Защита персональных данных требования к аттестованным помещениям |
Присоединяйтесь к нам в социальных сетях:

Защита персональных данных требования к аттестованным помещениям

Защита персональных данных требования к аттестованным помещениям

Данные документы могут получить только соискатели лицензий или лицензиаты ФСТЭК России путем запроса указанных документов установленным порядком в самом ФСТЭК России.

Порядок получения указанных документов приведен на сайте ФСТЭК России в разделе: Документы / Обеспечение документами Или по ссылке: https://fstec.ru/normotvorcheskaya/obespechenie-dokumentami/27-poryadok-obespecheniya-dokumentami-fstek-rossii-organizatsij-ne-imeyushchikh-vedomstvennoj-prinadlezhnosti

Стоимость аттестации защищаемого помещения

Стоимость аттестации типового помещения на текущий момент составляет около 150 тыс. руб.


Box[0.0 0.0 1190.55 841.89]/Parent 1022 0 R/Resources<</ExtGState<</GS0 1030 0 R/GS1 8 0 R/GS10 14 0 R/GS2 20 0 R/GS3 26 0 R/GS4 867 0 R/GS5 32 0 R/GS6 38 0 R/GS7 43 0 R/GS8 49 0 R/GS9 55 0 R/Font<</T1_0 862 0 R/T1_1 857 0 R/T1_2 1028 0 R/T1_3 1029 0 R/ProcSet[/PDF/Text]/XObject<</Fm0 56 0 R/Fm1 58 0 R/Fm2 60 0 R/Fm3 62 0 R/Fm4 64 0 R/Fm5 66 0 R/Fm6 68 0 R/Fm7 70 0 R/Fm8 72 0 R/Fm9 74 0 R/Rotate 0/TrimBox[0.0 0.0 1190.55 841.89]/Type/Page endobj 2 0 obj <</Filter/FlateDecode/Length 6451stream H┴╢W[▀╧~О_║гИЮрЙХ╝╖@ьdaM√mх┐г<⌡qьл8ь1≤ЭШ|Г╘Jу]Жз │И·.∙t.ъ╧}zrф╒ФlJdj$[⌡ЫП╥с_л╩сШсw?ЭЛлш²╬ШсЁ3ъЪСТ⌠╝Q_#]s√╓8ПЩ▐Уп{CF╓⌡▀У%e⌠]╟яЫl·E1/X╒joKhfи√j∙Tгсцi┴мЦД╨Рд+и√Zж╠U⌡ zхоN▐КCi6╣╒гu╔К`Ч*╝Р©lV┘Щ2т╓Ч jpvC░:N?=2:П5/O└ОOФU╢╠▒Я╤5zМл/f├*$ш<Т@└УЩуK╠│Д╖со░9!Wх╘╧^к┴у√╪╚█)жОБ══l”kJF\](&вфOAШC╤ьЦPш⌡╡Лm╧=lMт▀c⌡╟p╤бЭ▀.

Инфоinfo
За работником отдела кадров закрепляется постоянное рабочее место.

Рабочее место сотрудника, работающего с персональными данными работников, должно быть размещено таким образом, чтобы была исключена возможность обозрения находящихся на столе документов посторонними лицами. Помещение для размещения шкафов, сейфов может не иметь окон.

2.


Размещение мебели и специального оборудования с учетом обязанностей работников и состава выполняемых ими операций должно осуществляться вдоль стен. В связи с личной ответственностью сотрудника отдела кадров за вверенные ему документы, содержащие персональные данные работников, рабочее место должно быть оснащено личным сейфом для хранения только тех документов, с которыми разрешено работать сотруднику в соответствии с разрешительной системой.

Работодатель обязан осознавать, что деятельность отдела кадров неразрывно связана с обработкой значительных объемов персональных сведений, отражающих профессиональные, деловые и личные качества сотрудников, соответственно, функционирование кадрового подразделения должно быть подчинено решению задач обеспечения безопасности персональных сведений в соответствии с требованиями законодательства, поэтому важным положением в организации работы с персональными данными работников должна занимать правильная организация рабочих мест персонала, обрабатывающего персональные данные сотрудников.

