КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Аудит информационной системы
|
|
|
|
Классификация и защита информационных систем персональных данных
Одним из важных моментов в работе менеджера по управлению персоналом является соблюдение Федерального закона «О персональных данных», принятого в 2006 г. В настоящее время в соответствии с этим законом Федеральная служба по техническому и экспортному контролю РФ (ФСТЭК) приняла четыре ключевых документа:
· рекомендации по построению защиты персональных данных с их классификацией;
· базовую модель угроз;
· методику определения актуальности угроз;
· список мероприятий по организации защиты персональных данных.
На базе этих документов информационные системы, которые используют корпорации, должны быть аттестованы в соответствии с законом «О персональных данных», который с 1 января 2010 г. станет обязательными для всех, кто владеет хоть какими-нибудь персональными данными. Ключевые требования к создаваемой частной модели безопасности задаются в соответствии с классификацией персональных данных:
· категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
· категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
· категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
· категория 4 — обезличенные и (или) общедоступные персональные данные.
Отсюда в зависимости от категории и количества (от 1 до 1000; от 1000 до 100000; свыше 100000), обрабатываемых в информационной системе субъектов персональных данных законом определена классификация информационных систем персональных данных.
|
|
|
1. По заданным оператором (оператор — государственный или муниципальный орган, юридическое или физическое лицо, которому принадлежит информационная система) характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
o типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;
o специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
2. По структуре информационные системы подразделяются на:
o автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
o комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
o комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
3. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
|
|
|
4. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
5. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
6. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
7. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
o класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
o класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
o класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
o класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, владельцы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению владельца ИС — без участия ФСТЭК.
Под термином «аудит информационной системы» понимают процесс получения и оценки объективных данных о текущем состоянии системы, устанавливающий уровень ее соответствия определенному критерию и позволяющий предоставить результаты этого исследования заказчику. По сути дела Audit IT — анализ сети, компьютеров, программного обеспечения и работы оргтехники, выявление проблемных мест в информационной базе компании. ИТ аудит позволяет оперативно принять меры для их устранения, а также наметить план оптимизации и модернизации компьютерной инфраструктуры. Необходимость в ИТ аудите возникает тогда, когда компания нуждается в создании или модернизации компьютерной инфраструктуры, когда на предприятии происходит смена кадров или происходит корпоративная реорганизация (слияния и поглощения компаний), а также когда возникает необходимость оптимизировать и максимально эффективно задействовать имеющиеся ресурсы.
|
|
|
|
|
|
|
|
Дата добавления: 2015-07-02; Просмотров: 357; Нарушение авторских прав?; Мы поможем в написании вашей работы!