10:37 14-05-2014
Я тут чисто для себя по аналогии буду увязывать всякое про персональные данные, первая часть балета
Сначала я определю термины и сокращения; "объявим переменные", а в примечаниях их расшифрую.
Персональные данные (ПДн) - любая информация, с помощью которой можно определить физлицо, или однозначно отнести эту информацию к физлицу (1).
Оператор ПДн - юрлицо, занимающееся сбором и обработкой ПДн (2).
ИСПДн - информационная система персональных данных (3).
ТЗИ - техническая защита информации (4).
----------------------------------
1. Паспорт, медкнижка, снилс, всякие договора с указанием фио и адреса, кредитные договора - это всё персональные данные.
Особенно трепетно закон относится к персональным данным, которые хранятся в тайне (медицинские диагнозы, вероисповедание и т.п.)
2. В нашем случае за оператора условно считаем семью. Допустим "мама-папа-я", с приходящими дедушками-бабушками, родственниками и знакомыми.
ПДн оператора - все документы, хранящиеся дома (свидетельства о рождении, аттестаты, медкнижки, договора и т.д.)
3. У многих из дома организован доступ к информационным системам (ИС), хранящим ПДн (мобильный банк, разнообразные личные кабинеты с привязкой кредитных карт, и т.д.). Это и называется ИСПДн.
4. В случае с компом это будет пароль, антивирус (с подсистемой обнаружения вторжений), разграничение прав доступа к информационным системам (у каждого своя учётка, свой почтовый ящик, свой пароль на вконтакт и т.д).
----------------------------------
Итого по первому этапу: у нас есть ПДн, ИСПДн, оператор ПДн.
----------------------------------
Второй этап.
Необходимо:
- организовать работу с ПДн;
- разработать и создать систему технической защиты информации.
Чтобы это сделать, нужно назначить ответственных.
Каждый должен понимать, за что отвечает, и что ему делать.
Поэтому:
- назначаем ответственного за ПДн (т.е. за обработку, хранение, целостность, передачу третьим лицам, уничтожение);
- составляем перечень персональных данных.
- определяем круг лиц, допущенных к обработке ПДн.
- назначаем ответственного за техническую защиту информации;
- назначаем администратора безопасности.
Применительно к семье:
Ответственный за ПДн - жена.
- составляет перечень ПДн, на основании которого документы попадают в "главную папку" (определяет, какие типы документов храним, что содержится в этих документах).
- организует хранение (допустим, в шкафу)
- определяет порядок доступа (в папку с документами лазит только она и допущенные ею лица).
- осуществляет периодический контроль (перебирает папку с бумажками)
- уничтожение (выкидывает ненужные бумаги и тд).
- определяет лиц, допущенных к обработке ПДн, создаёт "матрицу доступа" (мужу можно всё, детям нельзя вообще ничего, сестре можно брать только доверенность на машину, бабушке - только медкнижку на детей, и т.д.).
- определяет нештатные ситуации, возникающие в ходе обработки ПДн, и действия в случае их возникновения ("сына, возьми в шкафу загранпаспорт, отвези его папе, и больше ничего не трогай, а то получишь").
- расследует инциденты, связанные с безопасностью ПДн и несанкционированным доступом к ним ("кто лазил в шкаф и перекопал все бумаги, у меня тут всё было разложено по порядку, где страховка на машину, сволочи").
Ответственный за ТЗИ - муж.
- приобретает техническое оборудование и программное обеспечение,
- контролирует действия администратора безопасности,
- проверяет уровень защищённости технических средств,
- осуществляет контроль эффективности применяемых средств защиты.
и т.д.
Может совмещать функции ответственного за ТЗИ и администратора безопасности, но в нашем случае мы эти функции разделим.
Администратор безопасности - сын.
- знает перечень технического и программного обеспечения в ИСПДн.
- знает, какие средства защиты установлены, и настраивает их (настраивает правила на роутере, обновляет антивирус, файрвол, обновляет ПО);
- выполняет мероприятия по допуску к работе (создаёт учётные записи, раздаёт пароли), хранит пароли в тайне; знает и выполняет правила парольной защиты;
- следит за попытками несанкционированного доступа и несанкционированных изменений в программно-аппаратной конфигурации технических средств (кто-то удалил антивирус с ноутбука: узнать кто, зачем, когда, и рассказать папе; кто-то левый подключился к вайфаю, и т.д.);
- выполняет процедуру резервного копирования на компах; знает порядок создания, учёта, хранения и использования резервных копий.
- восстанавливает программную среду и настройки СЗИ и ИСПДн при сбоях.
- периодически тестирует средства ТЗИ с помощью специальных средств анализа защищенности (тыкает сниферы, сканеры портов, пытается влезть на роутер снаружи, и т.д.).
Итого по первым двум этапам:
- перечень ПДн составили, часть документов отнесли к сведениям, составляющим личную тайну, организовали хранение и доступ к персональным данным, определили организационную структуру, назначили ответственных, распределили роли, поставили задачи, обязали их выполнять, формализовали их в виде должностных инструкций.
В случае отсутствия администратора безопасности можно договориться о возмездном (в этом случае требуется лицензия) либо безвозмездном оказании услуг сторонними организациями или индивидуальными предпринимателями. (Например: попросить соседа установить и настроить антивирус).
Дальше будем делать
- модель угроз и нарушителя безопасности,
- классифицировать ИСПДн по уровню защищённости,
- организовывать и проводить работы по обеспечению безопасности ПДн (в ИСПДн).
- порядок контроля уровня защищенности,
- порядок резервирования,
- правила парольной и антивирусной защиты
- реагирования на внештатные ситуации,
- порядок действий при трансграничной передаче данных (например, передаём копию свидетельства о рождении и доверенность, отправляя ребёнка в отпуск к родственникам на украине)
- в идеале - ещё и контроль лояльности (молилась ли ты на ночь).
