Загрузил Дима Седов

фывфыв

Реклама
Вопросы для самопроверки
1. Персональные данные. Защита персональных данных (ПД).
Определение

Персональные
Определение;
данные.
Защита
Защита
персональных
персональных
данных
данных
–
это
(ПД).
комплекс
мероприятий, позволяющих выполнить требования законодательства
РФ, касающиеся обработки, хранения и передачи персональных данных
граждан РФ. Согласно требованиям закона о защите персональных
данных,
оператор
обязан
применить
ряд
организационных
и
технических мер, касающихся процессов обработки персональных
данных, а также информационных систем, в которых эти персональные
данные обрабатываются.

Персональные данные - любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу
(субъекту персональных данных).
2)Определение оператора. Его функции;
Оператор — государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно или совместно с
другими лицами организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели обработки
персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными
данными.
3)Основные положения Закона «О персональных данных»;
Обработка персональных данных должна осуществляться на
законной и справедливой основе, в строгом соответствии с
установленными целями обработки персональных данных
Недопустимо раскрытие ПД третьим лицам или распространение
таких данных без соответствующего основания.
В ряде случаев обработка ПД может осуществляться только с
согласия субъекта ПД.
Информационные системы, обрабатывающие ПД, должны быть
приведены в соответствие с требованиями законодательства о ПД.
Субъект персональных данных имеет право на защиту своих прав и
законных интересов, в том числе на возмещение убытков и (или)
компенсацию морального вреда, обжаловав действия или
бездействие оператора уполномоченный орган по защите прав
субъектов персональных данных или в судебном порядке; Оператор
обязан направить уведомление об обработке персональных данных в
уполномоченный орган по защите прав субъектов персональных
данных. Таким органом является Федеральная служба по надзору в
сфере связи, информационных технологий и массовых
коммуникаций (более известная как Роскомнадзор): Нарушение
требований Закона влечет гражданскую, уголовную,
административную. дисциплинарную ответственность.
4)Организационные и технические мероприятия защиты ПД.
Различия; Организационные мероприятия подразумевают комплекс
по созданию заданий и плана по обеспечению безопасности ПД, в то
время как технические меры направленны на внедрение программ и
оборудования по защите пд.
5)Кто производит оценку защищённости информационных систем
персональных данных (ИСПД)?;
Оператор.
6)Документы устанавливающие требования по защите персональных
данных;
• Постановление Правительства №1119 то 01.11.2012 г. «Об утверждении
требований к защите персональных данных при обработке в информационных
системах
персональных
данных».
•
Приказ
ФСТЭЕК
№21
от
18.02.2013
г;
• Приказ ФСБ №378 от 18.08.2014 г.(в случае необходимости применения для
защиты персональных данных шифровальных (криптографических средств
защиты
информации).
• Федеральный закон №152 – ФЗ «О персональных данных» с изменениями,
внесенными Федеральным законом от 21.07.2014г. №242 – ФЗ и Федеральным
законом от 31.12.2014 г. №526 – ФЗ, базы данных информационных систем, в
которых осуществляется запись, систематизация, накопление, хранение,
уточнение (обновление, изменение), извлечение персональных данных
граждан РФ должны быть расположены на территории РФ
7)Органы,
осуществляющие
контроль
за
выполнением
законодательства по защите прав субъектов ПД;
Уполномоченный орган по защите прав субъектов персональных
данных (Роскомнадзор) – основной надзорный орган в области
персональных
данных;
Фсб – основной надзорный орган в части использования средств
шифрования
ФСТЭК – надзорный орган в использования технических средств
защиты информации
8)Категории обрабатываемых ПД;
1 группа – специальные категории ПДн, к которым относятся
информация о национальной и расовой принадлежности субъекта, о
религиозных,
философских
либо
информацию
о
и
здоровье
политических
интимной
жизни
убеждения,
субъекта:
2 группа – биометрические ПДн, то есть данные, характеризующие
биологические
например
или
физиологические
фотография
или
особенности
отпечатки
субъекта,
пальцев;
3 группа – общедоступные ПДн, то есть сведенья о субъекте, полный
и неограниченный доступ к которым предоставлен самим субъектов;
4 группа – иные категории ПДн, не предоставленных в трех
предыдущих
группах.
По форме отношений между вашей организацией и субъектами
обработка
подразделяется
на
2
вида:
Обработка персональных данных работников (субъектов, с которыми
ваша
организация
связана
трудовыми
отношениями)
Обработка персональных данных субъектов, не являющихся
работниками
По
вашей
количеству
нормативным
субъектов,
актом
Менее
организации
ПДн
которых
определены
100
обрабатываются,
лишь
2
категории
000
субъектов
Более 100 000 субъектов
9)Определение
типа
актуальных
угроз
(АУ)
безопасности
персональных данных. Определение АУ. Показатели оценки
возможности реализации угрозы;
9)Определение
типа
актуальных
угроз
(АУ)
безопасности
персональных данных. Определение АУ. Показатели оценки
возможности
реализации
угрозы;
1 группа – специальные категории ПДн, к которым относятся
информация о национальной и расовой принадлежности субъекта, о
религиозных,
философских
либо
информацию
о
и
здоровье
политических
интимной
жизни
убеждения,
субъекта:
2 группа – биометрические ПДн, то есть данные, характеризующие
биологические
например
или
физиологические
фотография
или
особенности
отпечатки
субъекта,
пальцев;
3 группа – общедоступные ПДн, то есть сведенья о субъекте, полный
и неограниченный доступ к которым предоставлен самим субъектов;
4 группа – иные категории ПДн, не предоставленных в трех
предыдущих
группах.
По форме отношений между вашей организацией и субъектами
обработка
подразделяется
на
2
вида:
Обработка персональных данных работников (субъектов, с которыми
ваша
организация
связана
трудовыми
отношениями)
Обработка персональных данных субъектов, не являющихся
работниками
По
вашей
количеству
субъектов,
ПДн
организации
которых
обрабатываются,
нормативным актом определены лишь 2 категории
10)Оценка
опасности
реализации
каждой
угрозы.
Значения
вербального показателя опасности ИСПД;

