Формирование состава мер обеспечения информационной безопасности персональных данных организации

Введение 12
Глава 1. Аналитический обзор законодательства в области персональных данных 14
1.1. Аналитический обзор Законодательства Российской Федерации в области обработки персональных данных 14
1.1.1. Федеральный закон № 152 «О персональных данных» 14
Федеральный закон «О персональных данных» 14
1.1.2. Обзор требований Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 14
1.1.3. Требования Приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» 14
1.1.4. Требования Приказа ФСТЭК России от 11.02.2013 N 17 (ред. от 28.05.2019) "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (с изм. и доп., вступ. в силу с 01.01.2021) 14
1.1.5. Требования Приказа Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» 14
1.1.6. Методический документ. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021) 14
1.2. Актуальность защиты персональных данных 15
1.3 Вывод 19
Глава 2. Анализ информационной системы персональных данных как объекта защиты 20
2.1. Сведения об автоматизированной информационной системе учреждения 20
2.2. Цели создания системы защиты информации для информационной системы персональных данных учреждения 22
2.3. Краткая характеристика информационной системы персональных данных учреждения 24
2.4. Перечень документов необходимых для создания системы защиты информации 26
2.5. Определение уровня защищенности персональных данных 27
2.6. Вывод 28
Глава 3. Оценка угроз безопасности персональных данных при их обработке в информационной системе персональных данных 28
3.1. Определение угроз безопасности информации, обрабатываемой в информационной системе персональных данных Организации 28
3.2. Возможные негативные последствия от реализации угроз безопасности информации 30
3.3. Возможные объекты воздействия угроз безопасности информации 31
3.4. Источники угроз безопасности информации 34
3.5. Способы реализации угроз безопасности информации 38
3.6. Оценка актуальности угроз безопасности информации 40
3.7. Вывод 76
Глава 4. Формирование набора мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе 77
4.1. Требования к безопасности информации, обрабатываемой в ИСПДн 77
4.2. Определение базового и адаптированного базового набора мер защиты информации для ИСПДн Организации 77
4.3. Уточненный адаптированный базовый набор мер защиты информации для ИСПДн организации 88
4.4. Дополненный уточненный адаптированный базовый набор мер защиты информации для ИСПДн организации 90
4.5. Требования к функциям (задачам), выполняемым системой защиты информации 99
4.6. Обзор используемых средств защиты информации в Организации 101
4.7. Рекомендации по повышению качества защиты информации в Организации 103
4.8. Вывод 104
Глава 5. Безопасность работы пользователя персонального компьютера в организации 105
5 Безопасность автоматизированного рабочего места инженера по информационной безопасности 105
5.1 Анализ вредных и опасных факторов на рабочем месте 105
5.2 Защита от воздействий факторов 108
5.2.1 Требования к производственным помещениям 110
5.2.2 Требования к световой среде 111
5.3 Профилактика от чрезвычайных ситуаций на производстве 113
5.4. Выводы по обеспечению безопасности работы пользователя ПК в Организации 114
Заключение 115
Список использованных источников 116

Весь текст будет доступен после покупки

В современном мире ни одна организация не обходится без применения информационных технологий. Во всех сферах деятельности человека прослеживается колоссальная потребность в использовании разнообразных информационных технологий как в государственных, так и в коммерческих, частных организациях и так далее. Во всех вышеперечисленных организациях, как правило, ведется обработка персональных данных (далее – ПДн). Чаще всего это персональные данные сотрудников, клиентов, посетителей той или иной организации. Широкое распространение информационных систем, содержащих персональные данные, приводит к тому, что частым явлением становится кража, распространение и копирование ПДн злоумышленниками в целях получения какой-либо выгоды. Соответственно растет потребность в принятии мер, которые могут обеспечить необходимую защиту такой информации. Можно так же предположить, что именно защита персональных данных должна быть приоритетным направлением для организаций. Актуальность данной проблемы обусловлена важными фактами. Во-первых, в нынешнее время, как уже было упомянуто ранее, наблюдается явное увеличение объемов обрабатываемых персональных данных в организациях. Любое изменение, кража или копирование этих данных нанесет существенный материальный и моральный ущерб. Во-вторых, хотелось бы отметить то, насколько часто в современном мире приходится оставлять свои персональные данные для получения тех или иных услуг, таких как покупка сим-карты, заказ доставки из магазина, регистрация на каком-либо сайте. Любой пользователь перечисленных услуг должен быть уверен, что оставленные им данные надежно хранятся и защищены от несанкционированного доступа.
В соответствии со статистикой Positive Technologies количество кибератак в 2021 году увеличилось на 6,5% по сравнению с предыдущим годом. Большая часть, а точнее 86% всех атак были направлены на организации. В тройку наиболее часто атакуемых отраслей вошли госучреждения (16%), медучреждения (11%) и промышленные компании (10%).

