Назовите основные нормативные правовые акты, регулирующие отношения в области защиты персональных данных при их автоматизированной обработке.
1.Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Convention for the Protection of Individuals with regard to Automatic Processing ETS 108) Страсбург, 28 января 1981 года. Подписана Россией 7 ноября 2001 г.
2.Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных».
3.Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» (с изменениями и дополнениями).
4.Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных».
5.Приказ ФСТЭК №21 от 18.02.13г «Состав и содержание организационных и технических мер по защите ПДн при их обработке в информационных системах персональных данных».
6.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена ФСТЭК России 15.02.2008 г);
7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена ФСТЭК России 14.02.2008 г.).
8. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
Какие документы и материалы необходимо использовать для формирования актуальных угроз безопасности персональных данных при их обработке в ИС.
Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в ИСперсональных данных».
Базовая модель угроз безопасности персональных данных при их обработке в ИСперсональных данных, утв. ФСТЭК России 15февраля2008 г.
Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСперсональных данных, утв. ФСТЭК России 14 февраля 2008 г.
Сайт ФСТЭК. Банк данных угроз безопасности информации.
Под актуальными угрозамибезопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных,а также иные неправомерные действия.
Угрозы 1-го типа актуальныдля ИСПДн, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных(недекларированных) возможностей в системном программном обеспечении, используемом в системе.
Угрозы 2-го типа актуальныдля ИСПДн, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных(недекларированных) возможностей в прикладном программном обеспечении, используемом в системе.
Угрозы 3-го типа актуальныдля ИСПДн, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении системы.
3. Сколько установлено уровней защищенности персональных данных. Назовите исходные данные необходимые для определения уровня защищенности перс. данных.
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Ответ: 4 уровня защищенности.4 – самый низкий, 1 – самый высокий.
Требования к защите персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ
№1119 от 01.11.2012 г. )Документ устанавливает требованияк защите персональных данных при их обработке в ИСПДн и уровни защищенностиПДн.
• Безопасность персональных данных обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 ФЗ «О персональных данных».
•Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в ИСПДн.
Требования к 4-му уровню
а)организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в них;
б)обеспечение сохранности носителей персональных данных;
в)утверждение руководителем оператора документа, определяющий перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных (трудовых) обязанностей;
г)использование СЗИ, прошедших процедуру оценки соответствия требования законодательства в области обеспечения безопасности информации в случае, если применение таких средств необходимо для нейтрализации актуальных угроз.
Требования к 3-му уровнюДля обеспечения 3-го уровня защищенностиперсональных данных помимо требований, предъявляемых к 4 уровню, необходимо выполнение следующих требований:
д)необходимо назначить должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе.
Требования к 2-му уровнюДля обеспечения 2-го уровня защищенностиперсональных данных помимо требований, предъявляемых к 3 и 4 уровням, необходимо выполнение следующих требований:
е)необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно должностным лицам (работникам) оператора или уполномоченного лица, которым эти сведения необходимы для выполнения служебных (трудовых) обязанностей.
Требования к 1-му уровнюДля обеспечения 1-го уровня защищенностиперсональных данных помимо требований, предъявляемых ко 2, 3 и 4 уровням, необходимо выполнение следующих требований:
ж)автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в ИСПДн;
з)создание структурного подразделения, ответственного за обеспечение безопасности ПДн в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению безопасности ПДн.
Исходные данные (ПП 1119): 1)Объем обрабатываемых ПДн (больше - меньше 100 тыс.).
Типы актуальных угроз (НДВ в системном ПО; НДВ в прикладном ПО (испльзуемом в ИС); не связанные с наличием НДВ в системном и прикладном ПО, используемом в ИС).
4. Сколько установлено классов защищенности для государственных информационных систем. От каких параметров зависит класс защищенности государственной информационной системы.
4 класса защищенности. 4 – самый низкий, 1 – самый высокий.
Параметры: 1) Масштаб (федеральный/региональный/объектовый). 2) Уровень значимости информации.
Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый). Наибольший уровень защищенности в ГИС первого класса, наименьший в четвертом классе.
Уровень значимостиинформации определяется степенью возможного ущербадля обладателя информации и (или) оператора ИС от нарушения конфиденциальности, целостностиили доступностиинформации.
Степень ущерба: высокая– если в результате нарушения конфиденциальности, целостности или доступности возможны существенные негативные последствияв социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции.
Степень ущерба: средняя– если в результате нарушения конфиденциальности, целостности или доступности возможны умеренные негативные последствияв социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) не могут выполнять возложенные хотя бы одну возложенную на них функцию.
Степень ущерба: низкая– если в результате нарушения конфиденциальности, целостности или доступности возможны незначительные негативные последствияв социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью (или с привлечением дополнительных сил и средств).
5 .Периодичность проведения оценки эффективности мер по обеспечению безопасности персональных данных, реализованных в ИСперсональных данных. Кто имеет право проводить такую оценку.
Контроль выполнения настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юр. лиц и индивидуальных предпринимателей, имеющих лицензиюна осуществление деятельности по технической защите конфиденциальной информации.
Контроль проводится не реже одного раза в три годав сроки, определяемые оператором. Периодичность – не реже 1 раза в 3 года (Пр-21).
Оценка эффективностиреализованных в системе защиты мер по обеспечению безопасности ПДн проводится оператором самостоятельно или с привлечением на договорной основе юр. лиц или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже 1 раза в 3 года.Меры по обеспечению безопасности персональных данных в государственных информационных системахпринимаются в соответствии с требованиями о защите информации, не содержащей гос. тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий. (см. Приказ ФСТЭК №17 от 11.02.13г.)