие угрозы называются угрозами второго типа. Для большинства организаций такой тип угроз считается актуальным. Стопроцентной защиты от них нет, хотя можно серьезно снизить вероятность их наступления.

Читайте так же:  Куда подается частная жалоба на определение суда

А какой уровень защищенности информационной системы должен быть у обычной организации, которая никаких персональных данных посторонних лиц не обрабатывает и не хранит?

В.В. Любезный: Если компьютеры с персональными данными сотрудников имеют выход в Интернет, то актуальны угрозы второго типа. И информационные системы в большинстве своем должны иметь третий уровень защищенности.

Какими конкретно мерами надо обеспечить этот третий уровень защищенности?

В.В. Любезный: Эти меры перечислены в Постановлении Правительства № 1119 и Приказе ФСТЭК № 21. Там же установлен порядок их использования для конкретных информационных систем. Если вы не можете реализовать какую-то из этих мер или это для вас слишком дорого, Приказ разрешает заменить ее другой, компенсирующей мерой.

Для начала надо назначить приказом работника, ответственного за обеспечение безопасности персональных данных в информационной системе.

Также приказом надо утвердить перечень сотрудников, которые имеют право доступа к персональным данным. Другие люди в помещение, где размещена система персональных данных, допускаться не должны. На дверях необходимы замки. Ключи должны быть только у сотрудников с правом доступа к информационной системе, а запасной ключ нужно хранить в сейфе руководителя организации. Когда сотрудники выходят из помещения, они должны выключать приборы и обязательно запирать двери и окна. Это надо прописать в правилах внутреннего распорядка.

Необходимо полностью исключить возможность того, чтобы персональные данные мог увидеть и тем более скачать кто-то кроме ответственных лиц. Поэтому рабочие места в помещении, где стоит система, надо разместить так, чтобы из окна или двери нельзя было подсмотреть информацию на мониторах сотрудников и в документах, с которыми они работают.

Но как сделать это на практике? Например, персональные данные всех сотрудников организации хранятся в бухгалтерии. Неужели надо запретить сотрудникам других отделов заходить туда?

В.В. Любезный: Нет, совсем запрещать не надо. Самое главное — не допускать «неконтролируемого проникновения» посторонних в помещени А «контролируемое» пребывание в бухгалтерии сотрудников организации в присутствии ответственного бухгалтера допускается.

Что еще нужно сделать?

В.В. Любезный: Для каждого сотрудника, работающего с персональными данными, надо завести отдельную учетную запись для входа в компьютер. Для того чтобы поработать, он должен ввести свое имя и пароль (причем этот пароль не должен быть виден на экране) либо приложить электронный ключ.

Компьютеры должны быть настроены так, чтобы после нескольких неправильных попыток ввода пароля учетная запись пользователя блокировалась. А если пользователь бездействует на протяжении нескольких минут, вход в систему закрывается. И чтобы начать работать, нужно вводить пароль снова.

Каждый пользователь должен иметь право совершать только те действия, которые определены его трудовыми обязанностями. Конечно, урезать права надо в разумных пределах, ведь может возникнуть ситуация, когда одному сотруднику приходится подменять другого.

Если кто-то из сотрудников работает удаленно, между его компьютером и сервером фирмы надо организовать зашифрованный канал связи.

62% россиян, указывая персональные данные, обращают внимание на то, как их будут использовать

Если с системой персональных данных работают только ответственные сотрудники и они не переписывают информацию на флешки и не выходят в Интернет, этого достаточно?

В.В. Любезный: Утечка персональных данных может произойти не только через Интернет. Надо обеспечить сохранность носителей персональных данных.

Внутренние носители (жесткие диски или носители) находятся внутри компьютеров, серверов, сетевых хранилищ. И меры их защиты те же самые, о которых я уже говорил: не допускать посторонних в помещение. Если при ремонте из компьютера извлекается носитель, он должен храниться в запирающемся шкафу, желательно в сейфе. Внешние носители (флешки, дискеты, карты памяти, сменные жесткие диски) тоже надо хранить под замком. Если вы носите флешку с собой, защитить ее от кражи полностью, к сожалению, невозможно. Но желательно выбрать такую модель флешки, данные на которой защищаются паролем или кодом. Не зная их, записанный на такую флешку файл прочитать не удастся. Если техника отслужила свой срок, ее нельзя просто выбросить на помойку. Многие модели уничтожителей документов способны уничтожать не только бумагу, но и и диски. Можно и просто разломать такой диск на части. Лучше делать это в пакете: при разламывании от диска могут отлететь мелкие кусочки и повредить глаза.

