Министерство науки и высшего образования Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОННИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Отчет по практической работе №2

по дисциплине «Организационное и правовое обеспечение информационной системы»

Студент гр. 712-2 ___________ Л.С. Болтушкин __________

Руководитель Преподаватель кафедры КИБЭВС

_______ __________ А.В. Вовченко

__________

Томск 2024

Введение

Целью данной практической работы является изучение правовых норм, регулирующие работу с персональными данными при их обработке информационной системой, ознакомление с информационным ресурсом регулятором (Порталом персональных данных уполномоченного органа по защите прав субъектов персональных данных) персональных данных.

1 Ход работы

1.1 Решение практической задачи

Решение практической задачи осуществляется под вариантом №3.

Информация об обрабатываемых ПДн и их субъектах – Данные о месте жительства субъектов, являющихся сотрудниками оператора.

Тип актуальных угроз безопасности ПДн – Связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Обратимся к Постановлению Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Из пункта 5 постановления следует, что данные о месте жительства не относятся к категории общедоступных персональных данных. Эти данные требуют особой защиты и относятся к иной категории персональных данных.

Согласно пункту 6 данного постановления, угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, актуальны для 1-го типа угроз.

Согласно пункту 9 Постановления №1119 следует, что необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных.

Данное условие подходит, поскольку выше было определено, что у нас 1-го типа угроза и относится к иной категории персональных данных, именно поэтому выставляем необходимость обеспечения 1-го уровня защищенности персональных данных.

Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований на основании пунктов 13-16 Постановления №1119:

Пункт 13:

1) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

2) обеспечение сохранности носителей персональных данных;

3) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

4) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

5) назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе (пункт 14);

6) доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей (пункт 15).

Пункт 16:

7) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

8) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Таким образом, для информационной системы, обрабатывающей данные о месте жительства сотрудников оператора и подверженной угрозам 1-го типа, необходимо установить 1-й уровень защищенности и выполнить вышеперечисленные требования для обеспечения безопасности персональных данных.