Система защиты персональных данных
Безопасность персональных данных при их обработке в информационных системах Государственной инспекции труда в Воронежской области обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
Разработка системы защиты персональных данных, частная модель угроз, осуществляется специализированной организацией на основании специального разрешения (лицензии) на осуществление данного вида деятельности.
Частная модель угроз.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.
Под угрозами безопасности персональных данных при их обработке в информационной системе персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Модель угроз решает следующие задачи:
анализ защищенности информационной системы персональных данных от угроз безопасности персональных данных в ходе выполнения работ по обеспечению безопасности персональных данных;
разработка системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационной системы персональных данных;
проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение воздействия на технические средства информационной системы персональных данных, в результате которого может быть нарушено их функционирование;
контроль обеспечения уровня защищенности персональных данных.
Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Государственной инспекции труда в Воронежской области должна содержать систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных, обусловленных преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных, которые ведут к ущербу жизненно важным интересам личности, общества и государства.
Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационной системе персональных данных, связанным:
с перехватом (съемом) персональных данных по техническим каналам с целью их копирования или неправомерного распространения;
с несанкционированным, в том числе случайным, доступом в информационной системе персональных данных с целью изменения, копирования, неправомерного распространения персональных данных или деструктивных воздействий на элементы информационной системы персональных данных и обрабатываемых в них персональных данных с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования персональных данных.
Состав и содержание угроз безопасности персональным данным определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным.
Совокупность таких условий и факторов формируется с учетом характеристик информационной системы персональных данных, свойств среды распространения информативных сигналов, содержащих защищаемую информацию, и возможностей и источников угроз.
При обеспечении безопасности персональных данных с использованием криптографических средств защиты информации производится нейтрализация атак, готовящимися и проводимыми нарушителями, причем возможности проведения атак обусловлены их возможностями. С учетом этого все возможные атаки определяются моделью нарушителя.
Средства защиты информации
Средства защиты информации, применяемые в информационных системах персональных данных, в установленном порядке проходят процедуру оценки соответствия.
Технические и программные средства обработки персональных данных должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Эксплуатация средств защиты информации должна осуществляться строго в соответствии с эксплуатационной документацией на такие средства. Сотрудники Государственной инспекции труда в Воронежской области, эксплуатирующие средства защиты информации, должны быть ознакомлены с такой документацией под роспись.
Требования к помещениям, в которых производится обработка персональных данных
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
В Государственной инспекции труда в Воронежской области специальное оборудование помещений, в которых ведется работа с персональными данными, осуществляется в соответствии с РД 78.36.003-2002 «Инженерно-техническая укрепленность. Технические средства охраны. Требования и нормы проектирования по защите объектов от преступных посягательств».
Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, соответствуют требованиям пожарной безопасности, установленными действующим законодательством Российской Федерации.
Порядок оценки соответствия требованиям по безопасности персональных данных
Порядок оценки соответствия информационных систем персональных данных требованиям безопасности информации осуществляется в порядке, определяемом действующим законодательством Российской Федерации и Программой такой оценки. Программу проведения оценочных испытаний разрабатывает организация, проводящая такую оценку. Программа согласовывается с Государственной инспекцией труда в Воронежской области.
Программа оценки соответствия информационных систем персональных данных требованиям безопасности информации содержит:
перечень работ и их продолжительность;
методики испытаний (или используются типовые методики);
количественный и профессиональный состав оценочной комиссии;
необходимость использования контрольной аппаратуры и тестовых средств.
Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации.
По результатам оценки соответствия информационных систем персональных данных требованиям безопасности информации оформляются протоколы и заключение о соответствии таким требованиям. На основании заключения, в случае получения положительного решения о соответствии информационной системы персональных данных предъявляемым требованиям по обеспечению безопасности персональных данных, оформляется документ, подтверждающий выполнение требований по безопасности информации.
Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных
Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных в Государственной инспекции труда в Воронежской области состоит из следующих направлений:
внешний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных;
внутренний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных.
Внутренний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных в Государственной инспекции труда в Воронежской области состоит из:
контроля и надзора за исполнением требований по обработке и обеспечению безопасности персональных данных;
оценки соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер.
