Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / ДИПЛОМНАЯ РАБОТА, УПРАВЛЕНИЕ ПЕРСОНАЛОМ

Обеспечение безопасности персональных данных в организации среднего профессионально образования

irina_krut2019 1825 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 73 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 20.02.2020
Использование настроенной антивирусной программы, с автоматическим обновлением и сформированным дополнительным списком угроз дает качественную антивирусную защиту. Одним из способов обеспечения бесперебойной работы компьютеров является разграничение доступа к информации и к ресурсам компьютера. Необходимо проводить краткие обучающие занятия по защите информации для сотрудников, учителей и учеников. Защита персональных данных представляет собой комплекс мер технического, организационного, организационно-технического и правового характера, направленных на защиту сведений. Защита персональных данных работников сводится к созданию режима обработки персональных данных, включающего: 1. Создание внутренней документации по работе с персональными данными; 2. Организацию системы защиты персональных данных; 3. Разделение прав доступа работников 4. Внедрение технических мер защиты персональных данных. Цель дипломной работы - изучить комплекс программных и аппаратных средств защиты персональных данных в организации среднего профессионально образования. Для достижения цели поставлены следующие задачи: 1. Рассмотреть законодательные основы защиты персональных данных. 2. Рассмотреть варианты и способы защиты персональных данных. 3. Изучить возможные методы защиты персональных данных в учебном заведение. 4. Установить затраты на покупку средств защиты персональных данных. Без использования новых подходов, поиска современных форм и способов обеспечения информационной безопасности учебного процесса решить эти задачи невозможно!
Введение

Актуальность выбранной темы заключается в особенности защиты информации в образовательном учреждении. Проблема информационной безопасности образовательного учреждения в последнее время становится вполне реальной. Количество угроз растет с каждым днем. Должны изменяться и методы обеспечения информационной безопасности учебного процесса. Быстро развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации как правило превосходит стоимость компьютерной системы, в которой она хранится. Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. Выделяют три важнейших аспекта информационной безопасности: 1. доступность (возможность за разумное время получить требуемую информационную услугу). 2. целостность (актуальность информации, ее защищенность от разрушения и несанкционированного изменения). 3. конфиденциальность (защита от несанкционированного прочтения). Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты информационной системы можно разбить на следующие группы: 1. аппаратные средства - компьютеры и их составные части; 2. программное обеспечение - приобретенные программы, загрузочные модули; операционные системы и системные программы; 3. данные - хранятся временно и постоянно, на носителях, печатные, архивы, системные журналы; 4. персонал - обслуживающий персонал и пользователи. Для учеников и учителей главным способом поиска информации является использование глобальной сети Интернет. При работе в сети возникают следующие угрозы: компьютерное мошенничество, компьютерные вирусы, хакерские атаки, хищение, разглашение конфиденциальной информации. Противостоять им можно с помощью программы, осуществляющей фильтрацию входящего трафика (прокси-сервера).
Содержание

Введение 3 Глава 1. Законодательные основы персональных данных. 6 1.1 Основы защиты персональных данных. 6 1.2 Уровни защищенности персональных данных. 9 1.3 Приказ ФСБ по защите персональных данных. 11 1.4 Рекомендации по выполнению основных требований ФСБ. 25 Глава 2. Понятия и работа с персональными данными. 29 2.1 Ограничение персональных данных от другой информации. 29 2.2 Работа кадровой службы с персональными данными. 37 2.3 Контроль защиты персональной информации работника. 41 Глава 3. Разработка мер защиты персональных данных в учебном учреждении. 47 3.1 Программные и аппаратные средства защиты персональных данных. 47 3.2 Мероприятия по защите ЛВС. 52 3.3 Базовая политика безопасности. 58 Глава 4. Экономический расчёт проекта. 63 4.1 Программные и аппаратные средства защиты ЭВМ 63 4.2 Расчет стоимости проекта 68 Заключение 71 Список использованных источников 72 Приложение А Приложение В
Список литературы

1. Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». 2. ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). 3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [Электронный ресурс] - Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/ 4. Обнаружение сетевых атак [Электронный ресурс] - Режим доступа: http://www.osp.ru/pcworld/2003/06/165957/ 5. Лекция 9: Построение системы защиты персональных данных [Электронный ресурс] - Режим доступа: https://www.intuit.ru/studies/courses/697/553/lecture/12454 6. Защита информации в Интернет [Электронный ресурс] - Режим доступа: http://www.cryptocom.ru/articles/internet_sec.html 7. Основы защиты информации [Электронный ресурс]. - Режим доступа: http://www.uhlib.ru/kompyutery_i_internet/informatika_konspekt_lekcii/p11.php 9.Персональные данные [Электронный ресурс] - Режим доступа: https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5 10 . Закон о хранении персональных данных [Электронный ресурс] - Режим доступа: http://fb.ru/article/228449/zakon-o-hranenii-personalnyih-dannyih-prostyimi-slovami-zaschita-personalnyih-dannyih-v-rossii
Отрывок из работы

Глава 1. Законодательные основы персональных данных. 1.1 Основы защиты персональных данных. В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных (далее - ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятых во исполнение его положений, нормативно-правовых актов и методических документов. В силу требований указанного Федерального закона «О персональных данных» все информационные системы персональных данных (далее - ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 июля 2011 года. Другими нормативными актами, оказывающие правовое регулирование в области защиты персональных данных в учебных организациях являются: Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информаци». Постановление Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Постановление Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Рассмотрим основные определения, используемые в законодательстве. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, носителей на бумажной, магнитной, магнитно-оптической и иной основе. 1.2 Уровни защищенности персональных данных. Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных. Требованиями к защите ПДн при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы. Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы: 1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта; 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев; 3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом; 4 группа — иные категории ПДн, не представленные в трех предыдущих группах. По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида: • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями); • обработка персональных данных субъектов, не являющихся работниками вашей организации. По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории: • менее 100 000 субъектов; • более 100 000 субъектов; Типы актуальных угроз: • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн; • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн; • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн. Как установить тип актуальных угроз не регламентировано, поэтому необходимо привлекать для оценки специалистов в области информационной безопасности. Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей: Таблица 1.1 – Уровни защищённости В зависимости от уровня защищенности ПДн определяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных. 1.3 Приказ ФСБ по защите персональных данных. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. I. Общие положения 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система) с использованием средств криптографической защиты информации (далее - СКЗИ), необходимых для выполнения установленных Правительством Российской 2. Настоящий документ предназначен для операторов, использующих СКЗИ для обеспечения безопасности персональных данных при их обработке в информационных системах. 3. Применение организационных и технических мер, определенных в настоящем документе, обеспечивает оператор с учетом требований эксплуатационных документов на СКЗИ, используемые для обеспечения безопасности персональных данных при их обработке в информационных системах. 4. Эксплуатация СКЗИ должна осуществляться в соответствии с документацией на СКЗИ и требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области. II. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данныхдля 4 уровня защищенности 5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; б) обеспечение сохранности носителей персональных данных; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. 6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем: а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений; б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях; в) утверждения перечня лиц, имеющих право доступа в Помещения. 7. Для выполнения требования, указанного в подпункте "б" пункта 5 настоящего документа, необходимо: а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов); б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров. 8. Для выполнения требования, указанного в подпункте "в" пункта 5 настоящего документа, необходимо: а) разработать и утвердить документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; б) поддерживать в актуальном состоянии документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. 9. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо для каждого из уровней защищенности персональных данных применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ персональных данных или создания условий для этого (далее - атака), которое достигается путем: а) получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак; б) формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ; в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе СКЗИ класса КС1 и выше. 10. СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа следующих: а) создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ; б) создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ2; в) проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее контролируемая зона)3; г) проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак: внесение несанкционированных изменений в СКЗИ и (или) в компоненты аппаратных и программых средств, совместно с которыми штатнофункционируют СКЗИ и в совокупности представляющие среду функционирования СКЗИ (далее - СФ), которые способны повлиять на выполнение предъявляемых к СКЗИ требований, в том числе с использованием вредоносных программ; внесение несанкционированных изменений в документацию на СКЗИ и компоненты СФ; д) проведение атак на этапе эксплуатации СКЗИ на: персональные данные; ключевую, аутентифицирующую и парольную информацию СКЗИ; программные компоненты СКЗИ; аппаратные компоненты СКЗИ; программные компоненты СФ, включая программное обеспечение BIOS; аппаратные компоненты СФ; данные, передаваемые по каналам связи; иные объекты, которые установлены при формировании совокупности предложений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак с учетом применяемых в информационной системе информационных технологий, аппаратных средств (далее - АС) и программного обеспечения (далее - ПО); е) получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть "Интернет") информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация: общие сведения об информационной системе, в которой используется СКЗИ (назначение, состав, оператор, объекты, в которых размещены ресурсы информационной системы); сведения об информационных технологиях, базах данных, АС, ПО, используемых в информационной системе совместно с СКЗИ, за исключением сведений, содержащихся только в конструкторской документации на информационные технологии, базы данных, АС, ПО, используемые в информационной системе совместно с СКЗИ; содержание конструкторской документации на СКЗИ; содержание находящейся в свободном доступе документации на аппаратные и программные компоненты СКЗИ и СФ; общие сведения о защищаемой информации, используемой в процессе эксплуатации СКЗИ; сведения о каналах связи, по которым передаются защищаемые СКЗИ персональные данные (далее - канал связи); все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа к информации организационными и техническими мерами; сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, нарушениях правил эксплуатации СКЗИ и СФ; сведения обо всех проявляющихся в каналах связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами, неисправностях и сбоях аппаратных компонентов СКЗИ и СФ; сведения, получаемые в результате анализа любых сигналов от аппаратных компонентов СКЗИ и СФ; ж) применение: находящихся в свободном доступе или используемых за пределами контролируемой зоны АС и ПО, включая аппаратные и программные компоненты СКЗИ и СФ; специально разработанных АС и ПО; з) использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки: каналов связи, не защищенных от несанкционированного доступа к информации организационными и техническими мерами; каналов распространения сигналов, сопровождающих функционирование СКЗИ и СФ; и) проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети; к) использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее - штатные средства). 11. СКЗИ класса КС2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пункте 10 настоящего документа и не менее одной из следующих дополнительных возможностей: а) проведение атаки при нахождении в пределах контролируемой зоны; б) проведение атак на этапе эксплуатации СКЗИ на следующие объекты: документацию на СКЗИ и компоненты СФ. Помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ; в) получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ; г) использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. 12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей: а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ; б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. 13. СКЗИ класса KB применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 - 12 настоящего документа и не менее одной из следующих дополнительных возможностей: а) создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО; б) проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий; в) проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ. 14. СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 - 13 настоящего документа и не менее одной из следующих дополнительных возможностей: а) создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО; б) возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ; в) возможность располагать всеми аппаратными компонентами СКЗИ и СФ. 15. В процессе формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, дополнительные возможности, не входящие в число перечисленных в пунктах 10 - 14 настоящего документа, не влияют на порядок определения требуемого класса СКЗИ. III. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данныхдля 3 уровня защищенности 16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе. 17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе. 18. Для выполнения требования, указанного в подпункте "г" пункта 5 настоящего документа, необходимо вместо меры, предусмотренной подпунктом "в" пункта 9 настоящего документа, использовать для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе: СКЗИ класса KB и выше в случаях, когда для информационной системы актуальны угрозы 2 типа; СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа. IV. Состав и содержание организационных и технических мер, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данныхдля 2 уровня защищенности 19. В соответствии с пунктом 15 Требований к защите персональных данных для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктами 5 и 16 настоящего документа, необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей. 20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо: а) утверждение руководителем оператора списка лиц, допущенных к содержанию электронного журнала сообщений, и поддержание указанного списка в актуальном состоянии;
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Дипломная работа, Управление персоналом, 60 страниц
1500 руб.
Служба поддержки сервиса
+7(499)346-70-08
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg