Информационная система персональных данных определение

Самое главное по теме: "Информационная система персональных данных определение" с профессиональной точки зрения. Мы собрали и подготовили ответы на многие сопутствующие вопросы. Если вы не нашли на них ответ, то можете обратиться к дежурному консультанту.

Информационная система персональных данных определение

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Для соотнесения типа информационной системы персональных данных (ИСПДн) к тому или иному уровню защищенности необходимо:

Объем / Категория

Объем 3
( 100 000,
субъект Федерации)

Источник: http://help.dnevnik.ru/hc/ru/articles/203475238-%D0%A7%D1%82%D0%BE-%D1%82%D0%B0%D0%BA%D0%BE%D0%B5-%D0%98%D0%A1%D0%9F%D0%94%D0%BD-%D0%9A%D0%B0%D0%BA%D0%B8%D0%B5-%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D1%8B-%D0%B7%D0%B0%D1%89%D0%B8%D1%89%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%98%D0%A1%D0%9F%D0%94%D0%BD-%D1%81%D1%83%D1%89%D0%B5%D1%81%D1%82%D0%B2%D1%83%D1%8E%D1%82-

информационная система персональных данных

информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

[Федеральный Закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ, статья 3, пункт 9)]

Информационная система персональных данных — это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Словарь-справочник терминов нормативно-технической документации . academic.ru . 2015 .

Смотреть что такое «информационная система персональных данных» в других словарях:

Информационная система персональных данных — (Personal data information system) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку… … Экономико-математический словарь

информационная система персональных данных — Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием… … Справочник технического переводчика

Информационная система персональных данных — 10) информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;. Источник: Федеральный закон от 27.07.2006 N 152 ФЗ (ред … Официальная терминология

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ — согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств,… … Делопроизводство и архивное дело в терминах и определениях

информационная система — 2.49 информационная система (information system): Система, организующая обработку информации о предметной области и ее хранение. Источник: ГОСТ Р ИСО/МЭК ТО 10032 2007: Эталонная модель управления данными информационная система: Система,… … Словарь-справочник терминов нормативно-технической документации

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… … Словарь-справочник терминов нормативно-технической документации

Оператор персональных данных — (согласно закону РФ «О персональных данных») государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… … Википедия

Шенгенская информационная система — Иное название этого понятия «SIS»; см. также другие значения. Шенгенская информационная система (сокр. ШИС, англ. Schengen Information System, сокр. SIS) закрытая база данных в рамках Шенгенского соглашения, в которую внесены… … Википедия

Экономическая информационная система — (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединённых в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций… … Википедия

Информационная — функция автоматизированной системы управления Функция АСУ, включающая получение информации, обработку и передачу информации персоналу АСУ или за пределы системы о состоянии ТОУ или внешней среды Источник … Словарь-справочник терминов нормативно-технической документации

Источник: http://normative_reference_dictionary.academic.ru/23263/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

информационная система персональных данных

информационная система персональных данных
Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
[http://slovar-lopatnikov.ru/]

Тематики

  • personal data information system

Справочник технического переводчика. – Интент . 2009-2013 .

Смотреть что такое «информационная система персональных данных» в других словарях:

информационная система персональных данных — информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку… … Словарь-справочник терминов нормативно-технической документации

Информационная система персональных данных — (Personal data information system) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку… … Экономико-математический словарь

Информационная система персональных данных — 10) информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;. Источник: Федеральный закон от 27.07.2006 N 152 ФЗ (ред … Официальная терминология

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ — согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств,… … Делопроизводство и архивное дело в терминах и определениях

информационная система — 2.49 информационная система (information system): Система, организующая обработку информации о предметной области и ее хранение. Источник: ГОСТ Р ИСО/МЭК ТО 10032 2007: Эталонная модель управления данными информационная система: Система,… … Словарь-справочник терминов нормативно-технической документации

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… … Словарь-справочник терминов нормативно-технической документации

Читайте так же:  Почта россии образец доверенности на получение корреспонденции

Оператор персональных данных — (согласно закону РФ «О персональных данных») государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… … Википедия

Шенгенская информационная система — Иное название этого понятия «SIS»; см. также другие значения. Шенгенская информационная система (сокр. ШИС, англ. Schengen Information System, сокр. SIS) закрытая база данных в рамках Шенгенского соглашения, в которую внесены… … Википедия

Экономическая информационная система — (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединённых в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций… … Википедия

Информационная — функция автоматизированной системы управления Функция АСУ, включающая получение информации, обработку и передачу информации персоналу АСУ или за пределы системы о состоянии ТОУ или внешней среды Источник … Словарь-справочник терминов нормативно-технической документации

Источник: http://technical_translator_dictionary.academic.ru/78638/%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

Информационная система персональных данных

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. [1]

Содержание

[править] Классификация ИСПДн

В зависимости от содержания и объёма ИСПДн, её можно отнести к одному из четырёх классов, которые определены приказом от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Класс информационной системы можно определить по двум параметрам: [2]

1) Хпд — категория персональных данных, зависит от типа обрабатываемых данных, может принимать значения

  • 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • 4 — обезличенные и (или) общедоступные персональные данные.

2) Xнпд — этот параметр определяется объёмом ИСПДн:

  • 1 — в ИСПДн одновременно обрабатываются персональные данные более чем 100000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • 2 — в ИСПДн одновременно обрабатываются персональные данные от 1000 до 100000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  • 3 — в ИСПДн одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

После того, как будут определены показатели Хпд и Хнпд для своей ИСПДн, класс можно узнать из таблицы:

Хпднпд 1 2 3
4 К4 К4 К4
3 К3 К3 К2
2 К3 К2 К1
1 К1 К1 К1

[править] Защита информационных систем персональных данных

Закон обязывает оператора персональных данных проводить мероприятия по их защите. Безопасность данных обеспечивается применением сертифицированных средств защиты информации, определением угроз для данных, установлением правила доступа к персональным данным и др. [3]

Выбор средств и мер защиты ИСПДн производится с учётом класса ИСПДн. [4]

Источник: http://cyclowiki.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

Информационная система персональных данных

Информационная система персональных данных (Personal data information system) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Экономико-математический словарь: Словарь современной экономической науки. — М.: Дело . Л. И. Лопатников . 2003 .

Смотреть что такое «Информационная система персональных данных» в других словарях:

информационная система персональных данных — информационная система персональных данных: Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку… … Словарь-справочник терминов нормативно-технической документации

информационная система персональных данных — Информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием… … Справочник технического переводчика

Информационная система персональных данных — 10) информационная система персональных данных совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;. Источник: Федеральный закон от 27.07.2006 N 152 ФЗ (ред … Официальная терминология

ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ — согласно Федеральному закону «О персональных данных» от 27.07.2006 № 152 ФЗ, – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств,… … Делопроизводство и архивное дело в терминах и определениях

информационная система — 2.49 информационная система (information system): Система, организующая обработку информации о предметной области и ее хранение. Источник: ГОСТ Р ИСО/МЭК ТО 10032 2007: Эталонная модель управления данными информационная система: Система,… … Словарь-справочник терминов нормативно-технической документации

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… … Словарь-справочник терминов нормативно-технической документации

Оператор персональных данных — (согласно закону РФ «О персональных данных») государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… … Википедия

Шенгенская информационная система — Иное название этого понятия «SIS»; см. также другие значения. Шенгенская информационная система (сокр. ШИС, англ. Schengen Information System, сокр. SIS) закрытая база данных в рамках Шенгенского соглашения, в которую внесены… … Википедия

Читайте так же:  Мнимая сделка срок исковой давности на оспаривание

Экономическая информационная система — (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединённых в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций… … Википедия

Информационная — функция автоматизированной системы управления Функция АСУ, включающая получение информации, обработку и передачу информации персоналу АСУ или за пределы системы о состоянии ТОУ или внешней среды Источник … Словарь-справочник терминов нормативно-технической документации

Источник: http://economic_mathematics.academic.ru/1882/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

Аттестация информационных систем персональных данных

Заключающим шагом организационно-технических мероприятий в учреждении ГКУЗ «ЯНОСДР» будет проведение аттестации ИСПДн, которая должна соответствовать требованиям стандартов или иной нормативно-технической документации по защите информации, утвержденных ФСБ и ФСТЭК России.

На шаге аттестации происходит разработка и согласование методики и программы аттестационных испытаний на соответствие требованиям безопасности информации, которые должны быть зафиксированы в специальном документе — «Аттестате соответствия».

Аттестация в техническом смысле включает в себя проведение аттестационных испытаний внедренной СЗПДн, по итогам которой будет вынесено заключение о получении аттестата соответствия на ИСПДн.

В ходе осуществления аттестационных испытаний используются такие методы проверок как:

· проверка соответствия ИСПДн стандартам по защите информации на базе экспертного решения о полноте и достаточности предложенной документации, по созданию необходимых мер защиты информации в ИСПДн, а также проверка на соответствие реальным условиям эксплуатации требованиям по расположению, монтированию и использованию технических средств ИСПДн.

· проверка всех функций или совокупности функций защиты информации от НСД при помощи тестирующих средств, а также посредством проверочного запуска средств защиты информации от НСД и мониторинг за их осуществлением.

На базе первичных данных по технологии обработки и трансляции информации, системы предоставления доступа персонала к защищенным ресурсам ИСПДн, производится анализ обобщенной технологической схемы ИСПДн с имеющимися и предполагаемыми информационными потоками, возможностями доступа к передаваемым и обрабатываемым данным, определяются представляющие опасность факторы и угрозы, уязвимые участки ИСПДн, понижающие степень защиты, полноту и характеристики средств защиты.

В процессе аттестации объекта ИСПДн была проведена:

1. Проверка соответствия представленной первичной информации, документов и положение технологического процесса в момент автоматизированной обработки информации конкретным требованиям размещения, монтирования и эксплуатации ИСПДн, включая в том числе:

· анализ обобщенной технологической схемы ИСПДн с имеющимися и предполагаемыми информационными потоками и возможностями доступа к передаваемым и обрабатываемым данным;

· контроль соответствия описания технологического процесса хранения, обработки и передачи защищаемых данных в ИСПДн существующей практике;

· контроль паспортных (исходных) данных на ИСПДн и ее компонентов, обнаружение факторов представляющих опасность, угрозу и уязвимых мест ИСПДн, понижающих степень ее защищенности;

· проверку соответствия заданным требованиям технологических инструкций администраторам безопасности информации, операторам, администраторам, пользователям обособленных подсистем ИСПДн и обслуживающему персоналу;

· конкретизация схемы технологического процесса автоматизированной обработки информации с привязкой к определенным средствам передачи и обработки данных и основному составу персонала.

2. Контроль ИСПДн и ее компонентов на соответствие организационным и техническим стандартам по защите информации, включая:

· контроль полноты представленной документации и соответствия ее требованиям по защите информации;

· контроль соответствия конфигурации программно-технических средств представленных документов;

· контроль верности классификации ОИ;

· контроль степени подготовки персонала и определение и установление степени ответственности между персоналом.

3. При осуществлении аттестационных испытательных работ было сосредоточенно внимание на проверке соответствия ИСПДн требованиям по обеспечению защиты данных от несанкционированного доступа при подготовке согласованного действия ИСПДн с другими сетями.

По завершению всех аттестационных испытаний и контролю на соответствие требованиям по защите информации, можно убедиться, что внедренные средства защиты информации в полной мере соответствуют необходимым требованиям по безопасности персональных данных, регламентируемыми регуляторами, и на основании чего может быть предоставлен аттестат соответствия требованиям безопасности информации на ИСПДн ГКУЗ «ЯНОСДР». С помощью аттестата соответствия подтверждается соответствие стандартам и требованиям регулирующих и надзорных органов, всех принятых мер по обеспечению защиты информации, также «аттестат соответствия» гарантирует, что при обнаружении регуляторами каких угодно нарушений актуальных регламентов, организация-исполнитель работ по аттестации разделит возможные риски вместе с аттестованным учреждением.

Заключение

В ходе написания дипломной работы была создана система защиты персональных данных ГКУЗ «ЯНОСДР», а также непосредственно:

1. был проведен осмотр и комплексное исследование автоматизированных рабочих мест и общего состояния организации защиты информации в государственном казенном учреждении здравоохранения «ЯНОСДР».

2. разработан комплект организационно-распорядительной документации, регулирующий весь жизненный цикл процесса обработки персональных данных.

3. разработана проектная документация с описанием структуры защищенной сети.

4. введены в действие сертифицированные и прошедшие порядок оценки соответствия требованиям безопасности средства защиты информации.

5. произведены аттестационные испытания ИСПДн на предмет соответствия требованиям безопасности информации по результатам которого был выдан аттестат соответствия.

