Комплекс мер по защите персональных данных. Урок 16-17

1.

Комплекс мер
по
Защите
персональных данных

2.

В наши дни Защита персональных
данных является необходимостью и
уровень этой защиты должен
соответствовать Федеральному Закону.
Защита персональных данных это:
комплекс мероприятий технического
характера;
комплекс мероприятий
организационного характера.

3.

Мероприятия направлены на защиту
сведений личного характера субъекта
персональных данных.
В соответствии с №152-ФЗ «О персональных
данных» любое юридическое или физическое
лицо, которое осуществляет, организовывает
обработку данных, является оператором
данной информации и обязано обеспечить
защиту персональных данных.

4.

В целях выполнения требований нормативных
документов по защите персональных данных
в действующим законодательством:
обследование информационных систем и
оценка текущего состояния обеспечения
безопасности персональных данных;
классификация информационной системы
персональных данных;
разработка организационнораспорядительной и технической
документации по реализации мер защиты
ПД

5.

1. Обследование информационных систем
Любая организация имеет различные ИСПДн, к которым относятся:
система автоматизации бухгалтерского учета («1С Бухгалтерия»);
система автоматизации расчета зарплаты и кадрового учета («1С Зарплата»);
система персонифицированного учета для ПФР;
базы данных клиентов, сотрудников компании;
анкеты в электронном виде и т.п.
Также необходимо иметь в виду, что к к информационным системам персональных
данных относят данные, которые обрабатываются без использования различных
средств автоматизации (личные дела сотрудников организации, договоры с
физическими лицами и т.д.).
Обследование ИСПДн - один из обязательных этапов по работе с защитой
персональных данных, целями которого является описание объектов информатизации и
оценка уровня соответствия требованиям нормативных документов.
Материалы, которые получили в ходе работ по обследованию ИСПДн используются для
дальнейших работ: проектирование системы защиты ПДн, разработки технических
документов, организационно-распорядительных документов.
Результатом работы данного этапа является разработка Акта обследования
информационной системы персональных данных

6.

2. Классификация информационной системы
персональных данных
Для того, чтобы отнести ИСПДн к тому или иному
классу необходимо прежде всего учитывать категорию
обрабатываемых ПДн и количество обрабатываемых
субъектов ПДн, а так же характеристики безопасности
ПДн, структуру ИСПДн, режим обработки ПДн и другие
факторы, которые могут влиять на безопасность ПДн.
Результатом работы данного этапа является разработка
Акта классификации информационной системы
персональных данных.

7.

3. Разработка организационно-распорядительной и технической
документации
На основе собранных раннее данных и документов Акта обследования
ИСПДн и Акта классификации ИСПДн, разрабатывается пакет документов:
Частная модель угроз безопасности;
Частное технические задание;
Описание технологического процесса;
Журналы (учёта машинных носителей информации, учета средств
защиты информации, эксплуатационной и технической документации к
ним, учета мероприятий по защите информации и другие);
Инструкции (администратора безопасности ИСПДн, о порядке работы с
персональными данными, по организации парольной защиты и другие);
Перечень сведений, содержащих персональные данные;
Положения (об обработке персональных данных, об обеспечении
безопасности ПД при их обработке в ИСПДн и другие);
План мероприятий по обеспечению защиты ПДн;
Приказы, регламенты и другие документы.
Детальный состав и структура организационно-распорядительной и
технической документации определяется на основе требований к защите
ПД, исходя из особенностей ИСПДн и реализуемой системы защиты
персональных данных в составе ИСПДн.