Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности


Скачать 3.1 Mb.
Название Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности
страница 6/21
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы
1   2   3   4   5   6   7   8   9   ...   21

Нормативно правовая база по защите персональных данных.


В целях понимания ситуации вокруг защиты персональных данных, сложившейся в современной законодательной практике в Российской Федерации, перед началом работ необходимо изучить основные нормативно-правовые документы, регламентирующие защиту персональных данных. С утверждением постановления от 01.11.12 №1119 утратило силу постановление №781, на основе которого по приказу ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 и по частной модели угроз определялся класс ИСПДн. По приказу правительства №1119 вместо класса ИСПДн определяется уровень защищенности ПД при их обработке в ИСПДн. Приказ ФСТЭК России от 5 февраля 2010 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» № 58 утратил силу, на его место был утвержден приказ ФСТЭК России 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности данных при их обработке в информационных системах персональных данных» № 21.

Федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ.


27 июля 2006 года указом президента Российской Федерации был введен в действие Федеральный Закон «О персональных данных» №152-ФЗ.

Данный закон регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами).

Согласно данному закону к персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия с ними, а именно, систематизация, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование и уничтожение данных.

Постановление Правительства № 687


15 сентября 2008 года, было подписано постановление «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Согласно этому документу, обработка ПДн, содержащихся в ЗС либо извлеченных из такой системы, считается неавтоматизированной, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.

Но, вместе с тем, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

В самом положении определяются правила и требования к обработке персональных данных, осуществляемой без использования средств автоматизации.

Постановление Правительства № 1119


Постановление Правительства Российской Федерации от 1 ноября 2012г. “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных” №1119 устанавливает требования к обеспечению безопасности, необходимые для обработки персональных данных с использованием средств автоматизации.

Постановлением устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Постановлением также устанавливается требование использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Приказ ФСТЭК №21


ФСТЭК России 18 февраля 2013 г. Был издан приказ «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности данных при их обработке в информационных системах персональных данных» № 21.

В тексте Приказа определяются требования к защите информации, обрабатывающейся в ИСПДн. Все требования в Приказе разделены в соответствии с уровнями защищенности персональных и разделены на различные целостные подсистемы единой системы защиты информации в защищаемых сетях.

Приказ ФСТЭК №17


ФСТЭК России 11 февраля 2013 г. Был издан приказ «Об утверждении требований о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах» № 17.

В тексте Приказа определяются требования к защите информации, обрабатывающейся в государственных информационных системах. Все требования в Приказе разделены в соответствии с классами защищенности информационных систем и разделены на различные целостные подсистемы единой системы защиты информации в защищаемых сетях.

Базовая модель угроз безопасности персональных данных и Методика определения актуальных угроз


Для определения перечня актуальных угроз, способных нанести ущерб безопасности персональных данных, при их обработке в информационных системах персональных данных, служат два документа - Базовая модель угроз безопасности ПДн при их обработке в ИСПДн и Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн. Оба методических документа разработаны и утверждены ФСТЭК России и являются базовыми документами для составления Частной модели угроз безопасности ПДн при их обработке в ИСПДн, отнесенных к классу специальных.

распределение ответственности за выполнение мероприятий по защите информации между должностными лицами, организующими и реализующими технические мероприятия;

назначение администраторов защиты (безопасности) информации.

Указанные мероприятия должны проводиться по мере необходимости, но не реже одного раза в год. Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …», разрабатываемого в каждом отделении ПФР. Инструкция подписывается руководителями подразделений информационных технологий и по защите информации, утверждается управляющим отделением.

Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей структурных подразделений.

Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.

Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).

В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.

В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.

Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.

Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.

Подразделением по защите информации для отделения ПФР и каждого подведомственного ему территориального органа ПФР на основании утвержденной «Таблицы допуска пользователей к защищаемым ресурсам» (приложение 3) формируется пакет парольной документации с пометкой «для служебного пользования» (ДСП), в который входят следующие документы:

комплект «Таблиц доступа пользователей к информационному ресурсу» (приложение 4) с указанием срока их действия;

соответствующий комплекту «Таблиц …» комплект карточек паролей (приложение 5);

«Таблица доступа пользователей к информационному ресурсу» (приложение 4) формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним лицом (администратором защиты информации).

Таблицы доступа нумеруются с использованием кода отделения ПФР, кода подведомственного органа ПФР (через косую черту), для которого она предназначены и порядкового номера таблицы в комплекте (через дефис). Например, «Таблица доступа пользователей к информационному ресурсу № 070/012 01».

В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.

