Состав мероприятий по защите персональных данных

Состав мероприятий по защите персональных данных

Цель работы: провести мероприятия по защите персональных данных,освоить встроенные функции защиты, предлагаемые MicrosoftОffice.

Оборудование:персональный компьютер с ОСWindows 8.1

Индивидуальное задание:создать учетную запись с разграничением доступа, освоить встроенные функции защиты, предлагаемые MicrosoftОffice.

Теоретические сведения

Безопасность персональных данных– состояние защищенности персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке в информационных системах персональных данных.

Блокирование персональных данных– временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Вспомогательные технические средства и системы–технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.

Доступ к информации– возможность получения информации и ее использования.

Защищаемая информация–информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация–присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Несанкционированный доступ (несанкционированные действия)–доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Перехват (информации) ‑неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

При включении компьютера после загрузки операци­онной системы на экране появляется приветствие, после чего предлагается выбрать режим работы (имя пользователя, учетная запись или аккаунт пользователя) под которым вы войдете в сеанс работы с системой. Если компьютер входит в состав домена с большим количеством пользова­телей, то вместо экрана «Приветствия» по­явится экран, где необходимо ввести назва­ния учетной записи в системе и пароль.

Правильно составленный пароль должен иметь не менее восьми символов в длину, должен содержать строчные и прописные символы, цифры и различные метасимволы, чтобы иметь гарантию, что пароль всегда будет уникальным.

Для успешного функцио­нирования операционной системы должна быть введена определенная сис­тема безопасности, базирующаяся на системе прав доступа.

Чтобы каждый раз при создании нового пользователя не указывать комбинации похожих прав пользователей, в системе существует несколько готовых прав для пользователей, пригодных для реального использования системными администраторами и отдельными пользователями, называемых группами. В WindowsXP существует 10 основных групп пользователей:

Администраторы (Administrators) – пользователи имеют полный и неограниченный доступ к компьютеру;

Операторы сохранения и резервирования данных (BackupOperator) – пользователи могут заниматься сохранением информации и ее резервированием на будущее;

Гости (Guests) – пользователи имеют доступ аналогичный группе Пользователи, но несколько более урезанный, по умолчанию группа отключена;

Операторы сетевой конфигурации (NetworkConfigurationOperators) – пользователи могут иметь некоторые административные привилегии для управления сетевыми возможностями системы;

Опытные пользователи (PowerUsers) – пользователи, входящие в
группу, имеют практически те же права, что и администраторы системы,
но только с некоторыми ограничениями;

Replicator – используется для организации работы системы в домене, а именно для репликации файлов в домене;

Пользователи (Users) – наиболее популярная группа, в которую входят простые пользователи; все пользователи, которые работают в системе, должны входить в эту группу, т.к. они защищены от случайного уничтожения информации или изменения системы;

Пользователи, осуществляющие отладку (DebuggerUsers) – пользовате­ли имеют право на отладку программ и про­цессов на данной машине, локально или удаленно;

Помощники (HelpServicesGroup) – группы пользователей для помощи и Центра Поддержки.

Ход работы

Зайдем в панель управления и выберем «Учетные записи пользователей».

Далее «Изменение учетной записи в окне. Параметры компьютера».

«Пользователи» и «Добавить пользователя».

Выберем «Вход без учетной записи Майкрософт».

«Локальная учетная запись».

И напишем имя нового пользователя. Настоятельно рекомендую всегда создавать на латинице! Жмем «Далее».

Как видим, добавился новый пользователь.

Теперь нам нужно создать пароль для нашей учетной записи (администратора).

Можно создать прямо в этом же окне, но в этом случае система потребует от нас создать подсказку для пароля. Если вас это устраивает, то создаем пароль тут.

Если же вам не нужны подсказки, возвращаемся в «Учетные записи пользователей» и выбираем «Управление другой учетной записью».

Выбираем себя и в следующем окне «Создать пароль».

Прописываем пароль два раза и снова «Создать пароль».

Теперь наша учетная запись защищена паролем!

При загрузке операционной системы у вас появится окошко для ввода пароля или выбора другого пользователя.

Читайте также:  Тинькофф просрочка минимального платежа

Закрываем доступ к файлам и папкам.

Выберем папку, которой хотим закрыть доступ для остальных пользователей.

Нажмем правой кнопкой мышки по ней и выберем «Свойства».

Вкладка «Безопасность» и пункт «Изменить».

Далее нам необходимо добавить в этот список пользователей, которым закрываем доступ. Жмем «Добавить».

В новом окошке прописываем имя пользователя и «Ок».

Теперь выделяем его из списка и ставим галочки в колонке «Запретить».

Жмем «Применить» и «Ок».

Давайте проверим, что у нас получилось.

Зайдем под учетной записью нового пользователя и попробуем открыть папку, на которую поставили запрет.

