Построение системы защиты в информационной системе персональных данных организации .

ВВЕДЕНИЕ
1 Разработка рекомендаций оператору персональных данных по построению системы защиты в информационной системе персональных данных
1.1 Анализ требований нормативно-методических документов, регламентирующих порядок построения системы защиты в информационной системе персональных данных
1.2 Разработка рекомендаций оператору персональных данных по построению системы защиты в информационной системе персональных данных
1.3 Порядок оценки эффективности системы защиты в
информационной системе персональных данных
1.4 Выводы по разделу
2 Построение системы защиты в информационной системе персональных данных организации
2.1 Анализ ведомственной организации, как оператора персональных данных. Разработка перечня защищаемых персональных данных
2.2 Определение требуемого уровня защищённости персональных данных ведомственной организации
2.3 Адаптация базового набора мер по обеспечению безопасности персональных данных
2.4. Анализ информационной системы персональных данных ведомственной организации
2.5. Модель вероятного нарушителя
2.6 Выбор средств реализации технических мер защиты в информационной системе персональных данных организации
2.7 Выводы по второму разделу
3 ОЦЕНКА ЭФФЕКТИВНОСТИ ПРЕДЛОЖЕННЫХ РЕКОМЕНДАЦИЙ И ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ВОЗМОЖНОСТИ ИХ РЕАЛИЗАЦИИ В СИСТЕМЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.5 Сравнительная оценка эффективности системы защиты персональных данных в информационной системе персональных данных
3.6 Технико-экономическое обоснование возможности реализации предложенных рекомендаций
3.7 Вывода по разделу
ЗАКЛЮЧЕНИЕ

Весь текст будет доступен после покупки

Современные информационные системы предприятий и организаций, наряду с хранением и обработкой деловой информации, решают задачи хранения и обработки ПДн сотрудников и контрагентов. Это влечет за собой необходимость организации обработки и защиты ПДн в соответствии с требованиями действующего законодательства в данной области.
Защита ПДн является одной из важнейших задач системы обеспечения информационной безопасности в организации любого масштаба и любой организационно–правовой формы хозяйствования [1].
Актуальность работы обусловлена тем, что оператор обязан выполнять требования ФЗ №152 «О персональных данных», но при организации защиты ПДн в ИСПд он сталкивается с трудностями по учету требований большого количества нормативных документов, регламентирующих процесс построения СЗПДн.

Весь текст будет доступен после покупки

1 Разработка рекомендаций оператору персональных данных по построению системы защиты в информационной системе персональных данных
1.1 Анализ требований нормативно-методических документов, регламентирующих порядок построения системы защиты в информационной системе персональных данных
Перечень основных документов, регламентирующих порядок построения системы защиты в информационной системе ПДн, представлен в приложении А.
Анализ документов позволяет сделать вывод о том, что при организации работ по построению системы защиты и информационной системе оператор сталкивается с трудностями по полному учёту требований данных документов, т. е. необходима стройная методика, позволяющая выполнить эту работу с наибольшей эффективностью.
Кроме того, на предприятии должны быть отработаны локальные нормативные акты по организации защиты ПДн в ИСПДн.
Результаты анализа требований основных нормативных документов в области построения СЗПДн для ИСПДн представлены в таблице 1.
Таблица 1 – Анализ нормативно–методической базы, регламентирующей порядок разработки СЗПДн в ИСПДн

Нормативный документ Требования документа Результат






ФЗ 152 «О ПДн » – назначение ответственного за обработку ПДн,
– издание оператором ОРД, определяющих политику оператора в отношении обработки ПДн,
– применение правовых, организационных и технических мер по защите ПДн,
– применение сертифицированных СрЗИ,
– учет машинных носителей ПДн,
– обнаружение фактов НСД к ПДн и принятием мер,
– контроль за принимаемыми мерами по обеспечению безопасности ПДн – перечень ПДн, подлежащих защите в ИСПДН,
– политика оператора в отношении обработки ПДн,
– требования к ФСТЭК и ФСБ по методическому сопровождению ФЗ
№152,
– требования к набору ОРД при построении СЗПДн в ИСПДН
ПП от 01.11.
2012. N 1119 – уровни защищенности ПДн при их обработке в ИС ПДн, – уровни защищённости ПДн в ИСПДН,

Нормативный документ Требования документа Результат
– требования к защите ПДн в ИСПДн, в соответствии с ровни защищенности ПДн – типы угроз,
– требования к защите ПДн
ПП РФ от 06.06.2008 № 512 Требования к материальным носителям биометрических ПДн и технологиям
хранения таких данных вне информационных систем ПДн утверждены постановлением. порядок работы с носителями биометрических ПДн
ПП РФ от 15 сен-
тября 2008 г. № 687 Положение об особенностях обработки ПДн,
осуществляемой без использования средств автоматизации. Порядок обработки ПДн без средств
автоматизации

ПП РФ №211 от 21 марта 2012г – назначение ответственного за обработку ПДн,
– определен перечень ОРД по ПДн,
– требование по обезличиванию ПДн в ИСПДН Перечень ОРД описыва- ющих правила работы с обезличенными ПДн


Приказ №17 ФСТЭК требования к обеспечению ЗИ от утечки по техническим каналам,
несанкционированного доступа, специальных воздействий на такую информацию – модель угроз безопасности информации,
– ТЗ на создание СЗИ,
– ОРД по ЗИ,
– анализ уязвимостей ИС.


Приказ № 21 ФСТЭК – состав организационных и технических мер по защите ПДн, при их обработке в ИСПДН, – определяет порядок выбора организационных и технических мер по обеспечению безопасности ПДн, подлежащих реализации в ИС в рамках
СЗПДн. –состав организационных и технических мер по защите ПДн в ИСПДН,
– требования к сертифицированным СрЗИ.
МД ФСТЭК «Ба-
зовая модель угроз для ПДн в ИСПДН»
Методика построения модели угроз для ПДн в ИСПДН Перечень потенциальных угроз безопасности ПДн, при их обработке в ИСПДН
МД «Методика определения актуальных угроз безопасности ПДн, при их обработке в
ИСПДН»
Методика определения актуальных угроз безопасности ПДн, при их обработке в ИСПДН Перечень актуальных угроз безопасности ПДн, при их обработке в ИСПДН и вероятности их реализации

Приказ ФСБ Рос- сии от 10 июля 2014 г. N 378 – состав и содержания организационных и технических мер по защите ПДн при их обработке в ИСПДН с использованием СКЗИ, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из
уровней защищенности»
Реализация криптогра- фической защиты ин- формации

Нормативный документ Требования документа Результат
Приказ ФСБ Рос- сии от 9 февраля 2005 года № 66. Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных средств защиты информации.


ГОСТ 34.601–90.
Определяет этапы и содержание этапов ра- бот по разработке АС – ЧТЗ на выполнение работ по созданию СЗПд в ИСПд,
– эксплуатационная и ОРД для ИСПДН
1.2 Разработка рекомендаций оператору персональных данных по построению системы защиты в информационной системе персональных данных
Создание СЗПДн – это комплекс мер технического и организационного ха- рактера, направленных на защиту сведений, отнесенных в соответствии с ФЗ от 27.06.2006 N 152 к ПДн.
В соответствии с заданием, и с учётом требований нормативных документов по ЗПДн, разработаны рекомендации оператору ПДн по построению СЗПДн в ИСПДн.
Последовательность работы оператора по реализации предложенных рекомендаций представлена в таблице 2.

Весь текст будет доступен после покупки

-

Весь текст будет доступен после покупки