КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Особливості захисту персональних даних
|
|
|
|
Особливості захисту конфіденційної інформації, що є власністю держави
Спеціально уповноважений центральний орган виконавчої влади з питань організації спеціального зв'язку та захисту інформації:
розробляє пропозиції щодо державної політики у сфері захисту інформації та забезпечує її реалізацію в межах своєї компетенції;
визначає вимоги та порядок створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
здійснює заходи щодо виявлення загрози державним інформаційним ресурсам від несанкціонованих дій в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах та дає рекомендації з питань запобігання такій загрозі.
Державні органи в межах своїх повноважень за погодженням відповідно із спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкованим йому регіональним органом встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.
|
|
|
Інформація про особу - це сукупність документованих або публічно оголошених відомостей про особу.
Основними даними про особу (персональними даними) є: прізвище, ім’я, по батькові, адреса, номер телефону, національність, освіта, професія, сімейний та соціальний стан, релігійність, стан здоров'я, дата і місце народження і т.ін.
Джерелами документованої інформації про особу є видані на її ім'я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого і регіонального самоврядування в межах своїх повноважень.
Забороняється збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом.
Кожна особа має право на ознайомлення з інформацією, зібраною про неї.
Персональні дані охороняються Законом. (Закон України «Про захист персональних даних»).
Суб’єктами відносин, пов’язаних з персональними даними, є: фізичні особи; юридичні особи; органи державної влади та органи місцевого самоврядування, організації, установи і підприємства усіх форм власності; уповноважений з питань захисту персональних даних; спеціально уповноважений центральний орган виконавчої влади з питань захисту персональних даних.
Суб’єктами відносин, пов’язаних з персональними даними, можуть бути інші держави та міжнародні організації.
Об’єктами захисту є персональні дані, які обробляються за допомогою систем автоматизованої обробки чи за допомогою систем щодо оброблення картотек персональних даних.
Персональні дані за режимом доступу є інформацією з обмеженим доступом.
Персональні дані фізичної особи, яка претендує чи займає вибірну посаду (в представницьких органах) або посаду державного службовця першої категорії не відносяться до інформації з обмеженим доступом.
Умови обробки інформації в системі визначаються власником системи відповідно до договору з власником інформації, якщо інше не передбачено законодавством (Закон України «Про захист інформації в ІТС»).
|
|
|
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи (Закон України «Про захист інформації в ІТС»).
Власник системи, в якій обробляється інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.
Вимоги до забезпечення захисту інформації в системі (Постанова № 373 Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах)
Під час обробки конфіденційної і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.
Доступ до конфіденційної інформації надається тільки ідентифікованим та автентифікованим користувачам. Спроби доступу до такої інформації неідентифікованих осіб чи користувачів з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.
|
|
|
Оператори обробки персональних даних повинні обробляти інформацію відповідно до існуючого законодавства (захист персональних даних (інформація про фізичну особу). При обробці персональних даних (ПД) також повинні враховуватися конституційні права та свободи людини у тому числі право на недоторканість приватного життя, особисте та сімейне життя.
Деталізація профілів захищеності. Беручи до уваги вищенаведені тези, комплекс технічних засобів інформації, яка обробляється та передається в системі обробки ПД повинен реалізовувати наступний профіль захищеності відповідно до нормативних документів НД ТЗІ 2.5-005-99 та НД ТЗІ 2.5-004-99:
Для автоматизованої системи класу «1»
АС-1 { КА-1, КО-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }
АС-1 розподілена (однокористувацький АРМ підключений до ЗТМ)
{ КА-1, КО-1, КВ-1, ЦА-1, ЦВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }
Для автоматизованої системи класу «2»
АС-2 { КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }
Для автоматизованої системи класу «3»
АС-3 {КА-2, КО-1, КВ-1, ЦА-1, ЦО-1, ЦВ-1, ДС-1, НР-2, НИ-2, НК-1, НО-2, НЦ-1, НТ-1, НВ-1}
Реалізація профілів захищеності може бути забезпечена системами ЗІ, які продемонстровані на рис. 10.1.
Рис.10.1 Система забезпечення захисту персональних даних
Оператори обробки персональних даних повинні обробляти інформацію відповідно до існуючого законодавства (захист персональних даних (інформація про фізичну особу). При обробці ПД також повинні враховуватися конституційні права та свободи людини у тому числі право на недоторканість приватного життя, особисте та сімейне життя.
Етапи захисту персональних даних:
1) Визначити всі ситуації, коли необхідно виконувати збір, зберігання, передачу чи обробку.
2) Виділити процеси (або бізнес процеси), пов’язані з такими ситуаціями. Доцільно вибрати обмежене число процесів і проаналізувати їх. У рамках такого обстеження формується перелік підрозділів та співробітників компанії, що приймають участь у обробці персональних даних у рамках функціональних обов’язків.
|
|
|
3) Віднести персональні дані до певної категорії та класифікувати інформаційну систему.
4) Вибір та обґрунтування по зниженню категорій персональних даних, що обробляються інформаційною системою. Після чого формується актуальна модель загроз для відповідного типу інформаційної системи.
5) Розробити технічне завдання на створення відповідної системи захисту.
6) Провести уточнення класів інформаційної системи та підготувати рекомендації щодо використання технічних засобів захисту персональних даних.
Література
1. Закон України «Про інформацію»
2. Закон України «Про захист інформації в інформаційно-телекомунікаційній мережі»
3. Закон України «Про державну таємницю»
4.Постанова Кабінету Міністрів № 373 Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах
5. НД ТЗІ 2.5-004-99
6. НД ТЗІ 2.5-005-99
|
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 1038; Нарушение авторских прав?; Мы поможем в написании вашей работы!