Порядок организации защиты персональных данных. Организационно-распорядительная документация

5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. (Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 настоящее постановление признано утратившим силу.)

При защите персональных данных должно быть обеспечено:

1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующих прав;
2. своевременное обнаружение фактов НСД к ПД;
3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;
4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.
5. постоянный контроль уровня защищенности персональных данных[18].

Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

1. оценка обстановки;
2. обоснование требований безопасности ПД и постановка задач защиты;
3. разработка замысла обеспечения безопасности;
4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;
5. решения вопросов управления защитой;
6. реализация замысла защиты;
7. планирование мероприятий по защите;
8. создание СЗПД;
9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.

Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.

5.2. Оценка обстановки и формирование замысла защиты персональных данных

Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация, которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

1. Анализ информационных ресурсов:
   • Определение состава, содержания и местонахождения ПД, подлежащих защите;
   • Категорирование ПД;
   • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.
2. Анализ уязвимых звеньев и возможных угроз безопасности ПД:
   • Оценка возможности физического доступа к ИСПД;
   • Выявление технических каналов утечки информации;
   • Анализ возможностей программно-математического воздействия на ИСПД;
   • Анализ возможностей электромагнитного воздействия на ПД.
3. Оценка ущерба от реализации угроз
   • Оценка непосредственного ущерба от реализации угроз;
   • Оценка опосредованного ущерба от реализации угроз;
4. Анализ имеющихся в распоряжении мер и средств защиты ПД:
   • от физического доступа;
   • от утечки по техническим каналам утечки информации;
   • от НСД;
   • от программно-математических воздействий;
   • от электромагнитных воздействий.

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

• нанесения вреда здоровью субъекта ПД;
• незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
• потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;
• нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных, и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.

Рис. 5.1. Формирование замысла защиты персональных данных

К основным вопросам управления относятся:

1. распределение функций управления доступом к данным и их обработкой между должностными лицами;
2. определение порядка изменения правил доступа к защищаемой информации;
3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
5. определение порядка проведения контрольных мероприятий и действий по его результатам.

Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных.