Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Потенциально возможные угрозы и каналы утечки информации
|
|
Целью обеспечения безопасности объектов защиты является организация от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн. Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных. Состав объектов защиты представлен в Перечне персональных данных, подлежащих защите. Состав ИСПДн подлежащих защите, представлен в Перечне ИСПДн, утвержденном директором.
Безопасность объектов информатизации достигается противодействием всем видам угроз, внешним и внутренним, умышленным и непреднамеренным, минимизацией ущерба от возможной реализации УБПДн, исключением несанкционированного, в том числе случайного, доступа к объектам защиты. ПДн подлежат защите в контролируемой зоне и при передаче по каналам связи за ее границы.
Система защиты персональных данных состоится на основании:
· Отчета о результатах проведения внутренней проверки;
· Перечня персональных данных, подлежащих защите;
· Акта классификации информационной системы персональных данных;
· Частной модели угроз безопасности персональных данных;
· Положения о разграничении прав доступа к обрабатываемым персональным данным;
В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:
· антивирусные средства для рабочих станций пользователей и серверов;
· средства межсетевого экранирования;
· средства криптографической защиты информации, при передаче защищаемой информации по открытым каналам связи.
Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами, прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:
· управление и разграничение доступа пользователей;
· регистрацию и учет действий с информацией;
· обеспечение целостности данных;
· обнаружение вторжений.
Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены главным врачом Учреждения или лицом, ответственным за обеспечение защиты ПДн.
Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД), а также специализированных средств защиты от НСД к информации. Так же может быть внедрено специальное техническое средство или их комплекс осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
СЗПДн строится на основании регулярных внутренних проверок состава ПДн, соответствия уровня защиты составу ПДн, выявления угроз безопасности. Для достижения необходимого уровня безопасности выполняются плановые обучающие, административные и технические мероприятия. В составе СЗПДн действуют следующие стандартные подсистемы:
· управления доступом, регистрации и учета;
· обеспечения целостности и доступности;
· антивирусной защиты;
· межсетевого экранирования;
· анализа защищенности;
· обнаружения вторжений;
· криптографической защиты.
Требования к персоналу по обеспечению защиты ПДн
Все сотрудники, являющиеся пользователями ИСПДн, знают и выполняют установленные правила доступа к защищаемым объектам, соблюдают режим безопасности.
При вступлении в должность нового сотрудника организовано его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн. Проводится обучение навыкам санкционированного использования ИСПДн.
Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами, третьим лицам. При работе с ПДн обеспечивается перекрывание просмотра ПДн третьими лицами.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн. По выявленным событиям организуется немедленное реагирование на угрозы безопасности ПДн.
|
|