Lingwish.ru

Онлайн журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Технические и организационные средства защиты персональных данных

УСЛУГИ

Почему мы?

Компания «Интелком» предлагает свои услуги по построению систем защиты персональных данных, начиная с этапа предпроектного обследования и заканчивая проведением аттестации. Наши специалисты, с учетом существующей инфраструктуры и пожеланий заказчика, помогут с выбором средств защиты информации, осуществят их установку и настройку, разработают необходимые организационно-распорядительные документы, проведут аттестацию, а также обеспечат сопровождение системы комплексной защиты персональных данных.

Профессионализм
Все сотрудники являются
сертифицированными
специалистами
Качество
Даем гарантию на
выполненные работы
Надежность
Лицензиаты ФСТЭК и ФСБ
Точно в срок
Мы придерживаемся
установленных планов и
сроков

Защита персональных данных в медорганизации: как обеспечить безопасность

Бизнес и госструктуры ежедневно имеют дело с огромными объемами персональных данных: они «знают» наши имена и фамилии, даты рождения и адреса, семейное положение и социальный статус. Однако особенно остро вопрос информационной безопасности встает перед медицинскими учреждениями. Ведь они собирают и хранят персональные данные, крайне чувствительные для любого человека, – результаты лабораторных и инструментальных исследований, диагнозы, истории болезней.

Руководитель отдела продаж компании «Нетрика Интеграция» Руслан Харлашин рассказывает, как обеспечивается безопасность персональных данных в частных и государственных медицинских учреждениях и каким образом этот вопрос регулируется в нашей стране.

Руслан Харлашин

Что говорит закон?

Законодательство строго закрепляет статус персональных данных (ПД). Их определение сформулировано в Федеральном законе № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации», где они представлены как «информация ограниченного доступа». В ФЗ уточнено, что конфиденциальность персональных данных – это обязательное условие работы с ними, и поэтому государство устанавливает обязательные нормы и правила их обработки.

Вопросу взаимодействия с персональными данными даже посвящен отдельный нормативно-правовой акт. Ключевым документом здесь выступает ФЗ № 152 от 27.07.2006 «О персональных данных». Закон содержит основные определения и требования, которые касаются обработки персональных данных – в частности требует обеспечить защиту прав и свобод человека. Также ФЗ строго регламентирует этот процесс: например, в нем указано, что операторы обработки персональных данных должны обеспечить определенные уровни защищенности, установленные Постановлением Правительства РФ № 1119 от 01.11.2012. Под этими уровнями понимается набор требований, который нейтрализует определенные угрозы безопасности.

При этом в постановлении № 1119 предложен только сжатый перечень мер защиты. Более детально их определяет ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, а приказ № 17 от 11.02.2013 регламентирует требования по защите информации в ГИС (государственных информационных системах), включая и персональные данные.

ФСБ России выпустила приказ № 378 от 10.07.2014, в котором описаны меры обеспечения безопасности персональных данных при использовании средств криптографической защиты информации.

Освежил законодательство в области персональных данных и Минздрав, выпустив Приказ № 911н от 24.12.2018 «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».

Особенности работы с персональными данными в медицине

Работа с медицинскими ПД отличается рядом особенностей. Клиники обязаны хранить данные о здоровье каждого пациента в виде медкарты, и разглашать их запрещено при любых условиях. Поэтому здесь остро встает проблема возможных утечек информации.

Именно здравоохранение лидирует в антирейтинге утечек данных. По результатам исследования «СёрчИнформ», с проблемой столкнулись почти две трети медучреждений – и около 50% из них стараются не раскрывать факт инцидента. При этом личную информацию потеряли 42% организаций.

Необходимый уровень защиты ПД важно обеспечивать на каждом этапе их обработки, что оказывается непростой задачей в процессе сбора и записи сведений, их систематизации и хранения в базе, уточнения деталей и, наконец, уничтожения информации, потерявшей актуальность.

В медучреждениях могут обрабатываться персональные данные двух типов. Первый – это простые данные: скажем, ФИО; информация о дате и месте рождения; антропологические показатели (рост и вес), фотографии человека; место жительства и контактные данные, в том числе номер телефона и адрес электронной почты.

Второй тип – персональные данные специальной категории. К этой группе относятся сведения о состоянии здоровья пациента, информация о причинах обращения за медицинской помощью, диагноз и особенности лечения. Именно эти специальные сведения и объединяются под широко известным термином «врачебная тайна», сохранность которой регулируется Федеральным законом № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации».

Скрытая угроза

Поликлиники и больницы ежедневно обрабатывают огромный объем данных пациентов, и доступ к ним должны иметь только определенные сотрудники медорганизации. При этом во многих государственных ЛПУ до сих пор не завершен переход на электронный документооборот и автоматизированный учет. Из-за этого на плечах врачей, медсестер, администраторов лежит более высокая нагрузка: им приходится вручную заполнять направления, искать бумаги с результатами лабораторных исследований. Данные, представленные в бумажном виде, легче потерять; кроме того, высокая загруженность повышает риск ошибок из-за невнимательности или спешки.

Но и с ростом уровня цифровизации риски утечек ПД не исчезают. Например, в медучреждениях, где уже установлены МИС или СЭД, данные могут пропадать из-за технических сбоев.

Также нельзя забывать о еще одной распространенной проблеме – человеческом факторе. Иногда сотрудники, которые отвечают за безопасность данных в информационных системах, не обладают нужными компетенциями или демонстрируют безответственное отношение к вопросу. Но чаще всего проблемы возникают по вине «рядовых» специалистов: согласно исследованию Infowatch, на долю сотрудников приходится более половины потерь данных – и около 80% из них возникают без злого умысла, из-за ошибок и халатности.

Зачастую проблемы возникают из-за отсутствия налаженного взаимодействия между медучреждениями и разработчиками. Поставщики могут предлагать информационные системы и программное обеспечение, предполагая, что клиника самостоятельно позаботится о защите данных, а у организации на этот счет может быть другое мнение. В результате злоумышленникам даже не приходится ничего взламывать: конфиденциальная информация хранится в открытом доступе. По этой причине произошла одна из крупнейших утечек медицинских персональных данных, в результате которой из-за использования устаревших серверов в сеть попали КТ- и МРТ-снимки 24 млн человек из 590 архивов. По данным Infowatch, почти 20% медицинских данных «утекает» не в результате внешнего воздействия.

Груз ответственности

Последствия таких утечек могут оказаться очень серьезными для клиники и ответственных за инцидент сотрудников. Нарушения безопасности могут привести к административной, гражданско-правовой, дисциплинарной или даже уголовной ответственности. Если из-за утечки произойдет разглашение врачебной тайны, клинике придется возмещать ущерб, нанесенный пациенту и его деловой репутации, а также оплачивать все расходы, понесенные из-за раскрытия сведений, и штраф. Сотрудника же будет ждать выговор или увольнение, а в самых серьезных случаях он может получить запрет на продолжение профессиональной деятельности до пяти лет или даже лишиться свободы на срок до четырех лет.

Разумеется, ответственность несут и злоумышленники: как хакеры, так и сотрудники клиник, копирующие и распространяющие информацию о пациентах. Незаконный сбор и распространение сведений о частной жизни, составляющих личную и семейную тайну, могут наказываться штрафом до 200 тыс. руб. или лишением свободы на срок до двух лет (четырех – если будет доказано, что для этого использовалось служебное положение).

Ответственность придется понести не только за прямые нарушения безопасности, но и за невозможность предоставить данные, в том числе и из-за неисправности информационных систем. Например, если оператор не предоставляет пациенту информацию, которая касается его персональных данных, он может получить штраф до 40 тыс. руб.

Пять уровней безопасности

Чтобы обезопасить личные данные пациентов, а вместе с тем себя и своих специалистов, медучреждениям необходимо построить прочную систему защиты. Первым этапом здесь становится моделирование угроз, которые рассматриваются применительно к действующей информационной системе обработки персональных данных (ИСПД) – как правило, это МИС.

Затем, в соответствии с приказом ФСТЭК России № 21, нужно определить состав и содержание организационных и технических мер, которые позволят обеспечить безопасность данных. Они должны работать на всех уровнях информационной системы: МИС, автоматизированных рабочих мест, каналов передачи данных, СУБД, виртуальной инфраструктуры.

На уровне МИС могут применяться встроенные механизмы безопасности и различные дополнительные средства защиты от несанкционированного доступа, например, антивирусные комплексы, системы предотвращения вторжений, межсетевые экраны и системы предотвращения утечек данных.

Широкий список инструментов применяется и на уровне автоматизированных рабочих мест. Для защиты используются сертифицированные операционные системы, а также антивирусы, системы для предотвращения вторжений и межсетевые экраны.

Читать еще:  Как составить рекомендательное письмо для компании?

Недавно появились новые решения – автоматизированные рабочие места, в которые встроен сертифицированный модуль доверенной загрузки (МДЗ). Они помогают защищать средства вычислительной техники от несанкционированного доступа, а также контролируют целостность программной и аппаратной конфигурации устройств, на которых установлен этот модуль – еще до начала загрузки его операционной системы. Один из примеров – инструмент Numa Arce (ИТ.СДЗ.УБ4.ПЗ), реализованный в виде EFI-модуля, который работает на уровне BIOS материнской платы.

На уровне каналов передачи данных, помимо уже упомянутых инструментов, могут использоваться криптографические шлюзы. На рынке такие продукты представлены как в виде программно-аппаратных комплексов, так и в программном исполнении. Для СУБД используются специальные системы защиты. А что касается виртуальной инфраструктуры, то здесь безопасность могут обеспечивать даже доверенные защищенные гипервизоры.

Пошаговая инструкция

В общем виде проект по построению системы защиты персональных данных состоит из нескольких этапов.

  • Сбор данных о существующих информационных системах персональных данных (ИСПД).
  • Моделирование угроз безопасности.
  • Определение уровней защищенности.
  • Разработка технического задания.
  • Проектирование система защиты персональных данных (СЗПД).
  • Разработка организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  • Поставка средств защиты информации, их установка и настройка.
  • Аттестация информационных систем персональных данных по требованиям безопасности информации (опционально).

Ошибки могут возникать на любом из указанных этапов. Например, если организация неверно определит угрозы, появляется риск утечек ПД. А если специалисты медучреждения посчитают, что информационной системе требуется более высокий уровень защищенности, чем нужен на самом деле, придется применять избыточные меры и устанавливать лишние средства защиты. Это может привести к многократному росту стоимости внедрения и обслуживания системы.

Система защиты персональных данных (СЗПДн)

Цели создания
  • Реализация обязательных требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов по обеспечению безопасности обрабатываемых персональных данных.
  • Регламентация внутренних процессов обработки и защиты персональных данных операторов.
Преимущества от внедрения
  • Исполнение оператором Федерального закона «О персональных данных» и, таким образом, соблюдение прав и законных интересов субъектов, персональные данные которых обрабатываются оператором в информационных системах.
  • Уверенность руководства организации в обеспечении требуемого уровня защищённости обрабатываемых в ней персональных данных.
  • Снижение рисков предъявления претензий со стороны надзорных органов и административной ответственности за невыполнение требований законодательства.

Федеральный закон № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты (Постановление Правительства РФ от 1 ноября 2012 г. №1119, Приказ ФСТЭК России от 18 февраля 2013 г. № 21), устанавливают ряд обязательных требований, в том числе технического характера, которые должны выполняться любыми организациями, осуществляющими обработку персональных данных (операторами персональных данных) с использованием информационных систем.

Эти требования регламентируют процессы обработки персональных данных, осуществляемые операторами, а также устанавливают обязательные меры, которые должны приниматься операторами для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

Компания ЭЛВИС-ПЛЮС предлагает эффективное комплексное решение для защиты информационных систем персональных данных для распределённых систем средних и крупных предприятий. Наша компания обладает всеми необходимыми компетенциями и знаниями в области создания систем защиты информации, а также знает специфику и особенности распределенных информационных систем, обрабатывающих персональные данные.

ЭЛВИС-ПЛЮС имеет многолетний успешный опыт проектирования и внедрения систем защиты персональных данных в таких компаниях корпоративного сектора как: Российский Союз Автостраховщиков, ЛУКОЙЛ-ИНФОРМ, Сургутнефтегаз, Газпром нефть, Федеральная налоговая служба (ФНС) России, Федеральная служба государственной регистрации, кадастра и картографии (Росреестр), Системный оператор единой энергетической системы (СО ЕЭС) России, Международный Аэропорт «Шереметьево» и др.

Архитектура и основные функции Системы

Система защиты персональных данных представляет собой комплексное решение по защите и строится с помощью технических решений различных производителей. СЗПДн обеспечивает выполнение следующих мер по обеспечению безопасности ПДн (в зависимости от требуемого уровня защищённости):

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищённости персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, её средств, систем связи и передачи данных;
  • выявление инцидентов и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты персональных данных.

Перечисленные меры по обеспечению безопасности персональных данных реализуются в рамках функциональных подсистем СЗПДн, которые строятся на основе решений и продуктов зарубежных и отечественных лидеров в области защиты информации: HP, Cisco Systems, Symantec, Positive Technologies, «Лаборатория Касперского», «Аладдин Р.Д.» и др.

Услуга по созданию СЗПДн в том числе включает в себя:
  • Разработку Модели угроз безопасности.
  • Разработку Модели нарушителя (в случае необходимости применения средств криптозащиты ПДн).
  • Разработку предложений по определению требуемых уровней защищённости ПДн, в соответствии с актуальными нормативными и законодательными документами РФ, включая разработку проектов Актов определения уровня защищённости ПДн.
  • Разработку рекомендаций по применению организационных мер по обеспечению безопасности ПДн при их обработке.
  • Разработку пакета или отдельных организационно-распорядительных документов, регламентирующих правила обработки персональных данных и выполнение организационных мер защиты ПДн (с учетом особенностей процессов обработки ПДн в конкретной организации и опыта компании ЭЛВИС-ПЛЮС).

По согласованию с заказчиком возможна разработка и других локальных актов организации по вопросам обработки и обеспечения безопасности персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

В качестве дополнительной услуги по обеспечению безопасности персональных данных АО «ЭЛВИС-ПЛЮС» может предложить аттестацию ИСПДн по требованиям безопасности информации. Результатом данной услуги является аттестат соответствия, подтверждающий выполнение всех нормативных требований по защите персональных данных.

Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС-ПЛЮС», сервисами Яндекс.Метрика и Google Analytics в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт. Подробнее

Этот сайт использует сервисы веб-аналитики Яндекс.Метрика и Google Analytics. Эти сервисы используют технологию cookie — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

Собранная сервисами при помощи cookie информация не может идентифицировать Вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании Вами данного сайта, собранная при помощи cookie, будет передаваться компаниям Яндекс и Google. Собранные данные будут обрабатываться для оценки использования Вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс и Google обрабатывают эту информацию в порядке, установленном в условиях использования этих сервисов (см. Пользовательское Соглашение).

Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Однако это может повлиять на работу некоторых функций сайта.

Решение вопросов защищенности в связке с инфраструктурой, достижение оптимальных результатов, обеспечение широкой функциональности средств ИБ.

ПАО «Ростелеком» – одна из крупнейших в России и Европе телекоммуникационных компаний национального масштаба, присутствующая во всех сегментах рынка услуг связи. «Ростелеком» занимает лидирующее положение на российском рынке услуг ШПД и платного телевидения: количество абонентов услуг ШПД превышает 12 млн., а платного ТВ «Ростелекома» – более 9 млн. пользователей. «Ростелеком» является безусловным лидером рынка телеком-услуг для российских органов государственной власти и корпоративных пользователей всех уровней.

Макрорегиональный филиал «Северо-Запад» (МРФ «Северо-Запад») работает на территории Северо-Западного федерального округа, являющегося одним из наиболее развитых как в экономическом, так и в телекоммуникационном отношении федеральных округов России. МРФ «Северо-Запад» включает в себя 10 региональных филиалов и обслуживает более 3,5 млн. абонентов телефонии, свыше 1,5 млн. пользователей Интернет, более 280 тыс. абонентов IPTV и свыше 1,2 млн абонентов платного ТВ по прочим технологиям.

Для автоматизации обслуживания столь масштабной клиентской базы при осуществлении основной деятельности, МРФ «Северо-Запад» использует большое количество информационных систем (ИС), в том числе содержащих и обрабатывающих персональные данные (ПДн) клиентов. Весь ИТ-комплекс заказчика, при этом, имеет сложную гетерогенную структуру со множеством узлов, взаимодействующих информационных ресурсов и систем, а пользователи – сложное распределение ролей и прав в рамках своих функциональных обязанностей. Существующая ситуация потребовала разработки и реализации комплексного решения для защиты ПДн, включая как программные и технические средства, так и организационные меры.

Читать еще:  Документация ответственного за электрохозяйство

В 2011 году в рамках программы развития ИТ-инфраструктуры МРФ «Северо-Запад» и совершенствования средств обеспечения информационной безопасности (ИБ), а также повышения уровня защищенности инфраструктурных и информационных систем от внешних и внутренних угроз, было принято решение о приведении уровня защиты ПДн в рамках целевых ИС в соответствие требованиям федерального закона № 152-ФЗ о защите персональных данных и нормативно-методической документации ФСТЭК России.

По результатам проведенного конкурса на проектирование и внедрение системы защиты ПДн, включая весь пул необходимых программно-технических средств, генеральным подрядчиком и исполнителем проекта была выбрана компания «АСТ», предложившая оптимальные условия и сроки внедрения, а, также, полностью подтвердив выполнение квалификационных требований конкурса.

Разработка и реализация проекта затронули не только сами целевые ИС, но и потребовали решения вопросов защищенности в связке с инфраструктурой, что позволило достичь оптимальных результатов и обеспечить широкую функциональность средств ИБ, гарантировав тем самым высокую защищенность.

В рамках проекта были выполнены следующие группы работ:

  • Разработка и согласование со ФСТЭК и ФСБ России модели угроз и нарушителя, проекта системы защиты ПДн, организационно-распорядительной документации.
  • Разработка и внедрение системы анализа защищенности для автоматизации процесса управления уязвимостями.
  • Разработка и внедрение системы защиты баз данных и веб-приложений.
  • Разработка и внедрение системы защиты каналов связи и защищенного удаленного доступа для партнеров Заказчика.
  • Разработка и внедрение системы управления токенами для реализации надежной аутентификации и автоматизации жизненного цикла смарт-карт в масштабах Макрорегиона.

Предоставленные «АСТ» услуги включили в себя весь цикл проектных и внедренческих задач, таких как:

  • Определение состава целевых ИС ПДн и элементов инфраструктуры.
  • Проведение первичного обследования ИС и всех составляющих ИТ-инфраструктуры, состояния организационно-распорядительной документации, мер обеспечения безопасности ПДн.
  • Определение текущего уровня соответствия требованиям федерального закона № 152-ФЗ в части защищенности ПДн.
  • Разработка рекомендаций по повышению уровня соответствия требованиям федерального закона № 152-ФЗ в части защищенности ПДн.
  • Разработка и согласование с регуляторами модели угроз и нарушителя.
  • Разработка проекта и комплекса мер, этапов развития системы обеспечения информационной безопасности.
  • Разработка каждой из внедряемых подсистем безопасности.
  • Поставка всего комплекса требующихся программно-технических средств защиты.
  • Внедрение и тестирование каждой из подсистем.
  • Разработка связанной организационно-распорядительной документации.
  • Проведение обучения администраторов.

По итогам проекта реализован комплекс необходимых организационно-технических мер обеспечения безопасности ПДн, повышения общей защищенности ИТ-инфраструктуры МРФ «Северо-Запад», что позволило:

Существенно повысить уровень ИБ по целому ряду направлений:

  • Сетевая безопасность
  • Защита каналов связи
  • Многофакторная аутентификация
  • Анализ защищенности

Создать возможность отслеживания и контроля инцидентов, в частности с персональными данными абонентов.

Реализовать первоочередные требования федерального закона № 152-ФЗ в части обеспечения защиты ПДн в целевых ИС.

Срок реализации проекта от разработки до запуска в эксплуатацию всего комплекса подсистем составил 2 года, работы в рамках проекта охватили более 10 тысяч сотрудников, распределенных по 10 территориальным подразделениям МРФ «Северо-Запад».

«Комплекс систем защиты персональных данных, который мы реализовали в Северо-Западном макрофилиале «Ростелекома» – очень сложный и технологически емкий проект. Сложный потому, что масштаб компании, управляемых ею абонентских сервисов, ее ИТ-инфраструктура, объемы транзакций и данных настолько велики, что любая реализация в такой структуре требует совершенно отдельного опыта вне зависимости от наличия компетенций. Емкий потому, что технологическая интеграция, реализованная в проекте – предмет очень глубокой проработки всех тонкостей среды, в которой работает решение. Мы с гордостью говорим об этом проекте, особенно учитывая положительные отзывы заказчика».