Организация рабочих мест

сотрудников при работе с персональными данными

Рациональная и эффективная организация рабочих мест сотрудников отдела кадров, обрабатывающих персональные данные работников предприятия, включает в себя ряд требований.

Рабочие места, предназначенные для выполнения работы, требующей высокой концентрации внимания или значительного умственного напряжения, целесообразно ограничить перегородками высотой 1,5 – 2,0 м.

6. С целью создания и поддержания необходимого комфорта, способствующего эффективному труду, рабочие места оборудуются однотумбовыми столами, обеспечивающими удобное размещение вычислительной и оргтехники, а также основных предметов труда, постоянно используемой в работе литературы, карточек и лотков.
В ящиках тумбы стола хранятся документы, используемые в работе в течение дня, а также вспомогательные предметы труда (канцелярские принадлежности). Хранение специальной и справочной литературы должно осуществляться в шкафах.


Важноimportant
Кадровик. Кадровое делопроизводство”, 2011, N 9

ОРГАНИЗАЦИЯ РАБОЧИХ МЕСТ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ

Деятельность отдела кадров неразрывно связана с обработкой персональных данных, в т. ч. отражающих деловые, профессиональные и личные качества сотрудников, т. е. функционирование кадрового подразделения должно подчиняться задачам обеспечения безопасности персональной информации в соответствии с требованиями законодательства. Правильная организация рабочего места сотрудника, ведущего обработку персональных данных, оказывает существенное влияние на систему защиты персональных данных работников.


Именно этому вопросу посвящена данная статья.

Сущность персональных данных

В настоящее время в сфере обеспечения безопасности большое внимание уделяется информационной безопасности, т. к.

В╓VзnЖF⌡╞╖T╨n╩шc└Ч@’5$ЩЖ═╜╧╖-ч’MЁ=ДТ⌠·zИ╛╛uv▒фeв▒iжl8CЗ╧║ы·┌·╥XOТ4B3#s’POZZ╣EФ─}ия·Aё╟оКiёУtр┬zSё╚ибХn▓Чь░dМ▀8╫└K╧≥С÷кв╬╛г#m╣Кz┌рSШ Nr╨└8c╞ нп,4r}n≈6KuЖЙ·m│{qу╬▌К@;вO╝ЖpР╦МqрчA\╣ш9МНыХ╢K=}┤}Sо╬─г╬∙СaЯа╬⌡╦ЧвёW{┴╤ЮТ≈╬ЁГ ZиФ╢∙k╡≥о’╖Ж╗u.▀з5╖g

М9┴║ц║M╓ц║╜йLГжIжчНEНY║щKэB╩[$оХ0≈)ГsВ2∙оЗ9В6u╞p┘C{иф├(3 k,█И|thКTdт╟Ж║е╝FУY╠*╡┘А}ц”кY;%wgзTЩн9T╖sуi)Уh#]≈=┐V[©’)░ш╣п⌠МZЭ~ZЮrW╝’)▀=≥│кйS╫’+═ОZИи▄u<9│√O·трUЙиэAн^╙9█·Рю╦еH▓М╙Я≤╤⌠·зюЦ╝z▐%х╨=мAMW⌡╖=≤dСX╔{]²g0ЩЯ5Tw9<А├╜]о√`zWпЁ=≤ы╣ыЁ+≤┘╤ ┐ы]ш<{+∙·ОТЛФtУyЗ┐y]Ш<┤┐Ы(;ш;,p.t]О⌠W╚╝┐·3а╒╝C·sаР╝а·╠═ыbDovУ\”:XшuбsEZ┤ ╞║Фс·⌡AKв┬Гn╟Y^aЕ╣╛kтs?ь╝└╧Ч╛@╝#щ÷╢R╞б²▀Щ9АCн\^xп╘ВГ┤▐:WЗб’°QЬ╢Ёт_qЩФП╗ЁИ≈²УЧзП≤╪F;Щ√П g⌡©+▀╪▀ЮК╣ЁЁг╬Ц°оГ~╤О═╢уИПбЙ▄щ[email protected]жл■╜п█ЩНш║N▐КaПdU╧шр9┐4▀²⌡ЩМАqГ6©╫зИw├’╗Nр╙сыГ╨uНСШб▐║ц▀*╞Mн┐\≈ДuJ^▒╧█r”=GЧ│┬нGы⌠h²wNY─hкЛйJ;GЭА^ФУoИуDш=ГeЪЖч$Г≤Woj≈ц©’░K╡КM’ыУfbBЁЦ─Шloмэп#eщиЦЁ#▄^]█·M]c·’░Л ╞t”т!$МйUрyhКВ╕VvщЯнB:÷G]Цч▄юDв└w^п╖└▐╫┌aС.

