2. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации



Скачать 115.09 Kb.
Дата11.11.2016
Размер115.09 Kb.
Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, от 21.02.2008 г. N 149/54-144)
http://www.fsb.ru/fsb/science/single.htm!id%3D10434826%40fsbResearch art.html

http://www.mediann.ru/article_6_1_1.html


Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, от 21.02.2008 г. N 149/6/6-622)
http://www.fsb.ru/fsb/science/single.htm!id%3D10434826%40fsbResearch art.html

http://www.mediann.ru/article_6_1_1.html


На основании указанных выше документов всеми организациями и физическими лицами на территории Российской Федерации должен обеспечиваться требуемый уровень безопасности персональных данных (в действующих информационных системах - не позднее 01.01.2010 г.). Лица, виновные в нарушении требований несут предусмотренную законодательством Российской Федерации ответственность.
2. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации
Обработка персональных данных без использования средств автоматизации осуществляется в соответствии с законодательством Российской Федерации и "Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", утвержденным постановлением Правительства Российской Федерации от 15.09.2008 г. N 687.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:

- определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливается оператором в соответствии с требованиями, предъявляемыми указанными правовыми актами.
3. Основные обязанности операторов информационных систем, обрабатывающих персональные данные
Операторы обязаны обеспечивать защиту персональных данных во внедряемых информационных системах с момента их ввода в эксплуатацию.

В отношении действующих информационных систем, обрабатывающих персональные данные, операторы обязаны провести их классификацию с оформлением соответствующего акта, реализовать до 01.01.2010 г. комплекс мер по защите персональных данных в соответствии с перечисленными правовыми актами и методическими документами в виде системы защиты персональных данных, провести оценку соответствия информационной системы персональных данных требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия.


4. Порядок проведения (или уточнения) классификации информационных систем персональных данных
Постановление Правительства Российской Федерации от 17.11.2007 г. N 781 возлагает обязанность классификации информационных систем персональных данных и задачу обеспечения их безопасности - на оператора персональных данных, а разработку методов и способов защиты персональных данных в информационных системах - на ФСТЭК России и ФСБ России.

Классификация информационных систем персональных данных осуществляется оператором в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" в зависимости от категории обрабатываемых данных и их количества.

Установлены следующие категории персональных данных (ПД):

Категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

Категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;

Категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД;

Категория 4 - обезличенные и (или) общедоступные персональные данные.

Информационные системы персональных данных подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных. Все остальные системы относятся к специальным.

В зависимости от последствий нарушений заданной характеристики безопасности персональных данных, типовой информационной системе присваивается один из классов:

класс 1 (К1) - информационные системы, для которых нарушения могут привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.

Класс типовой информационной системы определяется оператором в соответствии с таблицей, приведенной в приказе ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 года N 55/86/20.

Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных в соответствии с приведенными выше методическими документами ФСТЭК России.

В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. Вследствие этого интегрированные информационные системы, как правило, подпадают под классы К1 и К2 и требуют больших затрат на защиту персональных данных. Защита систем упрощается, если сложная система сегментирована на несколько отдельных, не связанных друг с другом систем, различных по целям и регламентам обработки персональных данных.

Результаты классификации информационных систем оформляются соответствующим актом оператора. Класс информационной системы может быть пересмотрен:

- по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

Устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:

- для информационных систем 1 и 2 класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации);

- для информационных систем 3 класса соответствие требованиям безопасности подтверждается путем сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;

- для информационных системы# 4 класса оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных.

Операторы обязаны при обработке персональных данных принимать требуемые организационные и технические меры, в том числе при необходимости использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Система защиты персональных данных должна строиться только на основе сертифицированных ФСТЭК России и ФСБ России средствах защиты (технических, программных, программно-аппаратных и криптографических).

Без наличия соответствующих лицензий проведение мероприятий по защите персональных данных возможно только для информационных систем класса К3, а также для информационных систем класса К4.

Для проведения собственными силами мероприятий по обеспечению безопасности персональных данных для специальных информационных систем, систем 1 и 2 класса и распределенных (например, подключенных к Интернет) систем 3 класса операторы обязаны в установленном порядке получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Для применения криптографических средств защиты персональных данных (в том числе, для изготовления ключей или сертификатов), в зависимости от планируемых действий, потребуются различные лицензии ФСБ России, регламентирующие работы в области криптографической защиты информации.


5. Основные мероприятия по обеспечению безопасности персональных данных в учреждениях образования
Исходя из требований законодательства образовательным учреждениям в течение 2009 года необходимо.

1. Определить (или уточнить) состав и категории обрабатываемых персональных данных.

2. Осуществить (или уточнить) классификацию действующих информационных систем, обрабатывающих персональные данные.