Порядок внешнего контроля над соблюдением требований по обработке и обеспечению безопасности данных
Внешний контроль и надзор за выполнением требований законодательства в области персональных данных осуществляется федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи, федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
Внешний контроль и надзор за выполнением требований законодательства в области персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в области защиты прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля, подзаконных нормативных актов Правительства Российской Федерации, ведомственных нормативных актов и административных регламентов.
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
Уполномоченный орган по защите прав субъектов персональных данных имеет право:
запрашивать у Государственной инспекции труда в Воронежской области информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных Государственной инспекции труда в Воронежской области, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
требовать от Государственной инспекции труда в Воронежской области уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства в области персональных данных;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;
направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, необходимые сведения;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности данных
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Государственной инспекции труда в Воронежской области организуется проведение периодических проверок условий обработки персональных данных. Проверки осуществляются ответственным за организацию обработки персональных данных в Государственной инспекции труда в Воронежской области либо комиссией, образуемой руководителем Государственной инспекции труда в Воронежской области не реже одного раза в год.
При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям в Государственной инспекции труда в Воронежской области производится проверка:
соблюдения принципов обработки персональных данных в Государственной инспекции труда в Воронежской области;
соответствия приказов в области персональных данных Государственной инспекции труда в Воронежской области действующему законодательству Российской Федерации;
выполнения сотрудниками Государственной инспекции труда в Воронежской области требований и правил (в том числе особых) обработки персональных данных в информационных системах персональных данных Государственной инспекции труда в Воронежской области;
перечней персональных данных, используемых для решения задач и функций структурными подразделениями Государственной инспекции труда в Воронежской области и необходимости обработки персональных данных в информационных системах персональных данных Государственной инспекции труда в Воронежской области;
актуальности содержащихся в Правилах обработки персональных данных в каждой информационной системе персональных данных Государственной инспекции труда в Воронежской области информации о законности целей обработки персональных данных и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных
правильность осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных в каждой информационной системе персональных данных Государственной инспекции труда в Воронежской области;
актуальность перечня должностей сотрудников Государственной инспекции труда в Воронежской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
актуальность перечня должностей сотрудников Государственной инспекции труда в Воронежской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
соблюдение прав субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Государственной инспекции труда в Воронежской области;
соблюдение обязанностей Государственной инспекции труда в Воронежской области, предусмотренных действующим законодательством в области персональных данных;
порядка взаимодействия с субъектами персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Государственной инспекции труда в Воронежской области, в том числе соблюдения сроков предусмотренных действующим законодательством в области персональных данных, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения субъектов персональных данных, порядка действий при достижении целей обработки персональных данных и отзыве согласий субъектами персональных данных;
наличие необходимых согласий субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Государственной инспекции труда в Воронежской области;
актуальность сведений, содержащихся в уведомлении Государственной инспекции труда в Воронежской области об обработке персональных данных;
актуальность перечня информационных систем персональных данных в Государственной инспекции труда в Воронежской области;
наличие и актуальность сведений, содержащихся в Правилах обработки персональных данных для каждой информационной системы персональных данных Государственной инспекции труда в Воронежской области;
знания и соблюдение сотрудниками Государственной инспекции труда в Воронежской области положений действующего законодательства Российской Федерации в области персональных данных;
знания и соблюдение сотрудниками Государственной инспекции труда в Воронежской области положений локальных актов Государственной инспекции труда в Воронежской области в области обработки и обеспечения безопасности персональных данных;
знания и соблюдение сотрудниками Государственной инспекции труда в Воронежской области и инструкций, руководств и иные эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации;
соблюдение сотрудниками Государственной инспекции труда в Воронежской области конфиденциальности персональных данных;
актуальность приказов Государственной инспекции труда в Воронежской области в области обеспечения безопасности персональных данных, в том числе в Технических паспортах информационных систем персональных данных;
соблюдение сотрудниками Государственной инспекции труда в Воронежской области требований по обеспечению безопасности персональных данных;
наличие приказов Государственной инспекции труда в Воронежской области, технической и эксплуатационной документации технических и программных средств информационных систем персональных данных Государственной инспекции труда в Воронежской области;
иных вопросов.
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю Государственной инспекции труда в Воронежской области докладывает ответственный за организацию обработки персональных данных в Государственной инспекции труда в Воронежской области либо председатель комиссии.
|
