- •Введение
- •Защита от информационного психологического воздействия
- •Основные вида угроз информационной безопасности государства
- •Защита информации
- •Правовая защита информации
- •Государственная тайна рф
- •Коммерческая тайна и система её защиты
- •Персональные данные и системы их защиты
- •Биометрические персональные данные
- •Технические средства защиты информации
- •Физические средства защиты информации
- •Классификация технических средств зи
- •Акустические средства защиты
- •Защита от встроенных и узконаправленных микрофонов
- •Экранирование помещений
- •Криптографическая зи
Биометрические персональные данные
БПД – сведения, которые характеризуют физиологические и биологические особенности человека на основании которых можно установить его личность.
Обрабатывается только при наличии согласии в письменной форме или без такового в связи с реализацией международных договоров о возвращении соотечественников, в связи c осуществлением правосудия и исполнения судебных актов и в случаях предусмотренных законодательством РФ «Об обороне», «О безопасности», «О противодействии коррупции», «О противодействии терроризму», «О транспортной безопасности», «Об оперативно-розыскных действиях», «О порядке выезда, въезда на территорию РФ».
В случае нарушения своих прав субъект ПД имеет право обжаловать эти действия и требовать возмещение ущерба.
Обязательной защите не подлежат обезличенные и общедоступные ПД.
При обработке персональных (ПД) данных в ИС устанавливают 4 уровня защиты:
Уровень защиты |
Тип угрозы |
Тип данных, обрабатываемых ИС |
|||||||||
I |
II |
III |
Субъекты ПД, не являющиеся сотрудниками оператора |
Субъекты ПД, являющиеся сотрудниками оператора |
|||||||
Специальные категории ПД |
Биометрические ПД |
Общедоступные категории ПД |
Иные категории ПД |
Специальные категории ПД |
Биометрические ПД |
Общедоступные категории ПД |
Иные категории ПД |
||||
1 |
+ |
|
|
+ |
+ |
|
+ |
|
|
|
|
|
+ |
|
+(более 100 тыс) |
|
|
|
|
|
|
|
|
2 |
+ |
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
+(менее 100 тыс) |
|
|
|
+ |
|
|
|
|
|
+ |
|
|
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
+(более 100 тыс) |
|
|
|
|
|
|
|
+ |
|
|
|
|
+(более 100 тыс) |
|
|
|
|
|
|
|
+ |
+(более 100 тыс) |
|
|
|
|
|
|
|
|
3 |
|
+ |
|
|
|
+(менее 100 тыс) |
|
|
|
+ |
|
|
+ |
|
|
|
|
+(менее 100 тыс) |
|
|
|
+ |
|
|
|
+ |
+(менее 100 тыс) |
|
|
|
+ |
|
|
|
|
|
|
+ |
|
+ |
|
|
|
+ |
|
|
|
|
|
+ |
|
|
|
+(более 100 тыс) |
|
|
|
|
|
4 |
|
|
+ |
|
|
+ |
|
|
|
+ |
|
|
|
+ |
|
|
|
+(более 100 тыс) |
|
|
|
+ |
|
Требования для обеспечения 4 уровня безопасности:
Организация режима безопасности помещения, в котором размещена ИС, препятсвие несанкционированного проникновения в них
Обеспечение сохранности носителей ПД
Утверждение руководителем документального перечня лиц, которые имеют доступ к ПД, в связи с выполнением ими служебных обязанностей.
Использование средств защиты информации, прошедших процесс оценки соответствующим требованиям законодательствам РФ в области обеспечения безопасности информации.
3 уровень:
Назначаются должностное лицо, ответственное за обеспечение безопасности ПД в ИС
2 уровень:
Доступ к созданным электронным журналам сообщений был возможен лишь для должностных лиц оператора или уполномоченных лиц, выполняющих служебные обязанности
1 уровень
Автономная регистрация в электронном журнале безопасности, изменение полномочий сотрудника оператора по доступу к ПД и ИС
Создание структурного подразделения, обеспечение безопасности данных в ИС, возложение таких обязанностей на одно из существующих подразделений.
Контроль выполняется оператором самостоятельно и/или с привлечением на договорной основе юр.лица/ИП, имеющего соответствующую лицензию, не реже чем 1 раз в три года.