Иванов636336871903591282 (1206699), страница 3
Текст из файла (страница 3)
36Оператор - государственный орган, муниципальный орган, юридическое илифизическое лицо, самостоятельно или совместно с другими лицамиорганизующие и (или) осуществляющие обработку персональных данных, атакже определяющие цели обработки персональных данных, составперсональных данных, подлежащих обработке, действия (операции),совершаемые с персональными данными. 9Персональные данные - любая информация, относящаяся к прямо иликосвенно определенному или определяемому физическому лицу (субъектуперсональных данных). 118 11Пользователь - лицо, которому разрешено выполнять некоторые действия(операции) по обработке информации в информационной системе илииспользующее результаты ее функционирования. 36Субъект доступа - пользователь, процесс, 36 выполняющий операции(действия) над объектами доступа и действия которых регламентируютсяправилами разграничения доступа.
36Управление доступом - ограничение и контроль доступа субъектов доступа кобъектам доступа в информационной системе в соответствии с установленнымиправилами разграничения доступа. 3691.2 36 Исследование предметной областиПредметная область будет рассмотрена на примере предприятия ООО«Гефест - Хабаровск». Основным видом деятельности предприятия являетсяосуществление торгово-экономической деятельности как внутри страны, так иза рубежом.Состав персонала организации:‒ генеральный директор;‒ заместитель директора;‒ администратор информационной системы;‒ отдел бухгалтерии;‒ отдел кадров;‒ менеджеры.Персонал организации обрабатывает информацию, относящуюся ккоммерческой тайне и персональным данным. Генеральный директор изаместитель директора имеют доступ ко всей информации, хранящейся иобрабатываемой информационной системой предприятия.
Администраторинформационной системы отвечает за настройку и поддержаниеработоспособности информационной системы, он также имеет доступ ко всейинформации. Отдел кадров обрабатывает персональные данные сотрудниковпредприятия. Отдел бухгалтерии занимается обработкой персональных данныхсотрудников предприятия, персональных данных клиентов предприятия,информацию, относящуюся к коммерческой тайне. Менеджеры в процессеработы с клиентами обрабатывают персональные данные клиентов иинформацию, относящуюся к коммерческой тайне, связанную с договорамикупли-продажи.Деятельность организации связана с обработкой и хранением информации,относящейся к коммерческой тайне.
Требования, предъявляемые к охранеинформации, относящейся к коммерческой тайне указаны в федеральном законе 810от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне". 8 НастоящийФедеральный закон регулирует отношения, связанные с установлением,изменением и прекращением режима коммерческой тайны в отношенииинформации, которая имеет действительную или потенциальную коммерческуюценность в силу неизвестности ее третьим лицам.
35 Режим коммерческой тайнысчитается установленным после принятия обладателем информации,составляющей коммерческую тайну, мер, указанных в части 1 статьи 10« 29 Охрана конфиденциальности информации». В 8 части 1 этой статьи указано чтомеры по охране конфиденциальности информации, принимаемые ееобладателем, должны включать в себя:определение перечня информации, составляющей коммерческую тайну;ограничение доступа к информации, составляющей коммерческую тайну,путем установления порядка обращения с этой информацией и контроля засоблюдением такого порядка;учет лиц, получивших доступ к информации, составляющейкоммерческую тайну, и (или) лиц, которым такая информация былапредоставлена или передана;регулирование отношений по использованию информации, составляющейкоммерческую тайну, работниками на основании трудовых договоров иконтрагентами на основании гражданско-правовых договоров; 38Кроме информации, относящейся к коммерческой тайне, в информационнойсистеме предприятия хранится и обрабатывается большой объем персональныхданных клиентов и сотрудников.