Жесткий диск лучше всего размагнитить. Но для этого требуется специальное оборудование. Если такого оборудования у вас нет, можно вскрыть гермоблок, извлечь металлические диски, на которых записана информация, зачистить их шкуркой с двух сторон и сдать на металлолом. носителей и флешек можно вытащить электронные платы и измельчить микросхемы дремелем или другим режущим инструментом.

Надо ли для защиты персональных данных использовать антивирусные программы?

В.В. Любезный: Конечно. На компьютерах с информационной системой должен стоять современный антивирус, желательно с сетевым экраном. Сетевой экран — это специальная программа, анализирующая обмен данными между компьютером и сетью. Она позволяет блокировать трафик, определять и пресекать атаки на компьютер. Операционная система, антивирус, прикладные программы должны автоматически обновляться.

Wi-Fi, если в нем нет необходимости, надо отключить. Если он нужен, то доступ посторонним надо закрыть длинным, стойким к подбору паролем. То есть пароль должен быть бессмысленным или случайным набором букв, цифр и других символов, желательно не менее восьми.

События, связанные с информационной безопасностью (например, вход пользователя в систему, неудачная попытка входа в систему, попытка входа под заблокированной учетной записью и т. п.), должны записываться в специальный журнал. В Win­dows такой журнал ведется автоматически. Если была попытка кражи данных, просмотр журнала поможет разобраться в произошедшем, например понять, кто работал за компьютером в этот момент.

Читайте так же:  Обжалование судебных издержек

Может ли кто-то проверить, как соблюдаются все эти меры?

В.В. Любезный: Конечно, к вам могут прийти контролеры из Роскомнадзора и проверить, выполняете ли вы все процедуры определения актуальных для информационной системы угроз и необходимого уровня ее защищенности. И достаточно ли для защиты системы тех мер безопасности, которые вы применяете. Поэтому советую подготовить и хранить документы:

протокол определения и оценки актуальности угроз безопасности обрабатываемых системой персональных данных;
протокол определения типов актуальных угроз и необходимого уровня защищенности информационной системы персональных данных;
протоколы определения и адаптации базового набора мер по обеспечению безопасности;
приказ об утверждении и организации выполнения окончательного набора мер безопасности;
акты о выполнении работ по безопасности, приказ о назначении ответственного сотрудника или структурного подразделения.

Не реже чем раз в 3 года эффективность применяемых вами мер надо проверять и составлять об этом протокол. Также желательно утвердить регламент технического обслуживания и использования информационной системы. В нем надо прописать периодичность и состав мероприятий по контролю работоспособности системы, средства защиты информации, процедуры работы с носителями персональных данных (установка, учет, изъятие, отправка в ремонт или на утилизацию), порядок привлечения новых сотрудников к работе с персональными данными и действия при увольнении сотрудника. А самое главное — неотложные действия конкретных лиц в различных нештатных ситуациях.

Хотя формального требования иметь такой регламент нет, проверяющие его обычно требуют. Но он нужен и вам, чтобы ничего не забыть. Ведь при работе с такими сложными системами, как системы хранения и обработки персональных данных, нарушение порядка действий может привести к тому, что вся система выйдет из строя. Для сотрудников надо составить подробную инструкцию по безопасности при работе в информационной системе персональных данных, следует ознакомить их с ней под роспись. Ее тоже могут потребовать проверяющие.

Что надо дополнительно сделать, если у нас хранятся данные посторонних лиц: родственников сотрудников, партнеров, клиентов?

В.В. Любезный: Если у вас хранятся данные меньше чем 100 тысяч людей, не являющихся вашими сотрудниками, никаких дополнительных мер не нужно. И неважно, кто это — родственники сотрудников, партнеры или клиенты. Ваша система персональных данных останется на третьем уровне защищенности.

Если у вас хранятся данные больше чем 100 тысяч человек, уровень защищенности системы должен быть выше — второй или даже первый. Они требуют дополнительных мер безопасности. Например, надо организовать защиту от спама, обязательно создавать резервные копии баз данных. Есть и более сложные требования: контроль целостности программного обеспечения, обнаружение вторжений. Выполнить их, не привлекая специалистов по безопасности, трудно.