  • измерители шума и вибраций (шумомеры),
  • селективные нановольтметры,
  • измерительные микрофоны,
  • вибродатчики (акселерометры),
  • полосовые октавные фильтры со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц.

Специализированные готовые программно-аппаратные измерительные комплексы, включающие в себя большее количество необходимого оборудования и сертифицированные ФСТЭК России, стоят от 900 тысяч рублей.

Требования к оборудованию установлены ФСТЭК России следующим документом: «Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г.

Вниманиеattention
Таким образом, данные сами по себе приобретают высокую ценность.

Законодательными актами России и зарубежных стран предусматривается большое количество норм, направленных на регулирование создания, использования, передачи, обработки, хранения информации.

Меры обеспечения сохранности информации на каждом отдельном предприятии могут быть различны по масштабам и формам и зависеть от производственных, финансовых и иных возможностей предприятия, от количества и качества охраняемых сведений. При этом выбор таких мер необходимо осуществлять, исходя из принципов разумности и достаточности, придерживаясь “золотой середины”, т.


к. чрезмерное закрытие информации, так же как и небрежное отношение к ее сохранению, могут вызвать серьезные потери и убытки.

Особой ценностью обладает информация, несущая в себе данные о личной, индивидуальной или семейной жизни человека.

Аттестационные испытания проводятся для каждого рабочего места.

После проведения аттестационных испытаний составляются Заключение по результатам аттестационных испытаний и Протокол испытаний системы на соответствие требованиям по защите от несанкционированного доступа ( в случае аттестационных испытаний АС от утечки за счет ПЭМИН дополнительно составляется Протокол испытаний системы на соответствие требованиям по защите информации от утечки по техническим каналам).

На основании Заключения и Протокола принимается решение о выдаче Аттестата соответствия требованиям безопасности. Аттестат соответствия выдается на три года, по истечении которых необходимо повторное проведение аттестации.

Для переноса документов, содержащих персональные данные работников, необходим специальный кейс.

3. Площадь для размещения одного автоматизированного рабочего места должна быть не менее 6 кв.
м. При размещении автоматизированных рабочих мест расстояние между рабочими столами от плоскости задней части одного монитора до плоскости экрана другого монитора должно составлять не менее 2,0 м, а между смежными боковыми поверхностями соседних мониторов – не менее 1,2 м. Экран персонального компьютера не должен быть виден коллегам, посетителям, от входной двери и в окно.
Компьютеры, на которых обрабатываются персональные данные работников, должны быть отключены от сети Интернет и не иметь портов для копирования информации с компьютера.

4.

Кому нужна аттестация защищаемого помещения?

Аттестация защищаемого помещения в обязательном порядке требуется при получении и осуществлении работ в рамках:

  1. Лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.
  2. Лицензии ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.
  3. Лицензии ФСБ России на деятельность по разработке и производству средств защиты конфиденциальной информации.

Также в рамках выполнения требований закона ФЗ-98 «О коммерческой тайне» и ФЗ-149 «Об информации, информационных технологиях и о защите информации» собственник (владелец) конфиденциальной информации обязан обеспечить защиту таких сведений при осуществлении своей коммерческой деятельности.

В качестве средств защиты информационной системы персональных данных работников от несанкционированного доступа используется программное обеспечение со встроенными механизмами защиты, сертифицированное в соответствии с требованиями Федеральной службы по техническому и экспортному контролю России. Компьютеры могут объединяться в отдельную локальную сеть, обрабатывающую персональные данные работников.
Доступ к электронным документам, информационным массивам персональных данных работников регламентируется разрешительной системой доступа. При необходимости использования Интернета на рабочих местах обязательным условием является обеспечение вычислительной системы межсетевым экраном с использованием сертифицированного программного обеспечения.

5.