Отношения, связанные с обработкойперсональных данных с использованием средств 18 автоматизации 30 регулируютсяФедеральным законом от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О 8персональных данных". Меры по обеспечению безопасности персональныхданных при их обработке 4 указаны в статье 19 данного закона. В данной статьепредставлены такие меры, как:а) Оператор при обработке персональных данных обязан приниматьнеобходимые правовые, организационные и технические меры или 1711обеспечивать их принятие для защиты персональных данных от неправомерногоили случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления, распространения персональных данных, а такжеот иных неправомерных действий в отношении персональных данных.б) Обеспечение безопасности персональных данных достигается, вчастности:1) определением угроз безопасности персональных данных при ихобработке в информационных системах персональных данных;2) применением организационных и технических мер по обеспечениюбезопасности персональных данных при их обработке в информационныхсистемах персональных данных, необходимых для выполнения требований кзащите персональных данных, исполнение которых обеспечиваетустановленные Правительством Российской Федерации уровни защищенностиперсональных данных;3) применением прошедших в установленном порядке процедуру оценкисоответствия средств защиты информации;4) оценкой эффективности принимаемых мер по обеспечению безопасностиперсональных данных до ввода в эксплуатацию информационной системыперсональных данных;5) учетом машинных носителей персональных данных;6) обнаружением фактов несанкционированного доступа к персональнымданным и принятием мер;7) восстановлением персональных данных, модифицированных илиуничтоженных вследствие несанкционированного доступа к ним;8) установлением правил доступа к персональным данным,обрабатываемым в информационной системе персональных данных, а такжеобеспечением регистрации и учета всех действий, совершаемых сперсональными данными в информационной системе персональных данных;9) контролем за принимаемыми мерами по обеспечению безопасностиперсональных данных и уровня защищенности информационных систем 1712персональных данных.
17Организационные и технические меры по обеспечению безопасности 11персональных данных, необходимых для выполнения требований к защитеперсональных данных, 9 которые необходимо применять в соответствии спунктом 2 статьи 19 Федерального закона No 152, указаны в приказе ФСТЭКРоссии от 18.02.2013 N 21 ( 3 ред. от 23.03.2017) " 5 Об утверждении Состава исодержания организационных и технических мер по обеспечению безопасностиперсональных данных при их обработке в информационных системахперсональных данных".
83 Требования к защите персональных данных 7 содержатсяв 28 приказе ФСТЭК от 11 февраля 2013г 40 No17 " Об утверждении требований озащите информации, не составляющей государственную тайну, содержащейся вгосударственных информационных системах". 9 Так как состав мер защиты 17 и21 приказа ФСТЭК совпадают, а в соответствии с 17 приказом, требования кзащите персональных данных 3 могут применятся для защиты персональныхданных, 8 содержащихся в негосударственных информационных системах, длярассмотрения необходимых мер, обратимся к 17 приказу ФСТЭК. В документе 24устанавливаются требования к обеспечению защиты информацииограниченного доступа, не содержащей сведения, составляющиегосударственную тайну, от утечки по техническим каналам,несанкционированного доступа, специальных воздействий на такуюинформацию (носители информации) в целях ее добывания, уничтожения,искажения или блокирования доступа к ней при обработке указаннойинформации в государственных информационных системах.
50 Также в документене рассматриваются требования о защите информации, связанные сприменением криптографических методов защиты информации ишифровальных (криптографических) средств защиты информации. 24 Защитаинформации, содержащейся в государственной информационной системе,обеспечивается путем выполнения обладателем информации (заказчиком) и(или) оператором требований к организации защиты информации,содержащейся в информационной системе, и требований к мерам защиты 2413информации, содержащейся в информационной системе.
24Для рассматриваемого приказа ФСТЭК существует методический документ«Меры защиты информации в государственных информационных системах». 1Этот методический документ детализирует организационные и техническиемеры защиты информации, 2 принимаемые в государственных информационныхсистемах в 2 соответствии с Требованиями о защите информации, несоставляющей государственную тайну, содержащейся в государственныхинформационных системах, утвержденными приказом ФСТЭК России от 11февраля 2013 г.
2 No 17, а также определяет содержание мер защиты информациии правила их реализации. В методическом документе не рассматриваютсясодержание, правила выбора и реализации мер защиты информации, связанныхс применением криптографических методов защиты информации ишифровальных (криптографических) средств защиты информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