Полное осуществление работ по каждому этапу деятельности помогло достичь основной цели выпускной квалификационной работы – привести информационные системы персональных данных автономного учреждения ГКУЗ «ЯНОСДР» в соответствии со всеми современным требованиям законодательной базы Российской Федерации в области обеспечения безопасности ПДн.

СПИСОК ЛИТЕРАТУРЫ

1. ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

2. ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированной системы».

3. ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении».

4. ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

5. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа».

6. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»

7. ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».

8. ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении».

Видео (кликните для воспроизведения).
Читайте так же:  Образец апелляционной жалобы на приговор суда

9. ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».

10. ГОСТ Р ИСО/МЭК 15408-1(2,3)-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

11. ГОСТ Р ИСО/МЭК 15408-2005 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий».

12. ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».

13. ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».

14. ГОСТ Р ИСО/МЭК 27001-2005 «Информационные технологии. Технологии безопасности. Система управления информационной безопасностью».

15. Нормативно-методический документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 15 февраля 2008 года.

16. Нормативно-методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 14 февраля 2008 года.

17. Нормативно-методический документ «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный приказом директора ФСТЭК России от 18 февраля 2013 года №21.

18. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Гостехкомиссия России. 2002 год.

19. Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20.

20. Постановление Правительства РФ от 01 ноября 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

21. Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года №687.

22. Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30 ноября 1995 года №1203 (с изменениями и дополнениями от 24 января 1998 года №61; от 6 июня 2001 года №659; от 10 сентября 2001 года №1114; от 29 мая 2002 года №518; от 3 марта 2005 года №243; от 11 февраля 2006 года №90).

23. Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года №188 (с изменениями и дополнениями от 23 сентября 2005 года).

24. Федеральный закон «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» от 19 декабря 2005 г. №160-ФЗ.

25. Федеральный закон «О коммерческой тайне» от 29 июля 2004 года №98-ФЗ.

26. Федеральный Закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.

27. Федеральный закон «О техническом регулировании» от 27 декабря 2002 года №184-ФЗ (с изменениями от 9 мая 2005 года).

28. Федеральный Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. №149-ФЗ.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Как то на паре, один преподаватель сказал, когда лекция заканчивалась — это был конец пары: «Что-то тут концом пахнет». 8603 — | 8172 — или читать все.

185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Источник: http://studopedia.ru/19_397950_attestatsiya-informatsionnih-sistem-personalnih-dannih.html

Насколько безопасно хранятся личные сведения и как определить уровень защищенности персональных данных?

Опорный законодательный акт в сфере защиты персональных данных в Российской Федерации – закон №152 от 27 июля 2006 «О персональных данных». Согласно ст.19 документа, уровни защищенности, требования к защите информации и ее материальных носителей, устанавливает Правительство РФ. Правительственные акты с момента выхода закона несколько раз обновлялись и актуализировались. По состоянию на апрель 2018 года операторы руководствуются постановлением №1119, которое было опубликовано 1 ноября 2012 года.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Основные понятия

Уровень защищенности – это совокупность анализа потенциальных угроз для информационных систем, обрабатывающих личные сведения работников, контрагентов, клиентов или партнеров компании-оператора, рисков для самих субъектов данных в случае несанкционированного доступа, и технических и организационных мер, предпринимаемых оператором для защиты.

Другими словами, уровень защищенности — это соотношение рисков и адекватных им мер реагирования. Градация уровней зависит от количества и категорий лиц, чьи данные обрабатываются, вида отношений между субъектами и операторами (трудовые, договорные), и актуальных угроз для конкретной информационной системы. Угрозы, в свою очередь, разделены на три типа:

  1. Включает в себя риски, в том числе недокументированные, которые могут возникнуть в системном программном обеспечении.
  2. Относится к опасностям (декларированным и нет), которые могут быть вызваны прикладным ПО, использующимся информационной системой.
  3. Обобщает риски, не связанные с недокументированными возможностями системного или прикладного ПО.

Акт определения мер электронной безопасности и классификации информационных систем

Локальный документ предприятия, который обобщает результаты анализа материально-технической, организационной и правовой готовности к обработке персональных данных, предотвращению угроз и реагированию на потенциальные риски, называется Акт определения уровня защищенности персональных данных и классификации.