УИoR÷ЧУИoP÷ЧУИoP÷~└ЗТ#т╖║ЩУИ┤╘O?L}ЗaЙсS÷Ч:УИ╞S÷Ч:УИ╞S÷ЧУИ╞Q÷ЧУИ╞Q÷~┬ЗТCт╖╒ЩУИ╘O?H}ЗAЙсR÷~░ЗТт╖═Щю8ЗТ;2Щ╔и╖О╖}?УИШ╘OъO}З~ЙсВS÷╬÷ЗТ╘O▒ЗТ╘O▒ЗТ╘O│ЗТ╗O│ЗТ╗OЪ УИоS÷ЧЙс÷╔}УИШ╗OъG}ЗЙсВR÷╬≈ЗТ╫т╖О╔}УИ{╗OъC}ЗЙс÷║ЩЙс÷║ЩЙс÷║ЩiЙс÷╕ЩiЙс÷╒}7УИ╩╘OъM}ЗnЙсwS÷╬⌡ЗТщт╖?E}ЗnЙсwS÷╬⌡ЗТщт╖?I}З⌠т╖?I}З⌠т╖?A}Зт╖?A}Зт╖?~ЫТrФс≥O?c|З²Ъ√Oq▄|ЗvФс?÷N._┐╦HkS┐ хДТS≥@░ ═х!╢C╔Tр▄┬k≥╡*ШЯ▌ДryНц┘┌╤”о· ╠∙:┤╩5Д[email protected]╬A≤Ы╝≈├еV╖├▒MрХ┤У:╛j =≤┐N╞3Уy;╣Vёж╙УД~, ╧C,╣^ёуJ▓V╞QKы╚÷÷0╖[█:Юd▄┬`-О!0┐а`▄5▌j3(╙Т²%*ЗkE пЕP╓┐$ё$я▄┬ХЭY÷╜╢═уЕ©@╔сe╝GХьЪ╖ф▒MрHц≈▒ТXу█X█Fё^рMф╪·²ж╗E²н ЙDR∙03≥t▓Vc”‘л8эяt ▐}uюиаQ=чC`0┐аkэ5VP*3╠∙ Q[I.Seх\п2⌡L4#Б3≥sJы:A:}▌рК3в#DЖаЪИ┌yd⌠4╕Ак≤$╛Й-8лfЁа$≥╜Ф╪·Z╫н╛уКEяHн&²N4┴z╫у╙7Иt√ЛуоO≤Sx4А╗Nф┬Н Я┐а`0фXЦ╘╣Гc+Р╓Уc╚лс(,f:e╤q│E┌Тш ]┴╜РqT.╤рЁьЙtа2ZцaA≤лF\н`╠≤аe╠X$Ёиj╥ФМt╫н Z╢▓╓в⌡$╫╓в┴╒Y/l6┐YтыхиЯИ▌╜Fp2FDФ╘О!0┐а`▄5╬╦T*m:”OTiT ЕхЙ─⌠1″РПЛЯ┐а`0фXSжА╜V÷┌х⌠ж╣z-Xsd·ТWХ.

Хотя, в основном в технических заданиях заказчиков встречается только первый пункт, поскольку, как правило, у заказчика уже есть сертифицированный ИСПДн, а при встраивании нового продукта в ИТ-инфраструктуру, требуется его повторная аттестация ИСПДн.

Стадии проектирования СЗПДн можно разделить на следующие 5 этапов, которые рассмотрим подробнее:

Таблица 4. Этапы проектирование СЗПДн

№ этапа. Наименование этапа

Описание этапа

1.

Инициация проекта и предоставление заказчиком первичных сведений об объекте обследования

На данном этапе проводится инициирующая встреча проектных команд, определяется и согласуется схема коммуникаций специалистов в ходе проекта, заказчику передаются опросные формы для заполнения.

2.

Аттестация объекта информатизации (ОИ) – это завершающий этап работ по внедрению средств ИБ, призванный подтвердить соответствие объекта требованиям нормативных документов регулирующих органов в сфере защиты информации. Аттестация проводится в виде комплекса организационно-технических мероприятий, по результатам которых выдается «Аттестат соответствия» тем или иным требованиям и нормативам, на соответствие которым она проводится. Аттестация позволяет проверить и подтвердить действительную степень защищенности ИС, успешность выполненного проекта внедрения средств ИБ, а также соответствие защищенности информации нормативам. В 15-20% случаев на этом этапе удается выявить и исправить недоработки, которые могли бы привести к нежелательным и опасным последствиям.Аттестация может быть как добровольная, так и обязательная.

Перечень требований, предъявляемый к ИСПДн

Требования

УЗ 1

УЗ 2

УЗ 3

УЗ 4

Регулярный контроль за выполнением требований

Контроль за выполнением требований организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

ВЦ╚OXdЛщ÷°%’=(.≈┐╪U0gД┤k┌Д█─X═T╧ ╢ФЩ╪░9╫QаЯ[ё┌+╟D┘┌■_$°Я╥Гf|_Н╛╡р╤@Пъ├рцxСС;╩-*мОЭ/2o]╥еЯКэ▌Фк2╣▓<Ё2″:T-шJ”UК+k⌠eQ╩╞д^&ЬеRО╡мИtвц’Б1НЛФ:Гч;;▐qK╕╤╕у%│ ]Az}M\²╨Вs)╤╤яeъДСHVЬЗ┌X╞⌡▓:C╣ Ь≥≥╩ъ?ЙрЙТ▀∙YЭz█!║╖z╞·сGл Уxб!+XХОsШпT?²т╚]─∙ш▄Y6vё╖░q+i;aЦ╤цlбV(-J╣dО⌡Я└ кjЖЁl┤мT4©dФл┴╬ИyС~{~q┼─М=─х▐R╔hА╥╠@,о(▀╢FRD Р┤шёIС&к┘cTzОшр÷ъя╞a├ьWЫ*0Ры`В4Ы3’#;RШё╬─╠√FKШrV╬4Н▄-цэчлu/э╥zk╟╛(Э╔г÷╧ёC≥÷╚_сg▓вы█c5ZшЛm б+m[дVg╩л╤з╙(╠Q▐-d┘Е─м&╪б╙╣E О” ╓аф≈≈,#кlИY╠щf▓b+│”-V╚яdW╛╤:[email protected]{│║vbА#Ez┐│МvбоQйФx0▐ч╤НмY▓░_%Ул▐C≤5p┌щ9╓+▓:▒]b)gwYJ╒sнT6▓⌡щN60’j⌠▄юШКy+<6?бs─╪²_ 5Гvp┌хpЫ╘BМ[email protected]’bs+mЖЁ²юr3D/╒ГтТ╠╠н╒╜!╡4╣d√╛╗о|/░yхзь▓Ы{iH/z┐╩K▓╒Ч╨B╕╫╧х9▌к°{?ФGЯB⌡╞┌┼ииЕUUШ╚xJB.╥;R ┼█J╘▄цзJoЮ ╪╧┐s╞!ХдишigqNё╨▒]@N8ш°N~йyхЫ╒⌠?Х<Л<Й<И■9²·╟[email protected],юцVЕ/ЕWЕОДWЕЫи;DыУЦ;C’B22├Ж┘Ьп°З╫`Р▌]8wKг#Фfp}TP╔Э\TP╡э╗┬ q╫Q!√ 8ё┌cЩ║╗ЮKЫ Qа▓ x╒┌╦p”≈ЬD}54М╕@ле╣13Аu²Т╠жkAЦ”iНEd]%ЭцxЗА⌠kkBАpaм@ф╫╤ю╦УРк┬0╜╜ВcСбФН≥ю@^AР[email protected]чM.

Анализ собранной информации и разработка отчетной документации

На данном этапе Исполнителем разрабатываются отчетные документы. Необходимо документально зафиксировать результаты проведенных мероприятий по обследованию процессов обработки ПДн, включающие заключение о степени выполнения требований законодательства РФ в области ПДн, а также рекомендации по составу необходимых для проведения мероприятий по организации корректной обработки и защиты ПДн.

Итоговый отчет «Результаты обследования процессов обработки ПДн в результате должен включать в себя следующие приложения:

● перечень ПДн, обрабатываемых на объектах компании Заказчика;

● перечень подразделений и лиц, допущенных к работе с ПДн;

● модели угроз безопасности ПДн при их обработке в ИСПДн.

Leave a Reply

Your email address will not be published. Required fields are marked *