Rossiya federatsiyasi ta'lim va fan vazirligi
Shaxsiy ma'lumotlar tizimi bo'yicha loyiha oldidan so'rov o'tkazish. Shaxsiy ma'lumotlarni himoya qilishning zarur darajasini aniqlash
Download 121.6 Kb.
|
Metod UPPD
|
Shaxsiy ma'lumotlar tizimi bo'yicha loyiha oldidan so'rov o'tkazish. Shaxsiy ma'lumotlarni himoya qilishning zarur darajasini aniqlash
Shaxsiy ma'lumotlarni himoya qilish bo'yicha ishlarni amalga oshirishdan maqsad shaxsiy ma'lumotlarning shaxsiy ma'lumotlar tizimlarida (PDIS) qayta ishlash, saqlash va uzatishda shaxsiy ma'lumotlarning xavfsizligini tashkil etish va ta'minlash bo'yicha chora-tadbirlarni ishlab chiqish va amalga oshirishdir. Rossiya Federatsiyasining amaldagi qonunchiligi. ISPDda qayta ishlash jarayonida shaxsiy ma'lumotlarning xavfsizligi tashkiliy chora-tadbirlar va axborotni himoya qilish vositalarini (shu jumladan shifrlash (kriptografik) vositalar, ruxsatsiz kirishning oldini olish, ma'lumotlarning kirib kelishini oldini olish vositalari) o'z ichiga olgan shaxsiy ma'lumotlarni himoya qilish tizimini (PDPS) yaratish orqali ta'minlanishi mumkin. texnik kanallar, dasturiy ta'minot - shaxsiy ma'lumotlarni qayta ishlashning texnik vositalariga texnik ta'sirlar), shuningdek, axborot tizimida qo'llaniladigan axborot texnologiyalari. SPPDga qo'yiladigan talablar ISPD so'rovi natijalari, tahdidlarni modellashtirish va ISPD xavfsizligining belgilangan darajasi asosida aniqlanishi mumkin. ISPD ning loyihadan oldingi tekshiruvi axborot xavfsizligi tizimlarini yaratishning eng muhim bosqichi bo'lib, u yaratilgan himoya tizimining narxini ham, uning samaradorligini ham belgilaydi. Ushbu bosqichning bir qismi sifatida mavjud ISPDlarning so'rovi, shuningdek, tashkilotda shaxsiy ma'lumotlarni qayta ishlash va himoya qilishni tartibga soluvchi operatorning mahalliy tashkiliy va ma'muriy hujjatlari tahlili o'tkaziladi. So'rovning maqsadi - ISPDning himoya bo'yicha me'yoriy hujjatlar talablariga muvofiqligining joriy darajasini baholash shaxsiy ma'lumotlar, shaxsiy ma'lumotlarni himoya qilish rejasini tuzish uchun zarur bo'lgan ma'lumotlarni to'plash, shaxsiy ma'lumotlarni himoya qilish g'oyasi va strategiyasini yaratish, shaxsiy ma'lumotlarni himoya qilish tizimini joriy etish bo'yicha ishlarning hajmi va narxini aniqlash, texnik echimlarni ishlab chiqish. shaxsiy ma'lumotlarni himoya qilish uchun. Loyihadan oldingi so'rov natijalari: - ISPD so'rovi bo'yicha hisobot; - shaxsiy ma'lumotlar xavfsizligiga tahdidlarning shaxsiy modeli (UBPDn); - SZPDn yaratish uchun texnik topshiriq; - shaxsiy ma'lumotlarni himoya qilish bo'yicha operatorning mahalliy tashkiliy-ma'muriy hujjatlari loyihalari; Loyihadan oldingi so'rov bosqichida, qoida tariqasida, quyidagi tadbirlar amalga oshiriladi: - ISPDda ma'lumotlarni qayta ishlash zarurati aniqlandi; - ruxsatsiz kirishdan himoya qilinishi kerak bo'lgan shaxsiy ma'lumotlar ro'yxati aniqlanadi; - ISPDni nazorat qilinadigan zona (KZ) chegaralariga nisbatan joylashtirish shartlari aniqlanadi; - umuman ISPD ning konfiguratsiyasi va topologiyasi va uning alohida komponentlari, ushbu tizimlar ichida ham, turli darajadagi va maqsadlardagi boshqa tizimlar bilan jismoniy, funktsional va texnologik aloqalari aniqlanadi; - ishlab chiqilgan ISPDda foydalanish uchun mo'ljallangan texnik vositalar va tizimlar, ularni joylashtirish shartlari, mavjud va ishlab chiqish uchun tavsiya etilgan umumiy tizim va amaliy dasturlar aniqlanadi; - ISPDda umuman va alohida komponentlarda shaxsiy ma'lumotlarni qayta ishlash rejimlari belgilanadi; – ISPD xavfsizligining zarur darajasi aniqlanadi; - xodimlarning ma'lumotlarni qayta ishlashda ishtirok etish darajasini, ularning bir-biri bilan o'zaro aloqasi xarakterini aniqlaydi; – UBPD aniq ish sharoitida (muayyan tahdid modelini ishlab