Весь текст будет доступен после покупки

Глава 1. Аналитический обзор законодательства в области персональных данных
1.1. Аналитический обзор Законодательства Российской Федерации в области обработки персональных данных
1.1.1. Федеральный закон № 152 «О персональных данных»
Федеральный закон «О персональных данных» [1] является основным документом в вопросе законодательного регулирования по обеспечению безопасности персональных данных. Данный федеральный закон был создан в целях защиты интересов субъектов, которые передали данные в обработку какой-либо организации или государственному учреждению (далее – оператору). В этом документе обозначены права субъекта персональных данных, а так же обязанности оператора и меры, направленные как на обеспечение обязанностей, предусмотренных рассматриваемым законом, так и меры по обеспечению безопасности персональных данных при их обработке. Вышеназванный закон обязывает любую организацию, которая осуществляет обработку личных данных, защищать персональные данные сотрудников и клиентов, обеспечивать высокий уровень защищенности информационной системы, в которой обрабатываются данные. Стоит выделить самые основные важные моменты из данного Федерального закона.
В ФЗ №152 [1] обозначены такие понятия как «персональные данные, оператор, обработка персональных данных, автоматизированная обработка персональных данных, распространение персональных данных, предоставление персональных данных, блокирование персональных данных, уничтожение персональных данных, обезличивание персональных данных, информационная система персональных данных (далее – ИСПДн), трансграничная передача данных».

Весь текст будет доступен после покупки

1. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/.
2. "Всеобщая декларация прав человека" (принята Генеральной Ассамблеей ООН 10.12.1948) [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_120805/.
3. "Международный пакт о гражданских и политических правах" (Принят 16.12.1966 Резолюцией 2200 (XXI) на 1496-ом пленарном заседании Генеральной Ассамблеи ООН) [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_5531/.
4. "Конвенция о защите физических лиц при автоматизированной обработке персональных данных" (Заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999) [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_121499/.
5. Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" [Электронный ресурс]//Гарант.ру Информационно-правовой портал: официальный сайт – Режим доступа: http://base.garant.ru/12143756/.
6. Директива N 95/46/ЕС Европейского парламента и Совета Европейского Союза "О защите физических лиц при обработке персональных данных и о свободном обращении таких данных" [рус., англ.] (Принята в г. Люксембурге 24.10.1995) (с изм. и доп. от 29.09.2003) [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=INT&n=49528&dst=4294967295&date=24.03.2019.
7. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / GeneralDataProtectionRegulation /GDPR) [Электронный ресурс]//Гарант.ру Информационно-правовой портал: официальный сайт – Режим доступа: http://base.garant.ru/71936226/.
8. Федеральный закон "Об информации, информатизации и защите информации" от 20.02.1995 N 24-ФЗ [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_5887/.
9. Постановление Правительства РФ от 25.01.2013 N 33 (ред. от 20.11.2018) "Об использовании простой электронной подписи при оказании государственных и муниципальных услуг" [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_141712/.
10. Федеральный закон "О внесении изменений в Федеральный закон "О персональных данных" от 25.07.2011 N 261-ФЗ [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_117437/.
11. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" [Электронный ресурс]//КонсультантПлюс: официальный сайт – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_137356/.

Весь текст будет доступен после покупки