Источник: http://glavkniga.ru/elver/2013/19/1204-zaschititi_personalinie_dannie_rabotnikov_klientov.html

Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных

Security of personal data at their processing in information systems of personal data

Код: ТЗКИ001
Направление обучения: Техническая защита конфиденциальной информации
Продолжительность: 9 дней / 72 часа
Цена для физ. лиц: 38500 руб.
Цена для юр. лиц: 38500 руб.

Аннотация

Описание образовательной программы

Основой для разработки программы являются Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», а также документы, регламентирующие вопросы обеспечения безопасности персональных данных: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18 февраля 2013 № 21.

Более того, в соответствии с пунктом 1 статьи 12 Федерального закона от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации отнесена к лицензируемым видам деятельности.

Перечнем федеральных органов исполнительной власти, осуществляющих лицензирование, утвержденным Постановлением Правительства РФ от 21 ноября 2011 г. № 957 определено, что лицензирование выше поименованного вида деятельности осуществляет Федеральная служба по техническому и экспортному контролю России.

При предоставлении государственной услуги по осуществлению лицензирования выше поименованного вида деятельности ФСТЭК России руководствуется «Положением о лицензировании деятельности по технической защите конфиденциальной информации», введенным в действие Постановлением Правительства РФ от 3 февраля 2012 г. № 79.

Учебная программа настоящего курса согласована с уполномоченными должностными лицами ФСТЭК России и удовлетворяет требованиям Постановления Правительства Российской Федерации от 3 февраля 2012 г. № 79, предъявляемым к соискателям лицензии (или лицензиатам), выполняющим работы и оказывающих услуги, перечисленные в пункте 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации.

После изучения курса слушатель будет:

  • основные положения нормативных правовых актов, регламентирующих вопросы обеспечения безопасности персональных данных;
  • основные виды угроз безопасности персональных данных в информационных системах персональных данных;
  • содержание и порядок организации работ по выявлению угроз безопасности персональных данных;
  • процедуры задания и реализации требований по защите информации в информационных системах персональных данных;
  • меры обеспечения безопасности персональных данных;
  • требования по обеспечению безопасности персональных данных;
  • порядок применения организационных мер и технических средств обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
  • создавать организационно-распорядительные документы в интересах организации работ по обеспечению безопасности персональных данных;
  • планировать мероприятия по обеспечению безопасности персональных данных;
  • обосновывать и задавать требования по обеспечению безопасности персональных данных в информационных системах персональных данных;
  • проводить оценки актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • определять состав и содержание мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для блокирования угроз безопасности персональных данных.
  • навыками работы с правовыми базами данных;
  • навыками определения уровней защищённости персональных данных;
  • навыками выявления угроз безопасности персональных данных в информационных системах персональных данных;
  • навыками разработки необходимых документов в интересах организации работ по обеспечению безопасности персональных данных;
  • навыками применения сертифицированных средств защиты информации.
Читайте так же:  Рента пожизненного содержания после смерти

Успешное окончание обучения по программе данного курса позволит специалистам:

  • эффективно организовывать процесс обработки персональных данных в организации (компании);
  • проводить обследование (принимать участие в обследовании) информационных систем организации с целью определения сведений, необходимых для построения системы защиты персональных данных;
  • выявлять угрозы безопасности персональных данных в информационных системах персональных данных и оценивать степень их опасности;
  • самостоятельно определять требуемые уровни защищённости персональных данных, обрабатываемых в информационных системах персональных данных;
  • определять и обосновывать необходимость применения средств защиты информации;
  • аргументированно выбирать средства защиты информации, удовлетворяющие потребностям организации – обладателя информации;
  • правильно организовать эксплуатацию средств защиты информации;
  • самостоятельно разрабатывать требуемую организационно-распорядительную документацию.

Цель курса

Целевая аудитория

  • руководители и сотрудники государственных, муниципальных органов, органов местного самоуправления, организаций различных форм собственности, физические лица, организующие и (или) осуществляющие обработку персональных данных;
  • руководители и сотрудники департаментов (отделов, служб) IT и информационной безопасности;
  • специалисты по защите информации.

Необходимая подготовка

  • знать основы информационных технологий;
  • иметь навыки работы на персональном компьютере в ОС MS Windows XP или выше;
  • иметь навыки работы в пакете MS Office 2010 или выше.

Содержание

1. Правовое, нормативное и методическое обеспечение безопасности персональных данных.