Документ составляется комиссией должностных лиц, чья служебная деятельность связана с обработкой и защитой персональных данных. Состав комиссии утверждается приказом по предприятию и зачастую включает руководителей и специалистов кадрового отдела, бухгалтерии, службы делопроизводства и IT-обеспечения. В самой комиссии должны быть назначены председатель, заместитель, и секретарь. Эти сотрудники осуществляют проведение классификации информационных систем согласно определенному порядку.

Документ строится в следующей последовательности:

  1. Название акта. Наименование документа пишется по центру, можно в верхнем регистре, более крупным или жирным шрифтом.
  2. Вводная информация. В первом абзаце содержатся сведения о составе комиссии, целях и основаниях ее деятельности. Используется шаблонная формулировка, например: «Комиссия в составе председателя Иванова, заместителя Петрова, секретаря Сидорова и членов комиссии Сергеева и Федорова, согласно приказу генерального директора ООО «АБВ», во исполнение постановления Правительства РФ №1119 от 01.11.2012 г., определила …».
  3. Категории данных. Постановление классифицирует четыре типа личных сведений: общедоступные, биометрические, специальные и иные. К общедоступным относятся данные, взятые для обработки из открытых источников. Биометрические содержат информацию о физиологических особенностях субъекта, по которым его можно идентифицировать.
Читайте так же:  Жалоба на бездействие органов прокуратуры

Специальные категории – сведения о расе, национальной принадлежности, политических и религиозных взглядах, личной жизни. В категорию иные отнесены сведения, не подпадающие под остальные типы. Выбирая категории, обратите внимание, что потребность во всего одном виде, допустим, специальных данных, относит вашу информационную систему к этой категории.

  • Объем данных. Менее 100 тысяч субъектов, или более 100 тысяч.
  • Угрозы. Выберите свой тип угроз, согласно приведенной выше правительственной классификации.
  • Количество степеней доступа

    Постановление правительства выделяет всего четыре уровня защищенности. Каждый соответствует набору технических и организационных мер, которые обязательно должны быть внедрены для обеспечения порядка и безопасности информационной базы. Приказ ФСТЭК также регламентирует требования к классу оборудования, используемого для предупреждения угроз на каждой ступени.

    Деление мер электронной безопасности в зависимости от угроз

    1. Первый уровень необходим для систем, которые подвержены 1-му типу угроз, обрабатывающих специальные, биометрические или иные данные, или для систем с рисками 2-го типа, в которых обрабатываются специальные данные более 100 тысяч субъектов – не сотрудников компании-оператора.
    2. Второй установлен для систем, работающих с любым количеством общедоступных данных при 1 типе опасностей. Для систем, подверженных угрозам 2 типа, в которых обрабатываются специальные данные сотрудников компании и информация третьих лиц в объеме менее 100 тысяч субъектов, биометрические данные, общедоступная информация или иные сведения о более чем 100 тысячах субъектов, не являющихся сотрудниками предприятия.

    Для систем, подверженных угрозам 3 типа, работающих со специальными категориями информации более чем 100 тысяч субъектов – не сотрудников.
    Третий устанавливается для систем с угрозами 2 типа, в которых обрабатываются общедоступные или иные сведения о менее чем 100 тысячах субъектов, работающих в компании или нет.

    Систем, подверженных угрозам 3 типа, работающих со специальной или иной информацией менее чем 100 тысяч субъектов, не работающих в компании, с биометрическими данными любого количества субъектов, иными сведениями о более чем 100 тысячах субъектов – не сотрудников.

  • Четвертый уровень распространяется на информационные базы с 3 типом угроз, в которых обрабатываются общедоступные сведения любого количества субъектов, или иные категории информации о сотрудниках и третьих лицах, в объеме меньше 100 тысяч субъектов.
  • Для удобства определения нужного уровня, представим данные в таблице.

    Типы угроз/ уровень защищенности Категории данных Категории субъектов Объем
    1 2 3
    1УЗ 1УЗ 2УЗ Специальные Третьи лица от 100 тыс.
    1УЗ 2УЗ 3УЗ до 100 тыс.
    1УЗ 2УЗ 3УЗ Персонал любой
    1УЗ 2УЗ 3УЗ Биометрические Третьи лица от 100 тыс.
    1УЗ 2УЗ 3УЗ до 100 тыс.
    1УЗ 2УЗ 3УЗ Персонал любой
    1УЗ 2УЗ 3УЗ Иные Третьи лица от 100 тыс.
    1УЗ 3УЗ 4УЗ до 100 тыс.
    1УЗ 3УЗ 4УЗ Персонал любой
    2УЗ 2УЗ 4УЗ Общедоступные Третьи лица от 100 тыс.
    2УЗ 3УЗ 4УЗ до 100 тыс.
    2УЗ 3УЗ 4УЗ Персонал любой

    Как определить степень доступа с помощью таблицы?

