- •Содержание
- •Обозначения и сокращения 4
- •Глава 1. Теоретические аспекты персональных данных
- •Глава 2. Политика обработки персональных данных в оао «Газпром»
- •2.7. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов оао «Газпром» в области персональных данных, в том числе требований к защите персональных данных 21
- •Глава 3. Разработка рекомендаций по обеспечению безопасности персональных данных
- •3.2. Список мер по обеспечению безопасности персональных данных 22
- •Введение
- •Обозначения и сокращения
- •Теоретические аспекты персональных данных
- •1.1 Понятие информационной системы персональных данных. Классификация информационных систем персональных данных
- •1.2. Законодательство Российской Федерации в области персональных данных
- •1.3. Меры по обеспечению безопасности персональных данных
- •1.4. Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных
- •2. Политика обработки персональных данных в оао «Газпром»
- •2.1. Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика обработки персональных данных в оао «Газпром»
- •2.2. Принципы и цели обработки персональных данных
- •2.3. Перечень субъектов, персональные данные
- •2.4. Перечень персональных данных
- •2.5. Перечень действий с персональными данными и способы их обработки
- •2.6. Меры, принимаемые оао «Газпром» для обеспечения выполнения обязанностей оператора при обработке персональных данных
- •2.7. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов оао «Газпром» в области персональных данных, в том числе требований к защите персональных данных
- •3. Разработка рекомендаций по обеспечению безопасности персональных данных
- •3.1. Система защиты персональных данных
- •3.2. Список мер по обеспечению безопасности персональных данных
- •Заключение
- •Список используемой литературы
1.2. Законодательство Российской Федерации в области персональных данных
Основными законодательными и нормативно-правовыми актами Российской Федерации в области персональных данных являются:
- Конституция Российской Федерации.
-Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
-Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
-Постановление Правительства Российской Федерации от 06.07.08 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».
-Приказ Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».
-Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
-Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
-Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144.
-Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.
1.3. Меры по обеспечению безопасности персональных данных
В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
-идентификация и аутентификация субъектов доступа и объектов доступа;
-управление доступом субъектов доступа к объектам доступа;
-ограничение программной среды;
-защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
-регистрация событий безопасности;
-антивирусная защита;
-обнаружение (предотвращение) вторжений;
-контроль (анализ) защищенности персональных данных;
-обеспечение целостности информационной системы и персональных данных;
-обеспечение доступности персональных данных;
-защита среды виртуализации;
-защита технических средств;
-защита информационной системы, ее средств, систем связи и передачи данных;
-выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
-управление конфигурацией информационной системы и системы защиты персональных данных.