угрозы
1-го
типа
связанны
с
наличием
недекларированных
(недокументированных) возможностей в системном ПО, используемом в
ИСПДн;

угрозы 2-го типа связанны с наличием недекларированных возможностей в
прикладном ПО, используемом в ИСПДн;

угрозы 3-го типа не связаны с наличием недекларированных возможностей
в программном обеспечении, используемом в ИСПДн.
Установив исходные данные, для конкретной ИСПДн определяется
уровень защищенности персональных данных
11)Установление уровней защищённости ПД. Создание системы
защиты ПД;
Требованиями к защите ПДн при их обработке в информационных
системах (Утв. Постановлением Правительства № 1119 от 01.11.2012)
установлены
4
уровня
защищенности
персональных
данных,
различающихся перечнем необходимых к выполнению требований по
защите информационных систем.
Создание системы защиты персональных данных состоит из трех
стадий, которые выполняются в несколько этапов(Этапы описаны в 14
вопросе)
12)Преимущества проектов по внедрению СЗПД;
На основании уже реализованных проектов по внедрению СЗПДн,
можно выделить следующие преимущества:
Во-первых, это минимизация правовых и репутационных рисков,
связанных с несоблюдением существующего законодательства в области
персональных данных.
Во-вторых, грамотно построенная система защиты обеспечивает
сохранность при обработке персональных данных клиентов и работников,
что особенно важно при работе с частными лицами и информацией для
служебного пользования.
К наиболее распространенным угрозам, которые нейтрализует
СЗПДн, относятся воздействия вредоносных программ и воровство
клиентских баз бывшими сотрудниками.
В-третьих, обеспечение конфиденциальности персональных данных
в компании положительно сказывается на ее имидже, повышая доверие у
клиентов и партнеров.
13) Угрозы, нейтрализуемые СЗПД;
К наиболее распространенным угрозам, которые нейтрализует
СЗПДн, относятся воздействия вредоносных программ и воровство
клиентских баз бывшими сотрудниками.
Скачать