    Для определения нужной степени защищенности обобщите перечисленные в акте сведения и составьте свой аналог таблицы уровней.

    Предположим, что оператор обрабатывает биометрическую и общедоступную информацию о собственных сотрудниках в количестве менее 100 тысяч человек и общедоступные и иные категории данных третьих лиц, в объеме свыше 100 тысяч человек, при 2 типе угроз. Тогда определение уровня защищенности будет выглядеть следующим образом:

    Уровень защищенности Тип угроз Категории данных Категории субъектов Объем
    2 УЗ 2 Биометрические Персонал до 100 тыс.
    2 УЗ 2 Иные Третьи лица от 100 тыс.
    2 УЗ 2 Общедоступные Третьи лица от 100 тыс.
    3 УЗ Персонал до 100 тыс.

    Так как предполагаемая система одна, выбираем более высокий уровень защиты – второй. Требования к мерам безопасности уровней идут по нарастающей, от четвертого к первому. Для второго обязательно:

    • обеспечение охраны носителей и помещения, где расположено оборудование с базами данных;
    • использование средств защиты, прошедших процедуру оценки соответствия требованиям законодательства;
    • назначение ответственного за безопасность персональных данных должностного лица;
    • определение перечня лиц, имеющих доступ к системе и данным;
    • доступ к информации электронного журнала сообщений открыт только должностным лицам.

    Процедура определения уровня защищенности систем персональных данных – основополагающий элемент в работе компании с персональными данными. Она охватывает правовую, организационную и техническую сторону защиты информации, и прямо предопределяет успех прохождения последующих проверок.

    Отнестись к определению уровня и внедрению соответствующих требований следует со всей серьезностью. Если компания-оператор не имеет собственных специалистов достаточной квалификации, разумно будет прибегнуть к субподряду.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/uroven-zashhishhennosti.html

    Термины и определения

    РЕКОМЕНДАЦИИ

    ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

    ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
    В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Содержание

    Обозначения и сокращения .………………………………………….
    1. Термины и определения …………………………………………….
    2. Общие положения ..………………………………….
    3. Понятие информационной системы персональных данных. Классификация информационных систем персональных данных .
    4. Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных …………..
    5. Обеспечение безопасности персональных данных в информационных системах персональных данных ……………. ….

    Обозначения и сокращения

    АТС – автоматическая телефонная станция

    ИСПДн – информационная система персональных данных

    МЭ – межсетевой экран

    НСД – несанкционированный доступ

    ОС – операционная система

    Читайте так же:  Состав комиссии по делам несовершеннолетних

    ОТСС – основные технические средства связи

    ПДн – персональные данные

    ПЭМИН – побочные электромагнитные излучения и наводки

    СЗПДн – система защиты персональных данных

    Термины и определения

    В настоящем документе используются следующие термины и их определения:

    Блокирование персональных данных– временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

    Вирус (компьютерный, программный) –исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

    Вредоносная программа–программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

    Вспомогательные технические средства и системы–технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.

    Доступ к информации– возможность получения информации и ее использования.

    Защищаемая информация–информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

    Идентификация– присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

    Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

    Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов.

    Конфиденциальность персональных данных– обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

    Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

    Недекларированные возможности – функциональные возможности средств вычислительной техники и (или) программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

    Несанкционированный доступ (несанкционированные действия)–доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

    Обработка персональных данных– действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

    Оператор– государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

    Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

    Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

    Правила разграничения доступа–совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

    Программная закладка– скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода.

    Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

    Средства вычислительной техники–совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

    Субъект доступа (субъект)– лицо или процесс, действия которого регламентируются правилами разграничения доступа.

    Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

    Технический канал утечки информации–совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

    Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

    Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

    Утечка (защищаемой) информации по техническим каналам– неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

    Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

    Целостность информации– состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

    Не нашли то, что искали? Воспользуйтесь поиском:

    Видео (кликните для воспроизведения).

    Источник: http://studopedia.ru/17_59486_termini-i-opredeleniya.html

    Информационная система персональных данных определение
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here