Этапы защиты персональных данных

             В соответствии с действующими нормативно-правовыми актами и методическими рекомендациями этапы защиты персональных данных в любой организации можно разделить на пять уровней.

            Правовой – включает в себя обучение сотрудников, непосредственно обрабатывающих персональных данные в организации (бухгалтера, сотрудники отела кадров, секретари, руководители) с основами законодательства мерами ответственности при обработке персональных данных (п.п. 6. П. 1. Ст. 18.1. ФЗ – 152 «О персональных данных» п. 1, п.п. "Е" Постановления правительства № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ № 152"

         В законе нет  четкого указания, какое должно быть обучение и кто его должен проводить. Но как минимум все работники, обрабатывающие персональные данные,  должны быть ознакомлены, под запись, с нормами законодательства регулирующего обработку персональных данных и нормами ответственности за неисполнение требований закона, а также имеет свидетельство либо сертификат о прохождении обучения, повышения квалификации по теме «Обработка конфиденциальной информации (персональных данных) в организации.

           Института системной интеграции и безопасности "Томского государственного университета систем управления и радиоэлектроники" проводит следуюшие виды образовательных программ:

1.  Курсы повышения квалификации "Защита конфиденциальной информации в организации (персональные данные)"

 

  • Заочная форма обучения
    За основу данного курса была взята программа очных курсов аналогичного характера длительностью 72 часа, которые ежемесячно проходят на базе нашего университета. Программа очных курсов утверждена ФСТЭК 24 ноября 2006г.

    Очная форма обучения
    Центр технологий безопасности Томского Государственного Университета Систем Управления и Радиоэлектроники (ЦТБ ТУСУР) проводит курсы повышения квалификации для сотрудников организаций, обеспечивающих обработку, хранение и передачу конфиденциальной информации и персональных данных с последующей аттестацией и выдачей Удостоверения государственного образца о краткосрочном повышении квалификации и Сертификата.

     

 

 

 

2.

Доступные семинары (очная форма)

  • Основные мероприятия по защите персональных данных организации в соответствии с требованиями законодательства РФ

    Платный семинар для сотрудников организаций, осуществляющих обработку персональных данных и другой конфиденциальной информации с последующей выдачей сертификата установленного образца.
    Аудитория: руководители организаций любых форм собственности, специалисты отделов кадров, бухгалтерии, а также все те, кто заинтересован в защите персональных данных на предприятиях (проведение специализированного семинара для IT-специалистов планируется позже).
    Цель семинара: разъяснить требования закона о защите персональных данных (ПДн) №152-ФЗ и познакомить слушателей с процессом организации защиты персональных данных в организации.

     

 

 

 

Более подробную инофрмацию можно получить на сайте  http://edu.keva.tusur.ru/

             Предпроектное обследование информационной системы персональных данных позволяет получить полную информацию о состоянии безопасности персональных данных, обрабатываемых в информационной системе персональных данных.

          Профессионально выполненное предпроектное обследование позволяет оценить реализованные мероприятия по защите персональных данных, выработать рекомендации по выполнению требований законодательства и оценить объем и стоимость работ, связанных с внедрением системы защиты персональных данных. Без проведения предпроектного обследования, уже на стадии внедрения системы защиты персональных данных возникнут неучтенные факторы, подвергающие оператора риску нарушения безопасности персональных данных и санкций со стороны регулирующих органов, что в свою очередь скажется на значительном увеличении итоговой стоимости реализации мер по защите персональных данных и системы защиты персональных данных.

Предпроектное обследование включает в себя:

  • Описание информационной системы
  • Разработка требований обеспечения безопасности конфиденциальной информации для информационной системы
  • Разработка модели нарушителя и модели угроз информационной безопасности для информационной системы
  • Классификация информационных систем персональных данных
  • Оценка параметров угроз информационной безопасности
  • Оценка защищенности информационной системы
  • Инструментальная оценка защищенности информационной системы
  • Формирование рекомендаций по увеличению уровня защищенности информационной системы.

На этапе предпроектного обследования выявляются недостатки и  необходимость проведения организационно распорядительных мероприятий в организации, которые включаю в себя:

  • Необходимость уведомления Роскомнадзора, составление соответствующего уведомления
  • Назначение лица ответственного за обработку персональных данных, издание приказа о назначении ответственного лица, инструкции  ответственного лица, заключение с работниками обрабатывающими персональные данные Соглашение о неразглашении Конфиденциальной информации (персональных данных)
  • Разработка и утверждение положения о защите персональных данных в организации.
  • А также утверждения следующих документов

№ п/п

Наименование документа

1

Проект документа «Список информационных систем персональных данных»

2

Проект документа «Заключение о возможности эксплуатации средств  защиты информации».

3

Проект документа «Приказ о создании комиссии по привидению информационных систем в соответствие с законом»

4

Проект документа «Приказ об утверждении перечня персональных данных».

5

Проект документа «Журнала учета носителей ПДн».

6

Проект документа «Журнал по учету мероприятий по контролю защиты ПДн».

7

Проект документа «План проведения мероприятий по защите ПДн».

8

Проект документа «Согласия на обработку ПДн».

9

Проект документа «Акт об уничтожении ПДн».

10

 Проект документа «Акт об уничтожении носителей ПДн».

11

Проект документа «Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты ПДн».

12

Проект документа «Журнал учёта обращений субъектов ПДн о выполнении их законных прав».

13

Проект документа «Регламент работ с цифровыми носителями ПДн».

14

Проект документа «План внутренних проверок».

15

Проект документа «Перечень по учету применяемых средств защиты информации эксплуатационной и технической документации».