chiqish) aniqlanadi (belgilanadi). Muhim qadam ISPD xavfsizligi darajasini aniqlashdir. Rossiya Federatsiyasi Hukumatining 2012 yil 1 noyabrdagi 1119-sonli qarori bilan tasdiqlangan "Shaxsiy ma'lumotlarning axborot tizimlarida ularni qayta ishlash jarayonida shaxsiy ma'lumotlarni himoya qilishga qo'yiladigan talablar" ga muvofiq amalga oshiriladi. Rossiya Federatsiyasi Hukumatining 1119-sonli qarori quyidagilarga qarab shaxsiy ma'lumotlarni himoya qilishning 4 darajasini belgilaydi: 1) qayta ishlangan shaxsiy ma'lumotlarning toifalari; 2) shaxsiy ma'lumotlar xavfsizligiga haqiqiy tahdidlar turi (UBPDn); 3) shaxsiy ma'lumotlari ISPDda qayta ishlanadigan sub'ektlar soni; 4) shaxsiy ma'lumotlarning sub'ektlari operator xodimlaridirmi yoki yo'qmi. Axborot tizimi - bu shaxsiy ma'lumotlar sub'ektlarining irqi, millati, siyosiy qarashlari, diniy yoki falsafiy e'tiqodlari, sog'lig'i holati, intim hayoti bilan bog'liq shaxsiy ma'lumotlarni qayta ishlaydigan bo'lsa, shaxsiy ma'lumotlarning maxsus toifalarini (ISPD-S) qayta ishlaydigan axborot tizimi. Axborot tizimi - bu biometrik shaxsiy ma'lumotlarni (ISPDn-B), agar u insonning fiziologik va biologik xususiyatlarini tavsiflovchi ma'lumotlarni qayta ishlovchi, uning asosida uning shaxsini aniqlash mumkin bo'lgan va ma'muriyat tomonidan foydalaniladigan axborot tizimidir. operator shaxsiy ma'lumotlarning maxsus toifalariga tegishli qayta ishlanmagan ma'lumotlar sub'ektini aniqlash uchun. Axborot tizimi - bu "Shaxsiy ma'lumotlar to'g'risida" gi Federal qonunning 8-moddasiga muvofiq yaratilgan shaxsiy ma'lumotlarning faqat ochiq manbalaridan olingan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlovchi axborot tizimi (ISPDn-O). ". Axborot tizimi - bu shaxsiy ma'lumotlarning boshqa toifalarini (ISPDn-I) qayta ishlaydigan axborot tizimi, agar u oldingi uchta holatda ko'rsatilgan shaxsiy ma'lumotlarni qayta ishlamasa. Axborot tizimiga tegishli UBPD turini aniqlash mumkin bo'lgan zararni baholashni hisobga olgan holda operator tomonidan amalga oshiriladi. Shaxsiy ma'lumotlar xavfsizligiga tahdid (UBPD) deganda, axborot tizimida qayta ishlash jarayonida shaxsiy ma'lumotlarga ruxsatsiz, shu jumladan tasodifiy kirishning haqiqiy xavfini yaratadigan shartlar va omillar to'plami tushuniladi, bu esa yo'q qilinishi, o'zgartirilishi mumkin. , blokirovka qilish, nusxalash, taqdim etish, shaxsiy ma'lumotlarni tarqatish, shuningdek, boshqa noqonuniy harakatlar. 1-toifa tahdidlar, agar boshqa narsalar qatori, axborot tizimida foydalaniladigan tizim dasturiy ta'minotida hujjatlashtirilmagan (e'lon qilinmagan) imkoniyatlar mavjudligi bilan bog'liq tahdidlar unga tegishli bo'lsa, axborot tizimi uchun tegishli hisoblanadi. 2-toifa tahdidlar, agar boshqa narsalar qatori, axborot tizimida foydalaniladigan amaliy dasturiy ta'minotda hujjatlashtirilmagan (deklaratsiya qilinmagan) imkoniyatlar mavjudligi bilan bog'liq tahdidlarga duchor bo'lsa, axborot tizimi uchun tegishli. 3-toifa tahdidlar, agar hujjatsiz mavjud bo'lgan tahdidlar mavjudligi bilan bog'liq bo'lmasa, axborot tizimi uchun tegishli. tizimdagi (e'lon qilinmagan) imkoniyatlar va axborot tizimida foydalaniladigan amaliy dasturlar. Axborot tizimi - operator xodimlarining shaxsiy ma'lumotlarini qayta ishlaydigan axborot tizimi, agar u faqat ko'rsatilgan xodimlarning shaxsiy ma'lumotlarini qayta ishlasa. Boshqa hollarda, shaxsiy ma'lumotlarning axborot tizimi operatorning xodimlari bo'lmagan shaxsiy ma'lumotlar sub'ektlarining shaxsiy ma'lumotlarini qayta ishlaydigan axborot tizimidir. Quyida shaxsiy ma'lumotlarning zarur xavfsizlik darajasini (PL) aniqlash uchun jadval keltirilgan. 1.1-jadval. ISPD xavfsizligining zarur darajasini aniqlash
Download 121.6 Kb. Do'stlaringiz bilan baham: 
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||