Цели проекта:

  1. Достижение соответствия требованиям 152-ФЗ
  2. Повышение общего состояния защищенности информационной инфраструктуры

Достигнутые результаты:

  • Существенное повышение общей защищенности ИТ-инфраструктуры МРФ «Северо-Запад» за счет реализации комплекса необходимых организационно-технических мер обеспечения безопасности
  • Повышение уровня ИБ по целому ряду направлений: сетевая безопасность, защита каналов связи, многофакторная аутентификация, анализ защищенности
  • Реализованная система обеспечивает возможность отслеживания и контроля инцидентов, в частности с персональными данными абонентов
  • Реализованы первоочередные требования федерального закона № 152-ФЗ в части обеспечения защиты ПДн в целевых ИС.

Для реализации данного проекта компанией «АСТ» были оказаны следующие услуги:

Технические и организационные средства защиты персональных данных

К черту скучные тренировки!

ЭЛАСТИКА — сеть студий растяжки и фитнеса для девушек.

Для всех, кто мечтает о шпагате, хочет улучшить осанку и сделать свое тело гибким и сильным.

  • У нас 4 студии в Петербурге
  • Мы работаем с девушками любого возраста и подготовки
  • У нас сильная программа и команда профессионалов
  • У нас до 8 человек в группе. Внимание каждой
  • В наших студиях всегда хорошее настроение и дружелюбная атмосфера
  • По 1 абонементу вы можете посещать 4 студии и 4 направления: Растяжка, AirFlex в гамаках, BodyFitness, Акробатика

  • Главная
  • Направления
  • Расписание
  • Цены
  • Студии
  • Галерея
  • Тренеры
  • Сертификаты
  • Контакты
  • 8-900-622-29-92
  • 1. Общие положения

    Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных ИП Буркова Диана Сергеевна(далее – Оператор).

    1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
    2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://www.studioelastica.ru.
    2. Основные понятия, используемые в Политике
    1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
    2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
    3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://www.studioelastica.ru;
    4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
    5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
    6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
    7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
    8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://www.studioelastica.ru;
    9. Пользователь – любой посетитель веб-сайта https://www.studioelastica.ru;
    10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
    11. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
    12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
    13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
    3. Оператор может обрабатывать следующие персональные данные Пользователя
    1. Фамилия, имя, отчество;
    2. Электронный адрес;
    3. Номера телефонов;
    4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
    5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
    4. Цели обработки персональных данных
    1. Цель обработки персональных данных Пользователя — информирование Пользователя посредством отправки электронных писем.
    2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты [email protected] с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях».
    3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
    5. Правовые основания обработки персональных данных
    1. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://www.studioelastica.ru. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
    2. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
    6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

    Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

    1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
    2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.
    3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».
    4. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».
    7. Трансграничная передача персональных данных
    1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
    2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

    Современные методы защиты информации

    Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

    • Препятствие;
    • Маскировка;
    • Регламентация;
    • Управление;
    • Принуждение;
    • Побуждение.

    Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

    Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

    Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

    Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

    Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

    На видео – подробная лекция о защите информации:

    Средства защиты информационных систем

    Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

    • Физические;
    • Программные и аппаратные;
    • Организационные;
    • Законодательные;
    • Психологические.

    Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

    Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

    Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

    Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

    Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

    Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

    Защита передаваемых электронных данных

    Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

    Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида. В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования. Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

    Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу. ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований. Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

    Классы безопасности информационных систем

    Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

    • D – нулевой уровень безопасности;
    • С – системы с произвольным доступом;
    • В – системы с принудительным доступом;
    • А – системы с верифицируемой безопасностью.

    Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

    Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

    В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

    Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

    Класс безопасности В2 характерен для многих современных систем и предполагает:

    • Снабжение метками секретности всех ресурсов системы;
    • Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
    • Структурирование доверенной вычислительной базы на хорошо определенные модули;
    • Формальную политику безопасности;
    • Высокую устойчивость систем к внешним атакам.

    Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.

    Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

    На видео – подробная лекция о безопасности информационных систем:

    голоса
    Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector
Для любых предложений по сайту: [email protected]