Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Энциклопедия решений. Обеспечение безопасности персональных данных при их обработке в информационных системах (декабрь 2024)
Организационно-правовые меры оператора по обеспечению безопасности персональных данных при их обработке в информационных системах
Согласно ч. 1 ст. 19 Закона N 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Особенности защиты персональных данных при автоматизированной обработке установлены Требованиями к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.2012 N 1119 (далее - Требования).
Меры по обеспечению безопасности персональных данных, реализуемых в рамках защиты персональных данных с учетом актуальных угроз безопасности и применяемых информационных технологий.
|
N |
Перечень мер |
Цель реализации |
|
1 |
идентификация и аутентификация субъектов доступа и объектов доступа |
обеспечение присвоения субъектам и объектам доступа уникального признака (идентификатора), сравнения предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверка принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности) |
|
2 |
управление доступом субъектов доступа к объектам доступа |
обеспечение управления правами и привилегиями субъектов доступа, разграничения доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также контроля за соблюдением этих правил |
|
3 |
ограничение программной среды |
обеспечение установки и (или) запуска только разрешенного к использованию в информационной системе программного обеспечения или исключение возможности установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения |
|
4 |
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные |
исключение возможности несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированного использования съемных машинных носителей персональных данных |
|
5 |
регистрация событий безопасности |
обеспечение сбора, записи, хранения и защиты информации о событиях безопасности в информационной системе, а также возможности просмотра и анализа информации о таких событиях и реагирования на них |
|
6 |
антивирусная защита |
обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации |
|
7 |
обнаружение (предотвращение) вторжений |
обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия |
|
8 |
контроль (анализ) защищенности персональных данных |
обеспечение контроля уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных |
|
9 |
обеспечение целостности информационной системы и персональных данных |
обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных |
|
10 |
обеспечение доступности персональных данных |
авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы |
|
11 |
защита среды виртуализации |
исключение несанкционированного доступа к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействия на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям |
|
12 |
защита технических средств |
Исключение несанкционированного доступа к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы, и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей |
|
13 |
защита информационной системы, ее средств, систем связи и передачи данных |
обеспечение защиты персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных |
|
14 |
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них |
обеспечение обнаружения, идентификации, анализа инцидентов в информационной системе, а также принятия мер по устранению и предупреждению инцидентов |
|
15 |
управление конфигурацией информационной системы и системы защиты персональных данных |
обеспечение управления изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирования этих изменений |
Тема
См. также
Формы документов
Правила обработки персональных данных в информационных системах персональных данных
Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
"Энциклопедия решений. Персональные данные" - это совокупность уникальных актуализируемых аналитических материалов по наиболее популярным темам в сфере обработки персональных данных
Каждый материал блока подкреплен ссылками на нормативные правовые акты, учитывает сложившуюся судебную практику и актуализируется по мере изменения законодательства
См. информацию об обновлениях Энциклопедии решений
См. содержание Энциклопедии решений. Персональные данные
При подготовке информационного блока "Энциклопедия решений. Персональные данные" использованы авторские материалы, предоставленные Л. Амировой, И. Разумовой
См. информацию об авторах