- •Практическое задание
- •1. Определения
- •2. Обозначения и сокращения
- •3. Введение
- •3.1. Настоящая Концепция информационной безопасности испДн «Пиццерия ооо «Жар-Пицца»
- •4. Общие положения
- •5. Задачи сзпДн
- •6. Объекты защиты
- •7. Классификация пользователей испДн
- •8. Основные принципы построения системы комплексной защиты информации
- •9.Угрозы безопасности персональных данных.
- •10. Меры, методы и средства обеспечения требуемого уровня защищенности
- •11. Контроль эффективности системы защиты
- •12. Сферы ответственности за безопасность пДн
- •13. Модель нарушителя безопасности
- •14. Модель угроз безопасности
- •15. Механизм реализации Концепции
- •16. Ожидаемый эффект от реализации Концепции
- •Приложение 1. Список использованных источников
4. Общие положения
4.1. Настоящая Концепция определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных (СЗПДн) Предприятия, в соответствии с Перечнем ИСПДн. Концепция определяет основные требования и базовые подходы к их реализации, для достижения требуемого уровня безопасности информации.
4.2. СЗПДн представляет собой совокупность организационных и технических мероприятий для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также иных неправомерных действий с ними.
4.3. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
4.4. Структура, состав и основные функции СЗПДн определяются исходя из класса ИСПДн. СЗПДн включает организационные меры и технические средства защиты информации (в том числе средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии.
4.5. Эти меры призваны обеспечить:
- конфиденциальность информации (защита от несанкционированного ознакомления);
- целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
- доступность информации (возможность за приемлемое время получить требуемую информационную услугу).
4.6. Стадии создания СЗПДн включают:
- предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание;
- стадия проектирования (разработки проектов) и реализации ИСПДн, включающая разработку СЗПДн в составе ИСПДн;
- стадия ввода в действие СЗПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.
4.7. Организационные меры предусматривают создание и поддержание правовой базы безопасности ПДн и разработку (введение в действие) предусмотренных Политикой информационной безопасности ИСПДн следующих организационно-распорядительных документов:
- инструкцию администратора информационных систем персональных данных по обеспечению безопасности персональных данных;
- инструкцию о порядке резервирования и восстановления работоспособности технических средств, программного обеспечения и баз данных;
- инструкцию ответственного за обработку персональных данных;
- инструкцию по организации антивирусной защиты;
- инструкцию по порядку учета и хранению документов, содержащих персональные данные;
- инструкцию по порядку учета и хранению машинных носителей конфиденциальной информации (персональных данных);
- инструкцию пользователя информационных систем персональных данных по обеспечению безопасности персональных данных;
- инструкцию осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
- инструкцию пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.
4.8. Технические меры защиты реализуются при помощи соответствующих программно-технических средств и методов защиты.
4.9. Перечень необходимых мер защиты информации определяется по результатам внутренней проверки безопасности ИСПДн Предприятия