  • Вводная лекция. Структура и содержание курса. Актуальность проблемы обеспечения безопасности персональных данных, обрабатываемых в информационных системах организации.
  • Основные понятия термины и определения.
  • Правовое, нормативное и методическое регулирование деятельности в области обеспечения безопасности персональных данных.
  • Содержание и основные положения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  • Специальные нормативные документы по технической защите информации ограниченного доступа и обеспечению безопасности персональных данных.
  • Правовое, нормативное и методическое регулирование использования средств криптографической защиты информации.
  • Ответственность за нарушение требований по обеспечению безопасности персональных данных.

2. Угрозы безопасности персональных данных, уязвимости информационных систем персональных данных.

  • Общие положения и классификация угроз безопасности персональных данных.
  • Угрозы утечки информации по техническим каналам.
  • Угрозы несанкционированного доступа к информации.
  • Угрозы программно-математических воздействий и нетрадиционных информационных каналов.

3. Организация обработки персональных данных.

  • Общий порядок организации обработки персональных данных.
  • Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных.
  • Разработка уведомления об обработке (о намерении осуществлять обработку) персональных данных.
  • Практическая работа: Разработка проекта Приказа о назначении сотрудника ответственного за организацию обработки персональных данных.
  • Практическая работа: Разработка Должностной инструкции ответственного за организацию обработки персональных данных.
  • Практическая работа: Разработка типовой формы ответа оператора на запрос субъекта персональных данных.
  • Практическая работа: Разработка проекта Приказа о назначении комиссии по приведению деятельности Организации в соответствие с требованиями Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
  • Практическая работа: Разработка Плана приведения процесса обработки персональных данных, обрабатываемых в ИС организации в соответствии с требованиями 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
  • Практическая работа: Разработка Анкеты для определения перечня, категории и объёма обрабатываемых персональных данных.
  • Практическая работа: Разработка Перечня персональных данных, обрабатываемых в информационных системах оператора.
  • Практическая работа: Разработка Перечня должностей сотрудников, допущенных к обработке персональных данных в организации.
  • Практическая работа: Разработка Положения об обработке персональных данных в организации.
  • Практическая работа: Разработка Типовой формы согласия на обработку персональных данных иных субъектов персональных данных.
  • Практическая работа: Разработка проекта Приказа о вводе в действие комплекта документов, регламентирующих обработку персональных данных в организации.
  • Практическая работа: Разработка Протокола оценки вреда, который может быть причинён субъектам персональных данных.
  • Практическая работа: Разработка уведомления об обработке персональных данных.

4. Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

  • Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных.
  • Разработка Частной модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных организации.
  • Определение уровня защищённости персональных данных.
  • Состав и содержание мер по обеспечению безопасности персональных данных.
  • Особенности использования средств криптографической защиты информации в рамках построения системы защиты персональных данных в организации.
  • Практическая работа: Разработка Частной модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных организации.
  • Практическая работа: Определение уровня защищённости персональных данных, обрабатываемых в информационных системах персональных данных организации.
  • Практическая работа: Определению базового набора мер по обеспечению безопасности персональных данных для заданного уровня защищённости персональных данных.
  • Практическая работа: Практические реализации типовых моделей защищенных информационных систем обработки персональных данных.

5. Особенности обработки персональных данных без использования средств автоматизации.

  • Особенности обработки персональных данных без использования средств автоматизации.
  • Требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем персональных данных.
  • Практическая работа: Разработка ОРД, необходимых для организации обработки персональных данных без использования средств автоматизации.

Получаемый документ

Удостоверение о повышении квалификации

Государственное автономное образовательное учреждение дополнительного профессионального образования «Институт развития образования и социальных технологий» Курганской области выражает благодарность коллективу НОУДПО «Институт АйТи» за профессиональное отношение и индивидуальный подход в оказании образовательных услуг по повышению квалификации в 2014 году для сотрудников образовательных учреждений Курганской области по дополнительной профессиональной программе: «Техническая защита персональных данных при их обработке в информационных системах персональных данных» с применением электронного обучения путем предоставления доступа к информационным образовательным ресурсам, расположенным на учебном портале НОУДПО «Институт АйТи».

Хотим отметить высокий методический уровень проведения обучения, доступность и ясность изложения учебного материала.

Видео (кликните для воспроизведения).

Источник: http://www.academyit.ru/courses/%D0%A2%D0%97%D0%9A%D0%98001/

Защита персональных данных программы
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here