 

 

                           В результате успешного проведения предпроектного обследования определяется перечень организационно-распорядительных документов необходимых для соблюдения требований ФЗ -152 «О персональных данных»

ПЕРЕЧЕНЬ РАЗРАБАТЫВАЕМЫХ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ.

 

  • Проект Приказа «О создании комиссии по обеспечению безопасности персональных данных»;
  • Проект Положения о защите персональных данных;
  • Проект Инструкции по организации антивирусной защиты в информационных системах персональных данных;
  • Проект Приказа «О назначении Администратора безопасности информационной системы персональных данных»;
  • Проект Перечня информационных систем, в которых обрабатываются персональные данные;
  • Проект Перечня сведений, подлежащих защите в информационных системах персональных данных;
  • Проект формы предоставления данных по уровню подготовки кадров, обеспечивающих защиту информации;
  • Проект Порядка обработки персональных данных;
  • Проект Журнала передачи конфиденциальных документов;
  • Проект Журнала учета доступа к информации, содержащей персональные данные;
  • Проект Журнала учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в информационной системе персональных данных;
  • Проект Журнала учета поступивших конфиденциальных документов;
  • Проект Регламента передачи/предоставления персональных данных;
  • Проект Согласия на использование персональных данных (кандидата для приема на работу);
  • Проект Согласия на использование персональных данных сотрудника;
  • Проект Акта ввода средства защиты информации в эксплуатацию;
  • Проект Допуска информационной системы персональных данных на обработку персональных данных;
  • Проект Акта проверки программно-аппаратной составляющей основных технических средств и систем информационной системы персональных данных;
  • Проект Акта проверки состояния системы физической защиты объекта;
  • Проект Памятки по работе с корпоративной электронной почтой;
  • Проект Регламента использования ресурсов глобальной сети Интернет;
  • Проект Положения о порядке учета, хранения и обращения со съемными носителями персональных данных;
  • Проект Журнала учета носителей персональных данных;
  • Проект Акта проверки наличия носителей сведений конфиденциального характера;
  • Проект Акта об уничтожении конфиденциальной информации;
  • Проект Порядка обработки информации, содержащей персональные данные, обрабатываемой в информационной системе персональных данных;
  • Проект Инструкции администратора безопасности информационной системы персональных данных;
  • Проект Инструкции администратора информационной системы персональных данных;
  • Проект Инструкции пользователя информационной системы персональных данных;
  • Проект Обязательства о неразглашении конфиденциальной информации;
  • Проект Журнала учета инструктажей / ознакомления с документами по обеспечению информационной безопасности персональных данных;
  • Проект Регламента установки, модификации и технического обслуживания программного обеспечения  и аппаратных средств информационных систем персональных данных;
  • Проект Инструкции по организации парольной защиты информационных систем персональных данных;
  • Проект Регламента проведения внутренних проверок обеспечения безопасности конфиденциальной информации в информационных системах персональных данных;
  • Проект Плана внутренних проверок режима защиты персональных данных;
  • Проект общего типового Технического паспорта информационной системы персональных данных;
  • Проект Журнала поэкземплярного  учета средств защиты информации;
  • Проект Журнала поэкземплярного  учета криптосредств;
  • Проект Порядока резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в ИСПДн;
  • Проект Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций;
  • Проект Концепции информационной безопасности;
  • Проект Политики информационной безопасности;
  • Проект общего типового Отчета о проведении внутренней проверки;
  • Проект Положения о разграничении прав доступа к обрабатываемым персональным данным;
  • Проект Порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ;
  • Проект Электронного журнала обращений пользователей информационной системы к персональным данным;

 

Проектирование системы защиты ПДн включает в себя

  • Разработка технического задания на создание системы защиты персональных данных.
  • Проектирование системы защиты персональных данных.
  • Подготовка объекта защиты к вводу системы защиты персональных данных в действие.

 

Перечень документов по итогам проектирования системы защиты персональных данных

№ п/п

Наименование документа

1

Техническое задание на создание системы защиты персональных данных

1

Обоснование разработки системы защиты персональных данных.

2

Исходные данные создаваемой (модернизируемой) информационной системы персональных данных в техническом, программном, информационном и организационном аспектах.

3

Класс информационной системы персональных данных.

4

Ссылки на нормативные документы, с учетом которых будет разрабатываться система защиты персональных данных и приниматься в эксплуатацию информационная система персональных данных.

5

Конкретизация мероприятий и требований к системе защиты персональных данных.

6

Перечень предполагаемых к использованию сертифицированных средств защиты информации.

7

Состав, содержание и сроки проведения работ по этапам разработки и внедрения системы защиты персональных данных.

2

Технический проект на создание системы защиты персональных данных.

1

Пояснительная записка с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям технического задания.

Описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации в информационных системах персональных данных (с учетом внедряемых мер и средств защиты, включая информацию об объектах доступа, субъектах доступа, порядка ввода, обработки и вывода информации).

2

Технический паспорт информационной системы персональных данных.

 

Данный этап включает в себя:

  • Поставка необходимых сертифицированных по требованиям безопасности средств защиты информации (программных, программно-аппаратных и технических).
  • Ввод системы защиты персональных данных в действие.
  • Программы и методики испытаний установленных сертифицированных средств защиты информации на компонентах информационных систем персональных данных.
  • Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.
  • Приемо-сдаточные испытания средств защиты информации.
  • Акты установки и настройки сертифицированных средств защиты информации.

На этом построение системы защиты в организации можно считать завершенным в полном объеме, но нельзя забывать о проведении ежегодного Аудита информационной безопасности в  организации, который позволит  выявить все уязвимости в уже созданной системе безопасности конфиденциальной информации (персональных данных) в организации.