На основании «Таблицы доступа к информационному ресурсу» (приложение 4) в соответствии с предоставленными полномочиями администратор защиты информации – с использованием специализированных или встроенных средств защиты, системный администратор или администратор приложения – с использованием встроенных средств защиты – осуществляет настройку соответствующей системы разграничения доступа (аутентификации пользователей) путем установки паролей или выработки (при необходимости) сертификатов.

Для обеспечения возможности оперативной смены пароля при его компрометации, а также в случае кадровых перестановок пользователей, в таблице паролей для каждого из защищаемых ресурсов указывается несколько резервных паролей без привязки их к конкретному пользователю. Количество резервных паролей определяется, исходя из реальных потребностей.

На случай компрометации всей парольной документации или части ее,

сообщить о факте компрометации в подразделение по защите информации и руководителю структурного подразделения;
распределение ответственности за выполнение мероприятий по защите информации между должностными лицами, организующими и реализующими технические мероприятия;

назначение администраторов защиты (безопасности) информации.

Указанные мероприятия должны проводиться по мере необходимости, но не реже одного раза в год. Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …», разрабатываемого в каждом отделении ПФР. Инструкция подписывается руководителями подразделений информационных технологий и по защите информации, утверждается управляющим отделением.

Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей структурных подразделений.

Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.

Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).

В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.

В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.

Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.

Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.

Подразделением по защите информации для отделения ПФР и каждого подведомственного ему территориального органа ПФР на основании утвержденной «Таблицы допуска пользователей к защищаемым ресурсам» (приложение 3) формируется пакет парольной документации с пометкой «для служебного пользования» (ДСП), в который входят следующие документы:

комплект «Таблиц доступа пользователей к информационному ресурсу» (приложение 4) с указанием срока их действия;

соответствующий комплекту «Таблиц …» комплект карточек паролей (приложение 5);

«Таблица доступа пользователей к информационному ресурсу» (приложение 4) формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним лицом (администратором защиты информации).

Таблицы доступа нумеруются с использованием кода отделения ПФР, кода подведомственного органа ПФР (через косую черту), для которого она предназначены и порядкового номера таблицы в комплекте (через дефис). Например, «Таблица доступа пользователей к информационному ресурсу № 070/012 01».

В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.
распределение ответственности за выполнение мероприятий по защите информации между должностными лицами, организующими и реализующими технические мероприятия;

назначение администраторов защиты (безопасности) информации.

Указанные мероприятия должны проводиться по мере необходимости, но не реже одного раза в год. Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …», разрабатываемого в каждом отделении ПФР. Инструкция подписывается руководителями подразделений информационных технологий и по защите информации, утверждается управляющим отделением.

Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей структурных подразделений.

Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.

Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).

В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.

В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.

Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.

Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.

Подразделением по защите информации для отделения ПФР и каждого подведомственного ему территориального органа ПФР на основании утвержденной «Таблицы допуска пользователей к защищаемым ресурсам» (приложение 3) формируется пакет парольной документации с пометкой «для служебного пользования» (ДСП), в который входят следующие документы:

комплект «Таблиц доступа пользователей к информационному ресурсу» (приложение 4) с указанием срока их действия;

соответствующий комплекту «Таблиц …» комплект карточек паролей (приложение 5);

«Таблица доступа пользователей к информационному ресурсу» (приложение 4) формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним лицом (администратором защиты информации).

Таблицы доступа нумеруются с использованием кода отделения ПФР, кода подведомственного органа ПФР (через косую черту), для которого она предназначены и порядкового номера таблицы в комплекте (через дефис). Например, «Таблица доступа пользователей к информационному ресурсу № 070/012 01».

В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.
1   2   3   4   5   6   7   8   9   ...   21

Похожие:

Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Разработка распределенной системы автоматизированного обнаружения уязвимостей в программном обеспечении
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Разработка защищенного корпоративного портала для Филиала ООО «лукойл-инжиниринг» «Когалымнипинефть» в г. Тюмени
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
В данной работе описан процесс разработки и реализации проекта аттестации автоматизированной системы
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Все больше информации различного рода становится общедоступной, но информация – это не всегда благо и некоторые данные могут также...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Дисциплина «Сети и Интернет-технологии» относится к вариативной части Профессионального цикла ( В. 17)
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon «Тюменский государственный университет» Список профессорско-преподавательского...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon «донской государственный технический университет» (дгту) Кафедра «Иностранные языки»
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Министерство образования и науки российской федерации федеральное государственное бюджетное образовательное учреждение высшего профессионального...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
«Совершенствование операционных систем организации на основе методологии бережливого производства»
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск