Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
Определение характеристик безопасности
Так же необходимо определить характеристики безопасности элементов системы и всей ИСПДн в целом.
Основными (классическими) характеристиками безопасности являются конфиденциальность, целостность и доступность.
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Целостность информации – способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Доступность информации – состояние информации (ресурсов автоматизированной информационной системы), при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.
При обработке персональных данных в ИСПДн учреждений Минздравсоцразвития России необходимо обеспечить следующие характеристики безопасности – конфиденциальность, целостность.
Выбранные характеристики безопасности ПДн отражаются в Акте классификации информационной системы персональных данных.
Пользователи ИСПДн
В данном разделе вам необходимо составить матрицу доступа. Матрица доступа в табличной форме отражает права всех групп пользователей ИСПДн на действия с персональными данными. Действия (операции) с персональными данными, включают сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных).
Есть три основные группы пользователей ИСПДн (группы описаны в Концепции информационной безопасности):
- Администраторы ИСПДн, осуществляющие настройку и установку технических средств ИСПДн и обеспечивающие ее бесперебойную работу;
- Разработчики ИСПДн, осуществляющие разработку и поддержку программного обеспечения собственной разработки или стандартных программ, специально доработанных под нужды организации;
- Операторы ИСПДн, осуществляющие текущую работу с персональными данными.
Каждая группа может быть уточнена (пример уточнения описан в Политике информационной безопасности), например, может быть две группы Операторов ИСПДн. Первая осуществляет лишь сбор и систематизацию персональных данных, вторая – уточнение, использование и распространение. В матрице доступа должно быть описание всех групп, обладающих правами на определенные действия с ПДн. Должен быть уточнен список разрешенных действий каждой из групп.
Типовая матрица доступа для ИСПДн учреждений Минздравсоцразвития России представлена в таблице 1.
Таблица 1
| Типовая роль | Уровень доступа к ПДн | Разрешенные действия |
| Администратор ИСПДн | Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн. Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн. Обладает правами конфигурирования и административной настройки технических средств ИСПДн. | - сбор - систематизация - накопление - хранение - уточнение - использование - распространение - обезличивание - блокирование - уничтожение |
| Разработчик ИСПДн | Обладает информацией об алгоритмах и программах обработки информации на ИСПДн. Обладает правами внесения изменений в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения. Располагает всей информаций о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн | - систематизация - накопление - хранение - уточнение - обезличивание - блокирование - уничтожение |
| Оператор ИСПДн | Обладает правами доступа к подмножеству ПДн. Располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн. | - сбор - систематизация - накопление - хранение - уточнение - использование - распространение - обезличивание |
Должен быть описан порядок предоставления и прекращения доступа тем или иным пользователям. При наступлении, каких событий (прием и увольнение с работы, инициатива или требование руководителя, службы безопасности и т.п.) и на основании каких документов (политик и инструкций) происходит предоставление и прекращение доступа.
Впоследствии сотрудники выявленных групп пользователей, должны быть рассмотрены в качестве потенциальных нарушителей (см. раздел 7.2 на стр. 37).
Типы ИСПДн
Угрозы безопасности персональных данных (УБПДн) зависят от типа ИСПДн. ИСПДн различают по следующим характеристикам.
Date: 2016-07-05; view: 439; Нарушение авторских прав; Помощь в написании работы --> СЮДА... |