Персональные данные (ПДн) - любая информация, с помощью которой можно определить физлицо, или однозначно отнести эту информацию к физлицу (1).
Оператор ПДн - юрлицо, занимающееся сбором и обработкой ПДн (2).
ИСПДн - информационная система персональных данных (3).
ТЗИ - техническая защита информации (4).
----------------------------------
1. Паспорт, медкнижка, снилс, всякие договора с указанием фио и адреса, кредитные договора - это всё персональные данные.
Особенно трепетно закон относится к персональным данным, которые хранятся в тайне (медицинские диагнозы, вероисповедание и т.п.)
2. В нашем случае за оператора условно считаем семью. Допустим "мама-папа-я", с приходящими дедушками-бабушками, родственниками и знакомыми.
ПДн оператора - все документы, хранящиеся дома (свидетельства о рождении, аттестаты, медкнижки, договора и т.д.)
3. У многих из дома организован доступ к информационным системам (ИС), хранящим ПДн (мобильный банк, разнообразные личные кабинеты с привязкой кредитных карт, и т.д.). Это и называется ИСПДн.
4. В случае с компом это будет пароль, антивирус (с подсистемой обнаружения вторжений), разграничение прав доступа к информационным системам (у каждого своя учётка, свой почтовый ящик, свой пароль на вконтакт и т.д).
----------------------------------
Итого по первому этапу: у нас есть ПДн, ИСПДн, оператор ПДн.
----------------------------------
Второй этап.
Необходимо:
- организовать работу с ПДн;
- разработать и создать систему технической защиты информации.
Чтобы это сделать, нужно назначить ответственных.
Каждый должен понимать, за что отвечает, и что ему делать.
Поэтому:
- назначаем ответственного за ПДн (т.е. за обработку, хранение, целостность, передачу третьим лицам, уничтожение);
- составляем перечень персональных данных.
- определяем круг лиц, допущенных к обработке ПДн.
- назначаем ответственного за техническую защиту информации;
- назначаем администратора безопасности.
Применительно к семье:
Ответственный за ПДн - жена.
- составляет перечень ПДн, на основании которого документы попадают в "главную папку" (определяет, какие типы документов храним, что содержится в этих документах).
- организует хранение (допустим, в шкафу)
- определяет порядок доступа (в папку с документами лазит только она и допущенные ею лица).
- осуществляет периодический контроль (перебирает папку с бумажками)
- уничтожение (выкидывает ненужные бумаги и тд).
- определяет лиц, допущенных к обработке ПДн, создаёт "матрицу доступа" (мужу можно всё, детям нельзя вообще ничего, сестре можно брать только доверенность на машину, бабушке - только медкнижку на детей, и т.д.).
- определяет нештатные ситуации, возникающие в ходе обработки ПДн, и действия в случае их возникновения ("сына, возьми в шкафу загранпаспорт, отвези его папе, и больше ничего не трогай, а то получишь").
- расследует инциденты, связанные с безопасностью ПДн и несанкционированным доступом к ним ("кто лазил в шкаф и перекопал все бумаги, у меня тут всё было разложено по порядку, где страховка на машину, сволочи").
Ответственный за ТЗИ - муж.
- приобретает техническое оборудование и программное обеспечение,
- контролирует действия администратора безопасности,
- проверяет уровень защищённости технических средств,
- осуществляет контроль эффективности применяемых средств защиты.
и т.д.
Может совмещать функции ответственного за ТЗИ и администратора безопасности, но в нашем случае мы эти функции разделим.
Администратор безопасности - сын.
- знает перечень технического и программного обеспечения в ИСПДн.
- знает, какие средства защиты установлены, и настраивает их (настраивает правила на роутере, обновляет антивирус, файрвол, обновляет ПО);
- выполняет мероприятия по допуску к работе (создаёт учётные записи, раздаёт пароли), хранит пароли в тайне; знает и выполняет правила парольной защиты;
- следит за попытками несанкционированного доступа и несанкционированных изменений в программно-аппаратной конфигурации технических средств (кто-то удалил антивирус с ноутбука: узнать кто, зачем, когда, и рассказать папе; кто-то левый подключился к вайфаю, и т.д.);
- выполняет процедуру резервного копирования на компах; знает порядок создания, учёта, хранения и использования резервных копий.
- восстанавливает программную среду и настройки СЗИ и ИСПДн при сбоях.
- периодически тестирует средства ТЗИ с помощью специальных средств анализа защищенности (тыкает сниферы, сканеры портов, пытается влезть на роутер снаружи, и т.д.).
Итого по первым двум этапам:
- перечень ПДн составили, часть документов отнесли к сведениям, составляющим личную тайну, организовали хранение и доступ к персональным данным, определили организационную структуру, назначили ответственных, распределили роли, поставили задачи, обязали их выполнять, формализовали их в виде должностных инструкций.
В случае отсутствия администратора безопасности можно договориться о возмездном (в этом случае требуется лицензия) либо безвозмездном оказании услуг сторонними организациями или индивидуальными предпринимателями. (Например: попросить соседа установить и настроить антивирус).
Дальше будем делать
- модель угроз и нарушителя безопасности,
- классифицировать ИСПДн по уровню защищённости,
- организовывать и проводить работы по обеспечению безопасности ПДн (в ИСПДн).
- порядок контроля уровня защищенности,
- порядок резервирования,
- правила парольной и антивирусной защиты
- реагирования на внештатные ситуации,
- порядок действий при трансграничной передаче данных (например, передаём копию свидетельства о рождении и доверенность, отправляя ребёнка в отпуск к родственникам на украине)
- в идеале - ещё и контроль лояльности (молилась ли ты на ночь).