Каталог средств ЗИ
|
В Указе Президента РФ №188 от 6 марта 1997 года о "Перечне сведений конфиденциального характера", персональные данные стоят на первом месте. Но закон регулирующий отношения в данной области был выпущен несколько позже. В ФЗ-№152 определяются такие понятия как Персональные данные (ПДн) и Оператор. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Согласно ФЗ-152, оператор, обрабатывающий персональные данные, должен выполнять ряд требований, обеспечивающий конфиденциальность обрабатываемой им информации. "Оператор обязан принимать организационные и технические меры, для защиты персональных данных от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий" (Ст. 19, п. 1). Но для того, чтобы верно оценить все потенциальные угрозы, и принять соответствующие меры по защите, необходимо классифицировать информационную систему персональных данных (ИСПДн). Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн. Состав и функциональное содержание методов и средств зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн. В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба:
Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:
Опосредованный ущерб, связан с причинением вреда обществу и(или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн. Классификация ИСПДн проводится операторами информационных систем на этапе создания информационных систем либо в ходе их эксплуатации (для ранее введённых и (или) модернизируемых) для установления методов и способов Проведение классификации информационных систем включает в себя следующие этапы:
Исходные данные для проведения классификации информационной системы:
Категории обрабатываемых в информационной системе персональных данных – Хпд:
В зависимости от объема Хнпд может принимать следующие значения: - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; Так же информационные системы разделяют на типовые и специальные. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Информационные системы могут состоять как из одного рабочего места, так и из нескольких рабочих мест, между которыми может быть создана локальная сеть. Бывают так же распределенные информационные системы. Типовые информационные системы имеют следующие классы:
После определения категории обрабатываемой информации и ее количества, можно определить класс информационной системы. Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |