Нормативно-методическая база.
Разработка и внедрение комплекса мер по защите персональных данных в государственном казенном учреждении здравоохранения
Система защиты персональных данных обрабатываемых в информационных системах персональных данных должна включать в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных. Постановление определяет актуальные угрозы безопасности персональных данных… Читать ещё >
Нормативно-методическая база. Разработка и внедрение комплекса мер по защите персональных данных в государственном казенном учреждении здравоохранения (реферат, курсовая, диплом, контрольная)
Федеральный закон Российской Федерации от 19 декабря 2005 г. N 160-ФЗ «О Ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Был принят Государственной Думой 25 ноября 2005 года и Одобрен Советом Федерации 7 декабря 2005 года.
Действие конвенции направлено на обеспечение прав и основных свобод физических лиц, в том числе права на неприкосновенность частной жизни, при автоматизированной обработке персональных данных независимо от национальности, места проживания и иных обстоятельств. Конвенция содержит нормы, регулирующие трансграничную передачу персональных данных.
Конвенцией определяются принципы сбора, обработки, хранения и использования информации личного характера, а также меры по защите лиц, к которым относится соответствующая информация, от ее незаконного использования. В соответствии с конвенцией возникло обязательство привести в соответствие область защиты прав субъектов персональных данных по европейским законам. Что бы соответствовать европейским стандартам в РФ был принят Федеральный закон № 152-ФЗ от 27.07.2006 г. «О персональных данных».
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (в редакции N 261-ФЗ от 25.07.2011).
Федеральный закон «О персональных данных» № 152-ФЗ вступил в действие 27 июля 2006 г. с целью привести Российское законодательство в соответствие с Конвенцией «О защите физических лиц при автоматизированной обработке персональных данных», принятой Советом Европы в 1981 г. (ETS № 108) и реализовать конституционные права на неприкосновенность частной жизни и свободу информации каждого гражданина России. Область действия Закона распространяется на физические и юридические лица, государственные органы всех уровней, занимающиеся управлением, накапливанием, учетом, передачей и обработкой персональных данных клиентов, сотрудников, партнеров и т. п.
Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
- 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
- 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
- 3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
- 4) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации.
Любые действия (операции) связанные с персональными данными представляют обработку ПДн, которая включает в себя сбор данных, а также их классификацию, сбор и сохранность, корректировку (изменение, в том числе обновление), распространение (передачу), использование, нивелирование, ограничение использования ПДн, уничтожение.
По 152-ФЗ на операторов персональных данных возложен ряд обязательных требований. В соответствии с которыми оператор обязуется проводить организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним от нарушителей, заинтересованных в получении доступа к таким данным. Также, оператор в обязательном порядке должен уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о намерении осуществлять обработку персональных данных, непосредственно перед этапом обработки. Оператор до начала обработки персональных данных обязан получить согласие на обработку их персональных данных у субъектов персональных данных. Вместе с тем оператор обязуется предоставить все имеющиеся у него сведения о субъекте персональных данных, целях, условиях обработки персональных данных, способах защиты персональных данных, по просьбе субъекта.
Информационная система персональных данных представляет собой такую информационную систему, которая содержит всю совокупность персональных данных, содержащихся в информационной базе, технических средств, которые позволяют осуществлять обработку подобных персональных данных с использованием автоматизированных средств или без использования таковых, также совокупность информационных технологий.
Основным нормативно-правовым актом об обеспечении безопасности персональных данных является Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Данное постановление отменило Постановление Правительства «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2008 г. N 781.
В соответствии с новым постановлением, требования по защите персональных данных в ИСПДн зависят от четырех уровней защищенности ИСПДн (вместо четырех классов информационных систем персональных данных, классификация которых закреплена в Трехглавом приказе, который на данный момент не утратил силу) необходимость обеспечения которых зависит от того, угрозы какого из трех типов угроз актуальны, а также от категории обрабатываемых персональных данных.
Все ИСПДн по категориям обрабатываемых данных делятся на:
ИСПДн-С — обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
ИСПДн-Б — обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта) ИСПДн-И — обрабатывающие иные персональных данных.