3. Провести необходимые организационные и технические мероприятия для обеспечения защиты:

- персональных данных, обрабатываемых без использования средств автоматизации;

- информационных систем, обрабатывающих персональные данные.

4. Декларировать соответствие или провести аттестационные (сертификационные) испытания информационных систем, обрабатывающих персональные данные.

Мероприятия по обеспечению безопасности персональных данных осуществляются на основе законодательства Российской Федерации, нормативных и методических документов.

В части предварительных организационных мероприятий по защите персональных данных всем подведомственным Рособразованию учреждениям и организациям следует:

- определить перечень, цели и порядок обработки персональных данных,

- назначить ответственных за работу с персональными данными,

- подготовить должностные инструкции сотрудников, обрабатывающих персональные данные,

- обеспечить размещение и охрану средств хранения и обработки персональных данных.

Для информационных систем классов К1 и К2 дополнительно потребуется принять предусмотренные методическими документами ФСТЭК России и ФСБ России меры по защите информации от утечки по техническим каналам.


6. Порядок проведения аттестационных (сертификационных) испытаний
Аттестационные (сертификационные) испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК России. При этом под аттестацией понимают комплекс мер, позволяющих привести информационную систему в соответствие с требованиями по безопасности информации к заявленному классу, изложенными в нормативно-методических документах ФСТЭК России.

Аттестационные (сертификационные) испытания содержат в себе анализ уже имеющихся на объекте информационных систем персональных данных, а так же# вновь принятых решений по обеспечению безопасности информации и включают проверку:

- организационно-режимных мероприятий по обеспечению защиты информации;

- защищенности информации от утечек по техническим каналам (ПЭМИН);

- защищенности информации от несанкционированного доступа.

По результатам аттестационных испытаний принимается решение о выдаче "Аттестата соответствия" информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на 3 года.


7. Декларирование соответствия
Декларирование соответствия - это подтверждение соответствия характеристик информационной системы персональных данных предъявляемым к ней требованиям, установленным законодательством Российской Федерации, руководящими и нормативно-методическими документами ФСТЭК России и ФСБ России.

Декларирование соответствия может осуществляться на основе собственных доказательств или на основании доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии.

В случае проведения декларирования на основе собственных доказательств оператор самостоятельно формирует комплект документов, таких как техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к классу К3.

Независимо от используемой формы подтверждения соответствия оператор может также предоставить протоколы испытаний, проведенных в исследовательской лаборатории.

Декларации о соответствии, полученные на основе собственных доказательств и с участием третьей стороны имеют одинаковую юридическую силу. Также они имеют действие аналогичное действию сертификата (аттестата) соответствия и также действительны на территории всей страны и стран, признающих разрешительные документы системы ГОСТ Р в течение всего срока действия.

Декларация о соответствии оформляется на русском языке и должна содержать:

- наименование и местонахождение заказчика;

- информацию об объекте подтверждения соответствия, позволяющую идентифицировать этот объект, класс ИС ПД;

- наименование документов, на соответствие требованиям которых подтверждается ИС ПД;

- указание на схему декларирования соответствия;

- заявление заказчика о принятии им мер по обеспечению соответствия продукции необходимым требованиям;

- сведения о документах, послуживших основанием для подтверждения соответствия продукции требованиям;

- срок действия декларации о соответствии.
8. Заключение
Для классификации и защиты информационных систем персональных данных образовательные учреждения, не располагающие необходимыми специалистами и лицензиями, могут обратиться на договорных условиях за методической и консультационной поддержкой в организации, имеющие соответствующие лицензии.

Перечень органов (организаций) по аттестации Системы сертификации средств защиты информации по требованиям безопасности информации, а также Государственный реестр сертифицированных средств защиты информации размещены на сайте ФСТЭК России


http://www.fstec.ru/_razd/_serto.htm
Специализированным организациям могут быть поручены:

1. Методическая поддержка и консультирование при проведении сегментирования интегрированных информационных систем, определении состава и классификации информационных систем, обрабатывающих персональные данные.

2. Консультирование и помощь в формировании перечня организационно-технических мероприятий, необходимых для создания системы защиты информационных систем, обрабатывающих персональные данные.

3. Консультирование при подготовке декларации соответствия для систем класса К3.

4. Аудит информационных систем персональных данных, подбор и установка необходимых технических средств защиты информации для систем классов К2 и К1, а также распределенных информационных систем класса К3.

5. Подготовка, проведение аттестационных испытаний информационных систем классов К2 и К1 с выдачей Аттестата соответствия.



При использовании перечисленных нормативно-методические документов по защите персональных данных необходимо иметь ввиду#, что регулирующими органами могут вноситься уточнения и разъяснения, которые должны приниматься к исполнению всеми операторами информационных систем, обрабатывающих персональные данные.


База данных защищена авторским правом ©bezogr.ru 2016
обратиться к администрации

    Главная страница