Система выдаст нам такое сообщение.

И если мы нажмем продолжить, то от нас потребуют ввести пароль администратора

Применение методов шифрования в настоящее время имеет невысокую популярность. Это происходит за счет внедрения в используемые программы функций защиты. Например, MicrosoftОffice имеет функцию защиты, ограничивающую или запрещающую проведение операций редактирования или форматирования документа путем ограничения параметров рецензирования.

Для активации функции защиты документа в разделе Рецензирование открыть вкладку Защитить документ, и, следуя рекомендациям, осуществить ограничение на форматирование и редактирование.

Ход работы:

1. Создайте учетную запись пользователя с правами администратора.

2. Создайте учетную запись пользователя с ограниченными правами.

3. Измените изображение учетной записи.

4. Результат работы покажите преподавателю.

5. Удалите учетную запись.

6. Осуществить ограничение на форматирование и редактирование.

Практическая работа №29

Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов (88‰).

Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого.

Папиллярные узоры пальцев рук — маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Читайте также:  Может ли муж забрать ребенка

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Различным организациям требуется знать персональные сведения о собственных сотрудниках, они уполномочены запрашивать свои кадры об их предоставлении. В то же время сами работники со своей стороны имеют право ожидать, что далее эти сведения никуда не поступят, и они останутся неизвестны как другим сотрудникам компании помимо тех, кто осведомлен о них по должности, так и снаружи организации. С целью сохранности конфиденциальности по данному направлению в различных структурах осуществляются мероприятия по защите персональных данных.

Мероприятия по защите персональных данных

Мероприятия данного рода — это любые действия в рамках организации, нацеленные на то, чтобы сведения личного характера относительно сотрудников могли знать лишь те, у кого есть такой допуск, и никто более, а эти лица в свою очередь никому их не разглашали.

Среди мероприятий по защите персональных данных различают административные (или организационные), технические (программные и аппаратные), физические и контролирующие.

Мероприятия по защите персональных данных (или ПНД) также классифицируются как внутренние и внешние. Первые из них адресованы кадрам самой компании и имеют целью обеспечить, чтобы лица, входящие в ее персонал, либо не получили доступ к тем сведениям, к которым у них нет допуска, либо не раскрыли такую информацию, если у них допуск есть. Меры внешнего характера нацелены на избежание того, чтобы информацию получили лица вне организации.

В состав мероприятий внутреннего характера, нацеленных на сохранение персональных данных сотрудников организации, входит прежде всего отправка в Роскомнадзор, являющийся уполномоченной организацией, извещения о том, что компания представляет собой оператора персональных данных (сокращенно ПДн), иначе говоря, она выполняет по отношению к подобной информации такие процедуры, как сбор, хранение и обработка.

Также к таким мероприятиям относится создание пакета документации внутреннего характера, которая применяется при операциях с ПДн и последующее ее внедрение в деятельность этой структуры, в числе следующих бумаг:

  • положение, о личных данных, это документ общего характера, где описывается в целом политика компании в данной сфере;
  • список лиц, у которых есть допуск, дающий им право присутствовать в таких помещениях;
  • приказ о назначении лица, которое будет нести ответственность за обработку данных
  • положение о мерах технического, организационного и правового характера, нацеленных на защиту ПДн от несанкционированного доступа к ним (случайного либо намеренного и неправомерного характера), в таком положении прописываются точные меры, осуществляемые для решения таких задач, в том числе в нем может упоминаться:
  • локальные правовые акты, где описываются действия, нацеленные на выявление и устранение как нарушений в области защиты персональных данных, так и их последствий, в том числе: инструкция об осуществлении расследования в организации относительно нарушения законов в данной сфере;
  • журнал подготовки по дисциплине безопасность ПДн и последующей проверки по нему знаний сотрудников с соответствующей аттестацией;
  • журнал проверок с помощью антивирусов и определения уровня работы с такого рода сведениями;
  • должностные инструкции для кадров, которые в своей деятельности знакомятся с персональными данными других работников организации;
Читайте также:  Образование 9 классов как называется для трудовой

Помимо этого организуется пропускной режим для контроля доступа в помещения, где находятся носители персональных данных. Определяется перечень документов, в которых на данном предприятии могут содержаться персональные данные (в остальных их быть не может). В организации создают закрытый список сотрудников организации, которым разрешается взаимодействовать с персональными данными, в том числе назначают лиц, которые осуществляют процедуры по сохранению секретности таких ПДн.

Сотрудники на предприятии знакомятся с существующими нормами в сфере защиты ПДн, в частности все лица, которые располагают доступом к таким сведениям, должны обладать требуемым объемом знаний в отношении правовых норм по данному вопросу. Проводится регулярная проверка наличия у сотрудников знаний, приобретенных ими в ходе инструктажа, осуществляемого в соответствии с предыдущим пунктом, в также исполнения ими требований. Кроме того, выполняют профилактическую работу с персоналом, нацеленная на предотвращение раскрытия ими ПДн;

Рабочие места на предприятии размещают с таким расчетом, чтобы затруднить сотрудникам случайный, равно как и намеренный доступ к персональным данным. Для защиты сведений используют программные средства, в том числе пароли и антивирусы. Сами ПДн сохраняют отдельно от иной информации. Наконец, для сведений, необходимость в которых отпала, определяют порядок осуществления их уничтожения.

Мероприятия внешнего характера включают пропускной режим на входе в предприятие в целом (а не конкретно в его помещения, где содержатся ПНД), а также использование технических охранных средств, а также ПО для того, чтобы обезопасить нужную информацию от доступа снаружи.

Среди субъектов, участвующих в деятельности по данному направлению на предприятии, следует выделить, прежде всего, самих специалистов по безопасности данных, которые как разрабатывают документу по этому профилю, так и осуществляют их реализацию.

Кроме того, необходимо упомянуть руководителей предприятия, в том числе генерального директора, который осуществляет общее руководство данным направлением, а также принимает своими приказами и распоряжениями локальные правовые акты и назначает людей на должности, связанные с охраной ПДн;

Помимо этого, по данному направлению задействуются лица из упомянутого выше закрытого списка сотрудников, получающих доступ к таким сведениям, на практике допуск к ПНд обычно предоставляется:

  • специалистам по кадрам;
  • сотрудникам бухгалтерского отдела;
  • секретарям, занятым делопроизводством;
  • лицам, которые осуществляют заключение трудовых соглашений с соискателями;
  • юристам;
  • инженерам;
  • программистам.

Что такое план мероприятий

План мероприятий по защите персональных данных — это список действий по данному профилю.

План мероприятий по защите персональных данных принимается в виде локального правового акта по организации. Его оформляет руководитель этой структуры своим приказом. Непосредственную разработку документа осуществляют специалисты в данной сфере, после чего он поступает к главе организации на утверждение. План имеет форму таблицы. Сверху находится шапка с реквизитами. Далее идет название документа. Ниже сама таблица с тремя графами.

В первой содержится наименование мероприятий (по данному профилю, то есть нацеленных на защиту персональных данных), в частности это могут быть:

  • проведение инструктажа;
  • обследование информационных систем;
  • организация охраны;
  • и т.п.

Во второй указывается лицо, ответственное за соответствующее мероприятие.

Наконец, в третьей приводится срок его выполнения (если это либо отдельное мероприятие, либо длительная, но одноразовая процедура) или его регулярность, если такое действие является повторяющимся.

Образец для внутренних проверок

Этот документ, также как и предыдущий выполняется в табличной форме. Образец плана внутренних проверок режима защиты персональных данных имеет определенную структуру.

Сверху располагается шапка, в которой первое слово — утверждено либо утверждаю. Далее в этой шапке идет название должности утверждающего лица, это может быть руководитель государственного ведомства, а также генеральный директор компании, потом следует его фамилия, имя и отчество, еще ниже идет дата составления документа.

Следом по центру располагается обозначение самого документа: в первой строчке — план внутренних проверок, под ней — уточнение — «режима (либо состояния) защиты персональных данных в такой-то организации».

Еще ниже идет основное содержание документа, который выполняется в виде таблицы с тремя графами.

Первая имеет название «Мероприятие», в этом столбце указываются сами мероприятия;

Вторая обозначается как срок/периодичность, соответственно в ней приводятся либо даты, когда произойдет та или иная процедура, либо их регулярность (они могут быть ежедневными, еженедельными, ежемесячными и ежегодными);

Наконец, у третьей колонки обозначение — ответственный/исполнитель, там пишутся ФИО лица, отвечающего за мероприятие, которое указано в той же строчке в первом столбце.

Таким образом, данный документ сходен с описанным в предыдущем разделе.

Подробнее о проверках режима защиты персональных данных смотрите ниже на видео.

Ссылка на основную публикацию
Со скольки можно работать детям в россии
Многие успешные люди на Западе рано начали работать (см. «Сколько миллиардеры зарабатывали в детстве»). Теперь они с гордостью рассказывают о...
Сколько стоит подключение воды к частному дому
Провести воду в частный дом в настоящее время не проблема. Технологии не стоят на месте, и большой выбор сантехнических товаров...
Сколько стоит получить инн
В это статье мы расскажем, что такое ИНН и для чего он нужен, как получить ИНН через МФЦ «Мои документы»...
Со скольки лет продают пневматику
Правовой форум: ПДД, ГИБДД, ДТП Объединенный — Выбор и приобретение — Общие вопросы — Гараж — Страхование — Музыка в...
Adblock detector