Кроме того отдельно выделяют системы, обрабатывающие общедоступные персональные данные (данные субъектов персональных данных, полученные только из общедоступных источников) — ИСПДн-О Также отдельно выделены информационные системы, обрабатывающие персональные данные только сотрудников оператора.
Система защиты персональных данных обрабатываемых в информационных системах персональных данных должна включать в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах персональных данных. Постановление определяет актуальные угрозы безопасности персональных данных представляющие собой совокупность факторов и условий, которые создают актуальную опасность несанкционированного доступа, также доступа случайного к персональным данным при их обработке в информационной системе, в результате которого персональные даннные могут быть уничтожены, изменены, блокированы, копированы, переданы злоумышленнику, или иные подобные неправомерные действия.
В постановлении приведены три типа актуальных угроз.
- — 1 тип. Угрозы, связанные с наличием недокументированных (не декларированных) возможностей в системном программном обеспечении (операционная система)
- — 2 тип. Угрозы, связанные с наличием недокументированных (не декларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
- — 3 тип. Угрозы, не связанные с наличием недокументированных (не декларированных) возможностей
При этом в документе не дается указаний на способы выявления не декларированных возможностей программного обеспечения.
На основании указанных выше критериев определяется уровень защищенности ИСПДн.
Проецируя классификацию информационных систем персональных данных на уровни защищенности, получим таблицу:
Таблица 1. Классификация ИСПДн по уровням защищенности.
Категория ПДн и количество. | Актуальные угрозы первого типа. | Актуальные угрозы второго типа. | Актуальные угрозы третьего типа. | |
Специальные категории ПДн. более чем 100 000 субъектов ПДн ,. не являющихся сотрудниками оператора. | УЗ1. | УЗ1. | УЗ2. | |
Специальные категории ПДн. сотрудников оператора или. специальные категории ПДн. менее чем 100 000 субъектов ПДн,. не являющихся сотрудниками оператора. | УЗ1. | УЗ2. | УЗ3. | |
Биометрические ПДн. | УЗ1. | УЗ2. | УЗ3. | |
Иные категории ПДн. более чем 100 000 субъектов ПДн,. не являющихся сотрудниками оператора. | УЗ1. | УЗ2. | УЗ3. | |
Иные категории ПДн данных сотрудников оператора или. иные категории ПДн. менее чем 100 000 субъектов ПДн,. не являющихся сотрудниками оператора. | УЗ1. | УЗ3. | УЗ4. | |
Общедоступные ПДн. более чем 100 000 субъектов ПДн,. не являющихся сотрудниками оператора. | УЗ2. | УЗ2. | УЗ4. | |
Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн,. не являющихся сотрудниками оператора. | УЗ2. | УЗ3. | УЗ4. | |
Но, с принятием нового постановления № 1119 остались в «подвешенном» состоянии документы, такие как:
Приказ № 58 ФСТЭК России о методах и способах защиты информации в ИСПДн (заменен приказом № 21);
Методика определения актуальных угроз безопасности персональных данных;
Методические рекомендации по обеспечению безопасности ПДн с помощью крипто средств;
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств Но, так как сами акты не отменены, ими все еще можно руководствоваться, так альтернативы им пока еще нет.
Приказ ФСТЭК России от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» № 21. Был зарегистрирован в Минюсте РФ 14 мая 2013 г. и вступил в силу 2 июня 2013 г.
Новый приказ отменяет Приказ ФСТЭК России от 5 февраля 2012 г. «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» № 58.
В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Настоящий документ предназначен для выбора операторами информационных систем и (или) уполномоченными лицами организационных и технических мер по обеспечению безопасности персональных данных и их реализации в системе защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 в соответствии с установленным уровнем защищенности персональных данных.
Выбранные и реализованные в системе защиты персональных данных организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах должны обеспечивать нейтрализацию актуальных угроз безопасности персональных данных, определенных в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
Для проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством Российской Федерации могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах применяются средства защиты информации, прошедшие в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
Оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах для нейтрализации актуальных угроз безопасности персональных данных осуществляется оператором (уполномоченным лицом) в Ходе проводимого им контроля за выполнением Требований к защите при их обработке в иных информационных системах персональных данных утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
По решению оператора (уполномоченного лица) оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах может осуществляться в рамках аттестации информационной системы.
Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий.