Разработка системы защиты персональных данных
Содержание
- 1 Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
- 1.1 Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
- 1.2 Подобные документы
- 1.3 Модель угроз безопасности ПДн: пример
- 1.4 Определение уровня защищенности ПДн
- 1.5 Построение системы защиты персональных данных
- 1.6 Выводы
- 1.7 Рекомендации по защите персональных данных
Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 23.03.2018 |
| Размер файла | 3,2 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
HTML-версии работы пока нет.
Cкачать архив работы можно перейдя по ссылке, которая находятся ниже.
Подобные документы
Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011
Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012
Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011
Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012
Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
дипломная работа [1,3 M], добавлен 01.07.2011
Технологии защиты персональных данных и их применение. Юридический аспект защиты персональных данных в России. Описание результатов опроса среди рядовых российских пользователей. Прогноз развития технологий в связи с аспектом защиты персональных данных.
дипломная работа [149,6 K], добавлен 03.07.2017
Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016
Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.
контрольная работа [21,5 K], добавлен 07.11.2013
Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [449,5 K], добавлен 17.12.2015
Анализ сетевой инфраструктуры, специфика среды исполнения и принципов хранения данных. Обзор частных моделей угроз персональных данных при их обработке с использованием внутрикорпоративных облачных сервисов. Разработка способов защиты их от повреждения.
курсовая работа [41,7 K], добавлен 24.10.2013
Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.
Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.
Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.
Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:
- Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
- Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
- Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
- Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
- Разработка технического задания на создание системы защиты персональных данных.
- Приобретение средств защиты информации.
- Внедрение системы защиты персональных данных.
- Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.
Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.
Обеспечьте защиту персональных данных в вашей компании
Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.
Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.
В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).
В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.
Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.
Модель угроз безопасности ПДн: пример
Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:
* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.
Основными источниками угроз в данном случае будут выступать:
- внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
- внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.
Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Определение уровня защищенности ПДн
В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.
Построение системы защиты персональных данных
В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.
Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:
Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.
ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.
Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.
Выводы
Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.
Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.
Рекомендации по защите персональных данных
Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.
Семь шагов к созданию системы защиты персональных данных в организации.
1 шаг – издание Приказа по организации о начале работ по созданию системы защиты персональных данных в организации. Этот шаг оформляется приказом по предприятию «Об организации работ по обеспечению безопасности ПДн». Приказ состоит минимум из 5 пунктов, в которых:
– назначается ответственный сотрудник предприятия за осуществление мероприятий, по защите персональных данных;
– дается указание о разработке локальной документации, относящейся к защите персональных данных;
– создается комиссия по защите и обработке персональных данных в организации;
– утверждается и вводится в действие Положение по защите и обработке персональных данных в организации.
2 шаг – проведение обследования информационных систем персональных данных организации.
Главный смысл проведения обследования – принятие решения о том, является ли организация оператором персональных данных или нет. Если принято решение, что организация является оператором по обработке персональных данных, то проводится процедура определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:
– отчет об обследовании информационных систем персональных данных,;
– Приказ «О создании комиссии по классификации информационных систем персональных данных»;
– Акт классификации типовой информационной системы персональных данных
-и, как приложение к Положению о защите и обработке ПДн в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных».
3 шаг – направление Уведомления об обработке (о намерении осуществлять обработку) персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Санкт – Петербургу и Ленинградской области (или соответствующей территории). Бланк Уведомления можно скачать на сайте Управления или получить в дирекции СЗРО РСТ, но отправить документ нужно обязательно по почте, электронного вида недостаточно. При заполнении имеет смысл пользоваться Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.
4 шаг – разработка, утверждение и применение документов под названиями: «Согласие на обработку персональных данных» и «Отзыв согласия на обработку ПДн».
5 шаг – внедрение системы защиты персональных данных. С точки зрения организационных мероприятий этот шаг включает в себя:
– составление и утверждение перечня лиц, допущенных к обработке ПДн (здесь очень важно не забыть уведомить самих лиц о то, что они обрабатывают персональные данные!);
– создание и утверждение Перечня персональных данных, обрабатываемых в организации;
-создание и утверждение Положения об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим Положением и еще, как минимум, двумя документами к ним – Обязательством об обеспечении конфиденциальности персональных данных сотрудниками предприятия, Приказом о выделении помещений для обработки персональных данных;
– создание и утверждение документа с названием «Описание системы защиты персональных данных при их обработке в информационных системах персональных данных в организации. К описанию необходимо приложить:
– инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;
– инструкцию администратору безопасности информационных систем персональных данных организации;
– инструкцию по резервному копированию и восстановлению данных в информационных системах персональных данных предприятия;
– положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации.
6 шаг – необходимо определиться с техническими средствами защиты персональных данных. Технические средства защиты персональных данных бывают от:
Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России. После выбора, приобретения и установки средства необходимо правильно настроить! Документами, подтверждающими реализацию шестого шага, являются:
– перечень средств защиты персональных данных;
– журнал учета и хранения носителей персональных данных;
– акт установки средств защиты информации;
-утвержденная форма акта списания и уничтожения электронных носителей информации;
– утвержденная форма акта уничтожения документов;
– подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).
7 шаг – создание и подписание «Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».
Если Вы сделали все эти шаги и завели в организации «Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области выполнения требований действующего законодательства (в части обеспечения безопасности персональных данных)», то требования Закона Российской Федерации от 27.07.2006 № 152 – ФЗ «О персональных данных» Вы, в основном, выполняете. Важно помнить, что когда Вы приобретаете новой оборудование (железо), ставите новые программы, расширяетесь о плане площадей в офисе или структурно – нужно не забывать вносить изменения в весь комплекс вышеперечисленных документов.