Мой Диплом (1194644), страница 2
Текст из файла (страница 2)
Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации [26, 29]. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу. К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т.д. К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например антивирусный пакет и т.д. [39,41].
1.3 Основные понятия, связанные с персональными данными
Персональные данные – любая информация, относящаяся к определенному лицу или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация [5].
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными [5].
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных [4].
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц [5].
Хранение персональных данных – это комплекс мероприятий, направленный на обеспечение сохранности, полноты и целостности сформированных массивов персональных данных, создание и поддержание надлежащих условий для их использования, а также предупреждение несанкционированного доступа, распространение и использования [35].
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом [17].
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных [44].
Обезличивание персональных данных — действия, в результате которых
становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных [27].
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств [33].
1.4 Категории персональных данных
Категории обрабатываемых персональных данных подразделяются на 4 группы [5]:
-
1 группа — специальные категории персональные данные, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информация о здоровье и интимной жизни субъекта;
-
2 группа — биометрические персональные данные, данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;
-
3 группа — общедоступные персональные данные, сведения о субъекте, полный и неограниченный доступ, к которым предоставлен самим субъектом;
-
4 группа — иные категории персональных данных, не представленные в трёх предыдущих группах.
При обработке персональных данных в информационных системах устанавливаются четыре уровня защищенности (таблица 1.1).
Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы информационно безопасности систем, обрабатывающих персональные данные.
Таблица 1.1 – Уровни защищенности персональных данных
| Группы ИСПДн | Сотрудники оператора | Количество субъектов | Типы актуальных угроз | ||
| 1 | 2 | 3 | |||
| ИСПДн-С (специальные) | Нет | > 100 000 | УЗ-1 | УЗ-1 | УЗ-2 |
| < 100 000 | УЗ-1 | УЗ-2 | УЗ-3 | ||
| Да | Любое | ||||
| ИСПДн-Б (биометрические) | Нет | Любое | УЗ-1 | УЗ-2 | УЗ-3 |
| Да | Любое | ||||
| ИСПДн-И (иные) | Нет | > 100 000 | УЗ-1 | УЗ-2 | УЗ-3 |
| < 100 000 | УЗ-2 | УЗ-3 | УЗ-4 | ||
| Да | Любое | ||||
| ИСПДн-О (общедоступные) | Нет | > 100 000 | УЗ-2 | УЗ-2 | УЗ-4 |
| < 100 000 | УЗ-2 | УЗ-3 | УЗ-4 | ||
Для обеспечения четвертого уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований [33]:
-
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения [6]
-
обеспечение сохранности носителей персональных данных [21];
-
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
-
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз [32].
Для обеспечения третьего уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для четвертого уровня защищенности необходимо,
чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе [37].
Для обеспечения второго уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для третьего уровня защищенности, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей [37].
Для обеспечения первого уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных второго уровня защищенности, необходимо выполнение следующих требований [19]:
-
автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным;
-
создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
1.5 Классификация угроз безопасности персональных данных
Угроза безопасности персональных данных — совокупность условий и факторов, создающих опасность нарушения безопасности персональных данных [23].
К угрозам информационной безопасности систем, обрабатывающих персональные данные относятся [31]:
-
передача сотрудниками персональных данных третьим лицам,
другим организациям [39];
-
кража сотрудниками персональных данных;
-
халатное отношение сотрудников к персональным данным (не правильное уничтожение, хранение, передача);
-
внесение изменений сотрудниками в персональные данные;
-
утечка информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации [23];
-
угрозы внедрения вредоносных программ (программно-математического воздействия);
-
перехват акустической (речевой) информации [30];
-
угрозы прикладным программам, с помощью которых обрабатываются персональные данные;
-
угрозы, связанные с несанкционированным доступом к персональным данным (копирование, уничтожение, изменение, распространение) [45];
-
стихийные бедствия (пожар, наводнение);
-
взлом сервера, на котором хранятся персональные данные.
1.6 Методы и средства защиты персональных данных
Защита персональных данных - это технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе деятельности организации [20].
К методам защиты персональных данных относятся следующие [34]:
-
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
-
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
-
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
-
резервирование технических средств, дублирование массивов и носителей информации [20];
-
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
-
использование защищенных каналов связи;
-
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории [20];
-
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
-
предотвращение внедрения в информационные системы вредоносных программ (использование на ПК антивирусных программ);
-
использование специального оборудования (несгораемые шкафы, сейфы) для хранения персональных данных;
-
помещения, в которых хранятся материальные носители, содержащие персональные данные субъектов, оборудуются видеонаблюдением, замками и сигнализацией;
-
использование специализированных лицензионных программ для защиты персональных данных [48];
-
повышение квалификации сотрудников в области защиты персональных данных;
-
выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований [21];
-
осуществление постоянного контроля за обеспечением уровня защищенности персональных данных;
-
проведение мероприятий по закрытию утечки персональных данных по техническим каналам при их обработке в информационных системах [23].
Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов [28].
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
