Партнерка на США и Канаду по недвижимости, выплаты в крипто
- 30% recurring commission
- Выплаты в USDT
- Вывод каждую неделю
- Комиссия до 5 лет за каждого referral
ДЕПАРТАМЕНТ ЗДРАВООХРАНЕНИЯ
ЯМАЛО-НЕНЕЦКОГО АВТОНОМНОГО ОКРУГА
Республики ул., д. 72, г. Салехард, Ямало-Ненецкий автономный округ, 629008
Тел. (349; 4-04-22. Тел./; 4-18-23. E-mail: о*****@***gov. *****
http://depzdrav. ***** , ,
« 07 » сентября 2012 г. № 000-17/7144
На № _____________ от ________________
Руководителям окружных подведомственных учреждений
(по списку)
Уважаемые коллеги!
Департамент здравоохранения направляет в Ваш адрес для использования в работе методические рекомендации по применению нормативных правовых актов и нормативно-методических документов Российской Федерации в области обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Управления защиты информации департамента специальных мероприятий Ямало-Ненецкого округа.
Настоящее письмо и методические рекомендации размещены в разделе «Защита информации» официального сайта департамента здравоохранения http://depzdrav. *****.
Приложение: на 16 л. в 1 экз.
И. о. директора департамента |
Приложение
Управление защиты информации
департамента специальных мероприятий
Ямало-Ненецкого округа
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
по применению нормативных правовых актов
и нормативно-методических документов
Российской Федерации
в области обеспечения безопасности персональных
данных при их обработке в информационных
системах персональных данных
г. Салехард
2012 г.
Настоящие Методические рекомендации разработаны на основании материалов семинара-совещания, проведенного в ноябре 2011 года Управлением защиты информации департамента специальных мероприятий автономного округа совместно с представителями Управления ФСТЭК России по Уральскому федеральному округу для руководителей и специалистов, ответственных за исполнение мероприятий по технической защите информации исполнительных органов государственной власти и муниципальных образований автономного округа.
Документ предназначен для использования специалистами по обеспечению безопасности информации, руководителей исполнительных органов государственной власти и местного самоуправления, предприятий, учреждений и организаций автономного округа, организующих и проводящих работы по обработке персональных данных (далее – ПДн) в информационных системах персональных данных (далее – ИСПДн).
В настоящее время в области защиты персональных данных действуют следующие нормативные правовые акты (Приложение ):
1. Федеральный закон Российской Федерации от 01.01.01 г. «Об информации, информационных технологиях и о защите информации».
2. Федеральный закон Российской Федерации от 01.01.01 г. «О персональных данных».
3. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено Постановлением Правительства РФ от 01.01.01 г. № 000.
4. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено Постановлением Правительства РФ от 15 сентября 2008 г. № 000.
5. «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утверждены Постановлением Правительства РФ от 6 июля 2008 г. № 000.
Основные требования Федерального закона Российской Федерации «Об информации, информационных технологиях и о защите информации».
п. 2 статьи 5 определяет, что информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами.
Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование (статья 6).
Ограничение доступа к информации устанавливается федеральными законами (статья 9).
Требования по защите информации для оператора ИС определены статьей 16, в которой сказано, что оператор ИС в случаях установленных законодательством обязан обеспечить:
- предотвращение НСД к информации;
- своевременное обнаружение фактов НСД к информации;
- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- постоянный контроль за обеспечением уровня защищенности информации.
Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации определены в статье 17. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Основные требования Федерального закона Российской Федерации «О персональных данных».
В статье 3 даны основные понятия, используемые в настоящем Федеральном законе:
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
- Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных осуществляется только с согласия субъекта персональных данных (статья 6).
Законом введено понятие специальной категории персональных данных, т. е. данных о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Если иное не установлено другими федеральными законами, то обработка данной информации оператором не допускается (статья 10).
Статья 19 определяет, что оператор при обработке ПДн обязан принимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования… и иных неправомерных действий.
Ч. 2 статьи 19 определяет, что требования к ОБ ПДн при их обработке в ИСПДн устанавливает Правительство Российской Федерации.
Ч. 3 статьи 19 определяет, что контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с ч. 2 ст. 19, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области ПД ИТР и ТЗИ (ФСТЭК России), в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в ИСПДн.
Статья 22.1. определяет, что:
- Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
- Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
В соответствии с Федеральным Законом № 59, подписанным Президентом РФ 23 декабря 2010 г «О внесении изменений в статью 25 Федерального закона „О персональных данных“» пункт 3 статьи 25 Федерального закона от 01.01.01 года № 152-ФЗ «О персональных данных» изложен в следующей редакции:
«Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года».
Основные требования «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденное Постановлением Правительства РФ от 15 сентября 2008 г. № 000 во исполнение требований ч. 3 ст. 19 Федерального закона «О персональных данных».
В разделе I «Общие положения»:
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.
В разделе II «Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации» определены требования:
- к носителям персональных данных;
- обязательность информирования сотрудников организации о факте обработке ими персональных данных, правилах обработки персональных данных;
- условия использования (ведения) в организации типовых форм, журналов, реестров, книг, в которые заносятся персональные данные;
- условия уничтожения или обезличивания персональных данных
В разделе III «Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации»:
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
Основные требования «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 01.01.01 г. № 000 во исполнение требований ч. 3 ст. 19 Федерального закона «О персональных данных».
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий, и обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии (пункт 2).
Методы и способы защиты информации в информационных системах устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий (пункт 3).
Пункт 5 определяет, что средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (Приложение ). К ним должны прилагаться правила пользования, согласованные с ФСТЭК России и ФСБ России в пределах их полномочий (пункт 19).
Пункт 6 определяет, что информационные системы классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства (Приложение ). Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК России, ФСБ России и Министерством информационных технологий и связи Российской Федерации.
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц (пункт 8).
Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются ФСТЭК России и ФСБ России в пределах их полномочий (пункт 9).
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор (пункт 10).
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах определены пунктом 12 (Приложение ; №6).
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе на предприятии может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных (пункт 13). (Приложение ).
Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются ФСБ России (пункт 21).
В соответствии с п. 6 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 01.01.01 г. № 000 совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 01.01.01 г. № 55/86/20 (зарегистрирован в Минюсте Российской Федерации 03.04.2008 № 11462) утвержден «Порядок проведения классификации информационных систем персональных данных».
Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (оператором).
Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе;
присвоение информационной системе соответствующего класса и его документальное оформление.
Определяются следующие категории обрабатываемых в информационной системе персональных данных 
:
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
может принимать следующие значения:
1 - в информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
9. По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов, приведенных в таблице.
Категория ПДн | Объем обрабатываемых ПДн | ||
менее 1 000 субъектов ПДн | от 1 000 до субъектов ПДн | более субъектов ПДн | |
категория 4 (обезличенные данные) | класс 4 | класс 4 | класс 4 |
категория 3 (данные, позволяющие идентифицировать субъекта) | класс 3 | класс 3 | класс 2 |
категория 2 (данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию) | класс 3 | класс 2 | класс 1 |
категория 1 (данные, касающиеся рассовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья) | класс 1 | класс 1 | класс 1 |
Результаты классификации информационных систем оформляются соответствующим актом оператора (Приложение ).
Класс информационной системы может быть пересмотрен:
по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
В соответствии с п. 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК России разработаны документы, регламентирующие вопросы обеспечения безопасности ПДн в информационных системах.
1. «Положение о методах и способах защиты информации в информационных системах персональных данных», утверждено приказом ФСТЭК России от 5 февраля 2010 г. № 58 и зарегистрировано в Минюсте России 19 февраля 2010 г., № 000.
2. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена 15 февраля 2008 г. заместителем директора ФСТЭК России.
3. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена 14 февраля 2008 г. заместителем директора ФСТЭК России.
Положение о методах и способах защиты информации
в информационных системах персональных данных
устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).
В настоящем Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
Документ состоит из трех разделов и одного приложения:
I. Общие положения.
II. Методы и способы защиты информации от несанкционированного доступа.
III. Методы и способы защиты информации от утечки по техническим каналам (защита речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей).
Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может:
- назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных (Приложение ).
- привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы.
Модель угроз разрабатывается на основе Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных и Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Раздел II. «Положения о методах и способах защиты информации в информационных системах персональных данных».
П. 2.1. Методами и способами защиты информации от НСД являются:
- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа (далее – НСД) и действий пользователей, обслуживающего персонала и посторонних лиц;
- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
- резервирование технических средств, дублирование массивов и носителей информации (Приложение );
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (Приложение );
- использование защищенных каналов связи;
- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
При определении методов и способов защиты информации от НСД, разрабатываются требования по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных (Приложение ). Требования определяют совокупность организационных и технических мероприятий, необходимых для обеспечения заданного уровня безопасности персональных данных при их обработке в информационной системе персональных данных (деле – ИСПДн). Требования распространяются только на конкретную ИСПДн.
В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от НСД реализуются функции:
- управления доступом;
- регистрации и учёта;
- обеспечения целостности.
Методы и способы защиты информации от НСД, обеспечивающие функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.
В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.
П. 2.4. оговаривается, что при взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными выше, основными методами и способами защиты информации от НСД являются:
- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
- обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
- защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
- использование средств антивирусной защиты;
- централизованное управление системой защиты персональных данных информационной системы.
Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации помимо методов и способов, рассмотренных выше, применяются следующие основные методы и способы защиты информации от НСД:
фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.
Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.
Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, рассмотренных выше, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;
управление доступом к защищаемым персональным данным информационной сети;
использование атрибутов безопасности.
Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, рассмотренных выше, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.
Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, рассмотренных выше, применяются следующие основные методы и способы защиты информации от НСД:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
